Jak povolit TLS 1.3 v Apache na Debianu 10

• Požadavky
• Než začnete
• Nainstalujte klienta acme.sh a získejte certifikát TLS od Let's Encrypt
• Nainstalujte Apache
• Nakonfigurujte Apache pro TLS 1.3

TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446. Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka ukáže, jak povolit TLS 1.3 pomocí webového serveru Apache v Debianu 10.

Požadavky

• Instance Vultr Cloud Compute (VC2) se systémem Debian 10 (Buster).
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.
• Verze Apache 2.4.36nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.

Než začnete

Zkontrolujte verzi Debianu.

lsb_release -ds # Debian GNU/Linux 10 (buster)

Vytvořte nový non-rootuživatelský účet s sudopřístupem a přepněte na něj.

adduser johndoe --gecos "John Doe" usermod -aG sudo johndoe su - johndoe

POZNÁMKA : Nahraďte johndoesvým uživatelským jménem .

Nastavte časové pásmo.

sudo dpkg-reconfigure tzdata

Ujistěte se, že váš systém je aktuální.

sudo apt update && sudo apt upgrade -y

Nainstalujte potřebné balíčky.

sudo apt install -y zip unzip curl wget git socat

Nainstalujte acme.shklienta a získejte certifikát TLS od Let's Encrypt

Nainstalujte acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Zkontrolujte verzi.

/etc/letsencrypt/acme.sh --version # v2.8.2

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv příkazech názvem vaší domény.

Vytvořte rozumné adresáře pro ukládání vašich certifikátů a klíčů. Použijeme /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Nainstalujte a zkopírujte certifikáty do /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po spuštění výše uvedených příkazů budou vaše certifikáty a klíče v následujících umístěních:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Nainstalujte Apache

Apache přidal podporu pro TLS 1.3 ve verzi 2.4.36. Systém Debian 10 je dodáván s Apache a OpenSSL, které podporují TLS 1.3 ihned po vybalení, takže není potřeba vytvářet vlastní verzi.

Stáhněte a nainstalujte nejnovější větev 2.4 Apache prostřednictvím aptsprávce balíčků.

sudo apt install -y apache2

Zkontrolujte verzi.

sudo apache2 -v # Server version: Apache/2.4.38 (Debian) # Server built: 2019-04-07T18:15:40

Nakonfigurujte Apache pro TLS 1.3

Nyní, když jsme úspěšně nainstalovali Apache, jsme připraveni jej nakonfigurovat tak, aby na našem serveru začal používat TLS 1.3.

Nejprve povolte modul SSL.

sudo a2enmod ssl

Restartujte Apache.

sudo systemctl restart apache2

Spusťte sudo vim /etc/apache2/sites-available/example.com.confa naplňte soubor následující základní konfigurací.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Uložte soubor a ukončete.

Aktivujte nový konfigurační soubor propojením souboru s sites-enabledadresářem.

sudo a2ensite example.com.conf

Zkontrolujte konfiguraci.

sudo apachectl configtest

Znovu načtěte Apache.

sudo systemctl reload apache2

Otevřete svůj web prostřednictvím protokolu HTTPS ve webovém prohlížeči. K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Snímky obrazovky níže ukazují kartu zabezpečení Chromu s TLS 1.3 v akci.

Úspěšně jste povolili TLS 1.3 v Apache na vašem serveru Debian 10. Finální verze TLS 1.3 byla definována v srpnu 2018, takže není lepší čas začít tuto novou technologii přijímat.