Jak povolit TLS 1.3 v Apache na Fedoře 30

• Požadavky
• Než začnete
• Nainstalujte klienta acme.sh a získejte certifikát TLS od Let's Encrypt
• Nainstalujte Apache
• Nakonfigurujte Apache pro TLS 1.3

TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446. Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka ukáže, jak povolit TLS 1.3 pomocí webového serveru Apache na Fedoře 30.

Požadavky

• Instance Vultr Cloud Compute (VC2) se systémem Fedora 30.
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.
• Verze Apache 2.4.36nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.

Než začnete

Zkontrolujte verzi Fedory.

cat /etc/fedora-release # Fedora release 30 (Thirty)

Vytvořte nový non-rootuživatelský účet s sudopřístupem a přepněte na něj.

useradd -c "John Doe" johndoe && passwd johndoe usermod -aG wheel johndoe su - johndoe

POZNÁMKA: Nahraďte johndoesvým uživatelským jménem.

Nastavte časové pásmo.

timedatectl list-timezones sudo timedatectl set-timezone 'Region/City'

Ujistěte se, že váš systém je aktuální.

sudo dnf check-upgrade || sudo dnf upgrade -y

Nainstalujte potřebné balíčky.

sudo dnf install -y socat git

Vypněte SELinux a firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Nainstalujte acme.shklienta a získejte certifikát TLS od Let's Encrypt

Nainstalujte acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected] cd ~ source ~/.bashrc

Zkontrolujte verzi.

/etc/letsencrypt/acme.sh --version # v2.8.2

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv příkazech názvem vaší domény.

Vytvořte rozumné adresáře pro ukládání vašich certifikátů a klíčů. Použijeme /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Nainstalujte a zkopírujte certifikáty do /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po spuštění výše uvedených příkazů budou vaše certifikáty a klíče v následujících umístěních:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Nainstalujte Apache

Apache přidal podporu pro TLS 1.3 ve verzi 2.4.36. Systém Fedora 30 je dodáván s Apache a OpenSSL, které podporují TLS 1.3 ihned po vybalení, takže není potřeba vytvářet vlastní verzi.

Stáhněte a nainstalujte nejnovější větev 2.4 Apache a její modul pro SSL prostřednictvím dnfsprávce balíčků.

sudo dnf install -y httpd mod_ssl

Zkontrolujte verzi.

sudo httpd -v # Server version: Apache/2.4.39 (Fedora) # Server built: May 2 2019 14:50:28

Spusťte a povolte Apache.

sudo systemctl start httpd.service sudo systemctl enable httpd.service

Nakonfigurujte Apache pro TLS 1.3

Nyní, když jsme úspěšně nainstalovali Apache, jsme připraveni jej nakonfigurovat tak, aby na našem serveru začal používat TLS 1.3.

Spusťte sudo vim /etc/httpd/conf.d/example.com.confa naplňte soubor následující základní konfigurací.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Uložte soubor a ukončete.

Zkontrolujte konfiguraci.

sudo apachectl configtest

Pro aktivaci nové konfigurace znovu načtěte Apache.

sudo systemctl reload httpd.service

Otevřete svůj web prostřednictvím protokolu HTTPS ve webovém prohlížeči. K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Snímky obrazovky níže ukazují kartu zabezpečení Chromu s TLS 1.3 v akci.

Úspěšně jste povolili TLS 1.3 v Apache na vašem serveru Fedora 30. Finální verze TLS 1.3 byla definována v srpnu 2018, takže není lepší čas začít tuto novou technologii přijímat.