Jak povolit TLS 1.3 v Apache na FreeBSD 12

TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446 . Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka ukáže, jak povolit TLS 1.3 pomocí webového serveru Apache na FreeBSD 12.

Požadavky

• Instance Vultr Cloud Compute (VC2) se systémem FreeBSD 12.
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.
• Verze Apache 2.4.36nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.

Než začnete

Zkontrolujte verzi FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Ujistěte se, že váš systém FreeBSD je aktuální.

freebsd-update fetch install
pkg update && pkg upgrade -y

Nainstalujte potřebné balíčky, pokud ve vašem systému nejsou.

pkg install -y sudo vim unzip wget bash socat git

Vytvořte si nový uživatelský účet s preferovaným uživatelským jménem (použijeme johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Spusťte visudopříkaz a odkomentujte %wheel ALL=(ALL) ALLřádek, aby členové wheelskupiny mohli provést jakýkoli příkaz.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Nyní přepněte na nově vytvořeného uživatele pomocí su.

su - johndoe

POZNÁMKA: Nahraďte johndoesvým uživatelským jménem.

Nastavte časové pásmo.

sudo tzsetup

Nainstalujte acme.shklienta a získejte certifikát TLS od Let's Encrypt

Nainstalujte acme.sh.

sudo pkg install -y acme.sh

Zkontrolujte verzi.

acme.sh --version
# v2.7.9

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv příkazech názvem vaší domény.

Vytvořte rozumné adresáře pro ukládání vašich certifikátů a klíčů. Použijeme /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Nainstalujte a zkopírujte certifikáty do /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po spuštění výše uvedených příkazů budou vaše certifikáty a klíče v následujících umístěních:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Nainstalujte Apache

Apache přidal podporu pro TLS 1.3 ve verzi 2.4.36. Systém FreeBSD 12 je dodáván s Apache a OpenSSL, které podporují TLS 1.3 ihned po vybalení, takže není potřeba vytvářet vlastní verzi.

Stáhněte a nainstalujte nejnovější větev 2.4 Apache prostřednictvím pkgsprávce balíčků.

sudo pkg install -y apache24

Zkontrolujte verzi.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Spusťte a povolte Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Nakonfigurujte Apache pro TLS 1.3

Nyní, když jsme úspěšně nainstalovali Apache, jsme připraveni jej nakonfigurovat tak, aby na našem serveru začal používat TLS 1.3.

POZNÁMKA: Ve FreeBSD je mod_sslmodul standardně povolen jak v balíčku, tak v portu

Spusťte sudo vim /usr/local/etc/apache24/httpd.confa zahrňte modul SSL zrušením komentáře LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Spusťte sudo vim /usr/local/etc/apache24/Includes/example.com.confa naplňte soubor následující základní konfigurací.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Uložte soubor a ukončete s :+ W+ Q.

Zkontrolujte konfiguraci.

sudo service apache24 configtest

Znovu načtěte Apache.

sudo service apache24 reload

Otevřete svůj web prostřednictvím protokolu HTTPS ve webovém prohlížeči. K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Snímky obrazovky níže ukazují kartu zabezpečení Chromu s TLS 1.3 v akci.

Úspěšně jste povolili TLS 1.3 v Apache na vašem FreeBSD serveru. Finální verze TLS 1.3 byla definována v srpnu 2018, takže není lepší čas začít tuto novou technologii přijímat.