Jak povolit TLS 1.3 v Nginx na Debianu 9

Úvod

TLS 1.3 je verze protokolu Transport Layer Security (TLS) publikovaná v roce 2018 jako navrhovaný standard v RFC 8446 . Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka vysvětluje, jak povolit TLS 1.3 pomocí webového serveru Nginx na Debianu 9.

Požadavky

• Nginx verze 1.13.0nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.
• Instance Vultr Cloud Compute (VC2) se systémem Debian 9 x64 (stretch).
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.

Než začnete

Zkontrolujte verzi Debianu.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Ujistěte se, že váš systém je aktuální.

apt update && apt upgrade -y

Nainstalujte potřebné balíčky.

apt install -y git unzip curl sudo socat build-essential

Vytvořte nový uživatelský účet bez oprávnění root s sudopřístupem a přepněte se na něj.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

POZNÁMKA: Nahraďte johndoesvým uživatelským jménem.

Nastavte časové pásmo.

sudo dpkg-reconfigure tzdata

Nainstalujte klienta Acme.sh a získejte certifikát TLS od společnosti Let's Encrypt

Stahovat a instalovat Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Zkontrolujte verzi.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comnázvem vaší domény.

Po spuštění předchozích příkazů jsou vaše certifikáty a klíče přístupné v následujících umístěních:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Sestavte Nginx ze zdroje

Nginx přidal podporu pro TLS 1.3 ve verzi 1.13.0. Na většině distribucí Linuxu, včetně Debianu 9, je Nginx postaven na starší verzi OpenSSL, která nepodporuje TLS 1.3. V důsledku toho potřebujeme naše vlastní sestavení Nginx propojené s vydáním OpenSSL 1.1.1, které zahrnuje podporu pro TLS 1.3.

Stáhněte si nejnovější hlavní verzi zdrojového kódu Nginx a rozbalte jej.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Stáhněte si zdrojový kód OpenSSL 1.1.1c a rozbalte jej.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Smažte všechny .tar.gzsoubory, protože již nejsou potřeba.

rm -rf *.tar.gz

Zadejte zdrojový adresář Nginx.

cd ~/nginx-1.17.0

Nakonfigurujte, zkompilujte a nainstalujte Nginx. Pro jednoduchost zkompilujeme pouze základní moduly, které jsou nutné pro fungování TLS 1.3. Pokud potřebujete úplné sestavení Nginx, můžete si přečíst tuto příručku Vultr o kompilaci Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Vytvořte systémovou skupinu a uživatele Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Symbolický odkaz /usr/lib/nginx/modulesna /etc/nginx/modules. Ten je standardním místem pro moduly Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Vytvořte adresáře mezipaměti Nginx a nastavte správná oprávnění.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Zkontrolujte verzi Nginx.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Vytvořte soubor Nginx systemd unit.

sudo vim /etc/systemd/system/nginx.service

Naplňte soubor s následující konfigurací.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Spusťte a povolte Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Vytvořit conf.d, sites-availablea sites-enabledadresáře v /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Spusťte sudo vim /etc/nginx/nginx.confa přidejte následující dvě direktivy na konec souboru těsně před uzávěrku }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Uložte soubor a ukončete s :+ W+ Q.

Nakonfigurujte Nginx pro TLS 1.3

Nyní, když jsme úspěšně vytvořili Nginx, jsme připraveni jej nakonfigurovat tak, aby začal používat TLS 1.3 na našem serveru.

Spusťte sudo vim /etc/nginx/conf.d/example.com.confa naplňte soubor s následující konfigurací.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Uložte soubor a ukončete s :+ W+ Q.

Všimněte si nového TLSv1.3parametru ssl_protocolssměrnice. Tento parametr je nezbytný pro povolení TLS 1.3.

Zkontrolujte konfiguraci.

sudo nginx -t

Znovu načtěte Nginx.

sudo systemctl reload nginx.service

K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Snímky obrazovky níže ukazují kartu zabezpečení Chromu, která ukazuje, že TLS 1.3 funguje.

Gratulujeme! Úspěšně jste povolili TLS 1.3 na vašem serveru Debian 9.