Jak povolit TLS 1.3 v Nginx na Fedoře 29

Úvod

TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446 . Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka ukáže, jak povolit TLS 1.3 pomocí webového serveru Nginx na Fedoře 29.

Požadavky

• Nginx verze 1.13.0nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.
• Instance Vultr Cloud Compute (VC2) se systémem Fedora 29.
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.

Než začnete

Zkontrolujte verzi Fedory.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Vytvořte nový non-rootuživatelský účet s sudopřístupem a přepněte na něj.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

POZNÁMKA: Nahraďte johndoesvým uživatelským jménem.

Nastavte časové pásmo.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Ujistěte se, že váš systém je aktuální.

sudo dnf check-upgrade || sudo dnf upgrade -y

Nainstalujte potřebné balíčky.

sudo dnf install -y socat git

Vypněte SELinux a firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Nainstalujte klienta Acme.sh a získejte certifikát TLS z Let's Encrypt

V této příručce použijeme klienta Acme.sh k získání certifikátů SSL od Let's Encrypt. Můžete použít klienta, kterého znáte nejlépe.

Stahovat a instalovat Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Zkontrolujte verzi.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv příkazech názvem vaší domény.

Po spuštění předchozích příkazů budou vaše certifikáty a klíče přístupné na:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Nainstalujte Nginx

Nginx přidal podporu pro TLS 1.3 ve verzi 1.13.0. Fedora 29 přichází s Nginx a OpenSSL, které podporují TLS 1.3 ihned po vybalení, takže není potřeba vytvářet vlastní verzi.

Nainstalujte Nginx.

sudo dnf install -y nginx

Zkontrolujte verzi.

nginx -v
# nginx version: nginx/1.14.2

Zkontrolujte verzi OpenSSL, proti které byl Nginx zkompilován.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Spusťte a povolte Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Nakonfigurujte Nginx

Nyní, když jsme úspěšně nainstalovali Nginx, jsme připraveni jej nakonfigurovat se správnou konfigurací, abychom mohli začít používat TLS 1.3 na našem serveru.

Spusťte sudo vim /etc/nginx/conf.d/example.com.confpříkaz a naplňte soubor následující konfigurací.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Uložte soubor a ukončete s :+ W+ Q.

Všimněte si nového TLSv1.3parametru ssl_protocolssměrnice. Tento parametr je nutný pouze k povolení TLS 1.3 na Nginx.

Zkontrolujte konfiguraci.

sudo nginx -t

Znovu načtěte Nginx.

sudo systemctl reload nginx.service

K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Snímky obrazovky níže ukazují kartu zabezpečení Chromu.

To je vše. Úspěšně jste povolili TLS 1.3 v Nginx na vašem serveru Fedora 29. Finální verze TLS 1.3 byla definována v srpnu 2018, takže není lepší čas začít tuto novou technologii přijímat.