Jak povolit TLS 1.3 v Nginx na FreeBSD 12

TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446 . Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka ukáže, jak povolit TLS 1.3 pomocí webového serveru Nginx na FreeBSD 12.

Požadavky

• Instance Vultr Cloud Compute (VC2) se systémem FreeBSD 12.
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.
• Nginx verze 1.13.0nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.

Než začnete

Zkontrolujte verzi FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Ujistěte se, že váš systém FreeBSD je aktuální.

freebsd-update fetch install
pkg update && pkg upgrade -y

Nainstalujte potřebné balíčky, pokud ve vašem systému nejsou.

pkg install -y sudo vim unzip wget bash socat git

Vytvořte si nový uživatelský účet s preferovaným uživatelským jménem (použijeme johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Spusťte visudopříkaz a odkomentujte %wheel ALL=(ALL) ALLřádek, aby členové wheelskupiny mohli provést jakýkoli příkaz.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Nyní přepněte na nově vytvořeného uživatele pomocí su.

su - johndoe

POZNÁMKA: Nahraďte johndoesvým uživatelským jménem.

Nastavte časové pásmo.

sudo tzsetup

Nainstalujte klienta acme.sh a získejte certifikát TLS z Let's Encrypt

Nainstalujte acme.sh.

sudo pkg install -y acme.sh

Zkontrolujte verzi.

acme.sh --version
# v2.7.9

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv příkazech názvem vaší domény.

Vytvořte adresáře pro uložení certifikátů a klíčů. budeme používat /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Nainstalujte a zkopírujte certifikáty do /etc/letsencryptadresáře.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po spuštění výše uvedených příkazů budou vaše certifikáty a klíče v následujících umístěních:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Nainstalujte Nginx

Nginx přidal podporu pro TLS 1.3 ve verzi 1.13.0. Systém FreeBSD 12 je dodáván s Nginx a OpenSSL, které podporují TLS 1.3 ihned po vybalení, takže není potřeba vytvářet vlastní verzi.

Stáhněte a nainstalujte nejnovější hlavní verzi Nginx prostřednictvím pkgsprávce balíčků.

sudo pkg install -y nginx-devel

Zkontrolujte verzi.

nginx -v
# nginx version: nginx/1.15.8

Zkontrolujte verzi OpenSSL, proti které byl Nginx zkompilován.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Spusťte a povolte Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Nakonfigurujte Nginx

Nyní, když jsme úspěšně nainstalovali Nginx, jsme připraveni jej nakonfigurovat se správnou konfigurací, abychom mohli začít používat TLS 1.3 na našem serveru.

Spusťte sudo vim /usr/local/etc/nginx/example.com.confpříkaz a naplňte soubor následující konfigurací.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Uložte soubor a ukončete s :+ W+ Q.

Nyní musíme zahrnout example.com.confdo hlavního nginx.confsouboru.

Spusťte sudo vim /usr/local/etc/nginx/nginx.confa přidejte do http {}bloku následující řádek .

include example.com.conf;

Všimněte si nového TLSv1.3parametru ssl_protocolssměrnice. Tento parametr je nutný pouze k povolení TLS 1.3 na serveru Nginx.

Zkontrolujte konfiguraci.

sudo nginx -t

Znovu načtěte Nginx.

sudo service nginx reload

K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Snímky obrazovky níže ukazují kartu zabezpečení Chromu.

Úspěšně jste povolili TLS 1.3 v Nginx na vašem FreeBSD serveru. Finální verze TLS 1.3 byla definována v srpnu 2018, takže není lepší čas začít tuto novou technologii přijímat.