Jak povolit TLS 1.3 v Nginx na Ubuntu 18.04 LTS

TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446 . Oproti svým předchůdcům nabízí vylepšení zabezpečení a výkonu.

Tato příručka ukáže, jak povolit TLS 1.3 pomocí webového serveru Nginx na Ubuntu 18.04 LTS.

Požadavky

• Nginx verze 1.13.0nebo vyšší.
• Verze OpenSSL 1.1.1nebo vyšší.
• Instance Vultr Cloud Compute (VC2) se systémem Ubuntu 18.04.
• Platný název domény a správně nakonfigurované A/ AAAA/ CNAMEDNS záznamy pro vaši doménu.
• Platný certifikát TLS. Jeden získáme z Let's Encrypt.

Než začnete

Zkontrolujte verzi Ubuntu.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Vytvořte nový non-rootuživatelský účet s sudopřístupem a přepněte na něj.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

POZNÁMKA: Nahraďte johndoesvým uživatelským jménem.

Nastavte časové pásmo.

sudo dpkg-reconfigure tzdata

Ujistěte se, že váš systém je aktuální.

sudo apt update && sudo apt upgrade -y

Nainstalovat build-essential, socata gitbalíčky.

sudo apt install -y build-essential socat git

Nainstalujte klienta Acme.sh a získejte certifikát TLS z Let's Encrypt

Stahovat a instalovat Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Zkontrolujte verzi.

acme.sh --version
# v2.8.0

Získejte certifikáty RSA a ECDSA pro vaši doménu.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv příkazech názvem vaší domény.

Po spuštění předchozích příkazů budou vaše certifikáty a klíče přístupné na:

• Pro RSA: /etc/letsencrypt/example.comadresář.
• Pro ECC/ECDSA: /etc/letsencrypt/example.com_eccadresář.

Sestavte Nginx ze zdroje

Nginx přidal podporu pro TLS 1.3 ve verzi 1.13.0. Na většině distribucí Linuxu, včetně Ubuntu 18.04, je Nginx postaven na starší verzi OpenSSL, která nepodporuje TLS 1.3. V důsledku toho potřebujeme naše vlastní sestavení Nginx propojené s vydáním OpenSSL 1.1.1, které zahrnuje podporu pro TLS 1.3.

Stáhněte si nejnovější hlavní verzi zdrojového kódu Nginx a rozbalte jej.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Stáhněte si zdrojový kód OpenSSL 1.1.1 a rozbalte jej.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Smažte všechny .tar.gzsoubory, protože už nebudou potřeba.

rm -rf *.tar.gz

Zadejte zdrojový adresář Nginx.

cd ~/nginx-1.15.5

Nakonfigurujte, zkompilujte a nainstalujte Nginx. Pro jednoduchost zkompilujeme pouze základní moduly, které jsou nutné pro fungování TLS 1.3. Pokud potřebujete úplné sestavení Nginx, můžete si přečíst tuto příručku Vultr o kompilaci Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Vytvořte systémovou skupinu a uživatele Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Symbolický odkaz /usr/lib/nginx/modulesna /etc/nginx/modulesadresář. etc/nginx/modulesje standardní místo pro moduly Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Vytvořte adresáře mezipaměti Nginx a nastavte správná oprávnění.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Zkontrolujte verzi Nginx.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Vytvořte soubor Nginx systemd unit.

sudo vim /etc/systemd/system/nginx.service

Naplňte soubor s následující konfigurací.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Spusťte a povolte Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Vytvořit conf.d, sites-availablea sites-enabledadresáře v /etc/nginxadresáři.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Spusťte sudo vim /etc/nginx/nginx.confa přidejte následující dvě direktivy na konec souboru těsně před uzávěrku }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Uložte soubor a ukončete s :+ W+ Q.

Nakonfigurujte Nginx pro TLS 1.3

Nyní, když jsme úspěšně vytvořili Nginx, jsme připraveni jej nakonfigurovat tak, aby začal používat TLS 1.3 na našem serveru.

Spusťte sudo vim /etc/nginx/conf.d/example.com.confa naplňte soubor s následující konfigurací.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Uložte soubor a ukončete s :+ W+ Q.

Všimněte si nového TLSv1.3parametru ssl_protocolssměrnice. Tento parametr je nezbytný pro povolení TLS 1.3.

Zkontrolujte konfiguraci.

sudo nginx -t

Znovu načtěte Nginx.

sudo systemctl reload nginx.service

K ověření TLS 1.3 můžete použít vývojářské nástroje prohlížeče nebo službu SSL Labs. Níže uvedené snímky obrazovky ukazují kartu zabezpečení Chromu, která ukazuje, že TLS 1.3 funguje.

Gratulujeme! Úspěšně jste povolili TLS 1.3 na vašem webovém serveru Ubuntu 18.04.