Sådan aktiveres TLS 1.3 i Nginx på Debian 9

Introduktion

TLS 1.3 er en version af TLS-protokollen (Transport Layer Security) udgivet i 2018 som en foreslået standard i RFC 8446 . Det tilbyder sikkerhed og ydeevneforbedringer i forhold til sine forgængere.

Denne vejledning forklarer, hvordan du aktiverer TLS 1.3 ved hjælp af Nginx-webserveren på Debian 9.

Krav

• Nginx version 1.13.0eller nyere.
• OpenSSL version 1.1.1eller nyere.
• Vultr Cloud Compute (VC2)-instans, der kører Debian 9 x64 (stræk).
• Et gyldigt domænenavn og korrekt konfigurerede A/ AAAA/ CNAMEDNS-poster for dit domæne.
• Et gyldigt TLS-certifikat. Vi får en fra Let's Encrypt.

Før du begynder

Tjek Debian-versionen.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Sørg for, at dit system er opdateret.

apt update && apt upgrade -y

Installer de nødvendige pakker.

apt install -y git unzip curl sudo socat build-essential

Opret en ny ikke-root brugerkonto med sudoadgang og skift til den.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

BEMÆRK: Erstat johndoemed dit brugernavn.

Indstil tidszonen.

sudo dpkg-reconfigure tzdata

Installer Acme.sh-klienten og få et TLS-certifikat fra Let's Encrypt

Hent og installer Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Tjek versionen.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Få RSA- og ECDSA-certifikater for dit domæne.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

BEMÆRK: Erstat example.commed dit domænenavn.

Efter at have kørt de tidligere kommandoer, er dine certifikater og nøgler tilgængelige på følgende steder:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Byg Nginx fra kilden

Nginx tilføjede understøttelse af TLS 1.3 i version 1.13.0. På de fleste Linux-distributioner, inklusive Debian 9, er Nginx bygget med den ældre OpenSSL-version, som ikke understøtter TLS 1.3. Derfor har vi brug for vores egen tilpassede Nginx-build knyttet til OpenSSL 1.1.1-udgivelsen, som inkluderer understøttelse af TLS 1.3.

Download den seneste mainline-version af Nginx-kildekoden og udpak den.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Download OpenSSL 1.1.1c kildekoden og udpak den.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Slet alle .tar.gzfiler, da de ikke er nødvendige længere.

rm -rf *.tar.gz

Indtast Nginx-kildebiblioteket.

cd ~/nginx-1.17.0

Konfigurer, kompilér og installer Nginx. For overskuelighedens skyld kompilerer vi kun væsentlige moduler, der kræves for at TLS 1.3 kan fungere. Hvis du har brug for en fuld Nginx-build, kan du læse denne Vultr-guide om Nginx-kompilering.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Opret en Nginx-systemgruppe og bruger.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Symlink /usr/lib/nginx/modulestil /etc/nginx/modules. Sidstnævnte er et standardsted for Nginx-moduler.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Opret Nginx-cache-mapper og indstil de korrekte tilladelser.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Tjek Nginx-versionen.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Opret en Nginx systemd enhedsfil.

sudo vim /etc/systemd/system/nginx.service

Udfyld filen med følgende konfiguration.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Start og aktiver Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Opret conf.d, sites-availableog sites-enabledmapper i /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Kør sudo vim /etc/nginx/nginx.confog tilføj følgende to direktiver til slutningen af ​​filen, lige før afslutningen }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Gem filen og afslut med :+ W+ Q.

Konfigurer Nginx til TLS 1.3

Nu hvor vi har bygget Nginx med succes, er vi klar til at konfigurere den til at begynde at bruge TLS 1.3 på vores server.

Kør sudo vim /etc/nginx/conf.d/example.com.confog udfyld filen med følgende konfiguration.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Gem filen og afslut med :+ W+ Q.

Læg mærke til den nye TLSv1.3parameter i ssl_protocolsdirektivet. Denne parameter er nødvendig for at aktivere TLS 1.3.

Tjek konfigurationen.

sudo nginx -t

Genindlæs Nginx.

sudo systemctl reload nginx.service

For at bekræfte TLS 1.3 kan du bruge browserudviklingsværktøjer eller SSL Labs-tjenesten. Skærmbillederne nedenfor viser Chromes sikkerhedsfane, der indikerer, at TLS 1.3 fungerer.

Tillykke! Du har med succes aktiveret TLS 1.3 på din Debian 9-server.