Sådan aktiveres TLS 1.3 i Nginx på Fedora 29

Introduktion

TLS 1.3 er en version af TLS-protokollen (Transport Layer Security), der blev offentliggjort i 2018 som en foreslået standard i RFC 8446 . Det tilbyder sikkerhed og ydeevneforbedringer i forhold til sine forgængere.

Denne guide vil demonstrere, hvordan man aktiverer TLS 1.3 ved hjælp af Nginx-webserveren på Fedora 29.

Krav

• Nginx version 1.13.0eller nyere.
• OpenSSL version 1.1.1eller nyere.
• Vultr Cloud Compute (VC2) instans, der kører Fedora 29.
• Et gyldigt domænenavn og korrekt konfigurerede A/ AAAA/ CNAMEDNS-poster for dit domæne.
• Et gyldigt TLS-certifikat. Vi får en fra Let's Encrypt.

Før du begynder

Tjek Fedora-versionen.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Opret en ny non-rootbrugerkonto med sudoadgang og skift til den.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

BEMÆRK: Erstat johndoemed dit brugernavn.

Indstil tidszonen.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Sørg for, at dit system er opdateret.

sudo dnf check-upgrade || sudo dnf upgrade -y

Installer de nødvendige pakker.

sudo dnf install -y socat git

Deaktiver SELinux og Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Installer Acme.sh-klienten og få et TLS-certifikat fra Let's Encrypt

I denne guide vil vi bruge Acme.sh-klienten til at få SSL-certifikater fra Let's Encrypt. Du kan bruge en klient, du er mest bekendt med.

Hent og installer Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Tjek versionen.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Få RSA- og ECDSA-certifikater for dit domæne.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

BEMÆRK: Erstat example.comi kommandoerne med dit domænenavn.

Efter at have kørt de tidligere kommandoer, vil dine certifikater og nøgler være tilgængelige på:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Installer Nginx

Nginx tilføjede understøttelse af TLS 1.3 i version 1.13.0. Fedora 29 kommer med Nginx og OpenSSL, der understøtter TLS 1.3 ud af æsken, så der er ingen grund til at bygge en brugerdefineret version.

Installer Nginx.

sudo dnf install -y nginx

Tjek versionen.

nginx -v
# nginx version: nginx/1.14.2

Tjek OpenSSL-versionen, som Nginx blev kompileret mod.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Start og aktiver Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Konfigurer Nginx

Nu hvor vi har installeret Nginx med succes, er vi klar til at konfigurere den med den korrekte konfiguration til at begynde at bruge TLS 1.3 på vores server.

Kør sudo vim /etc/nginx/conf.d/example.com.confkommandoen, og udfyld filen med følgende konfiguration.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Gem filen og afslut med :+ W+ Q.

Læg mærke til den nye TLSv1.3parameter i ssl_protocolsdirektivet. Denne parameter er kun nødvendig for at aktivere TLS 1.3 på Nginx.

Tjek konfigurationen.

sudo nginx -t

Genindlæs Nginx.

sudo systemctl reload nginx.service

For at bekræfte TLS 1.3 kan du bruge browserudviklingsværktøjer eller SSL Labs-tjenesten. Skærmbillederne nedenfor viser Chromes sikkerhedsfane.

Det er alt. Du har med succes aktiveret TLS 1.3 i Nginx på din Fedora 29-server. Den endelige version af TLS 1.3 blev defineret i august 2018, så der er ikke noget bedre tidspunkt at begynde at adoptere denne nye teknologi.