Avaleht » » Kuidas lubada TLS 1.3 Nginxis Fedora 29-s

Kuidas lubada TLS 1.3 Nginxis Fedora 29-s

  • Sissejuhatus
  • Nõuded
  • Enne alustamist
  • Installige Acme.sh klient ja hankige Let's Encrypt TLS-sertifikaat
  • Installige Nginx
  • Nginxi konfigureerimine

    • Sissejuhatus

    TLS 1.3 on transpordikihi turvalisuse (TLS) protokolli versioon, mis avaldati 2018. aastal RFC 8446 pakutud standardina . See pakub eelkäijatega võrreldes turvalisuse ja jõudluse täiustusi.

    See juhend näitab, kuidas lubada TLS 1.3, kasutades Fedora 29-s Nginxi veebiserverit.

    Nõuded

    • Nginxi versioon 1.13.0või uuem.
    • OpenSSL-i versioon 1.1.1või uuem.
    • Vultr Cloud Compute (VC2) eksemplar, milles töötab Fedora 29.
    • Kehtiv domeeninime ja õigesti konfigureeritud A/ AAAA/ CNAMEDNS kirjed teie domeeni.
    • Kehtiv TLS-sertifikaat. Saame selle Let's Encryptilt.

    Enne alustamist

    Kontrollige Fedora versiooni.

    cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

    Looge uus juurdepääsuga non-rootkasutajakonto sudoja lülituge sellele.

    useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

    MÄRKUS. Asendage johndoeoma kasutajanimega.

    Seadistage ajavöönd.

    timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

    Veenduge, et teie süsteem on ajakohane.

    sudo dnf check-upgrade || sudo dnf upgrade -y

    Installige vajalikud paketid.

    sudo dnf install -y socat git

    Keelake SELinux ja tulemüür.

    sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

    Installige Acme.sh klient ja hankige Let's Encrypt TLS-sertifikaat

    Selles juhendis kasutame Let's Encrypt SSL-sertifikaatide hankimiseks klienti Acme.sh. Võite kasutada klienti, kellega olete kõige paremini tuttav.

    Laadige alla ja installige Acme.sh .

    sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

    Kontrolli versiooni.

    /etc/letsencrypt/acme.sh --version
# v2.8.1

    Hankige oma domeeni jaoks RSA ja ECDSA sertifikaadid.

    # RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

    MÄRKUS. Asendage example.comkäsud oma domeeninimega.

    Pärast eelmiste käskude käivitamist on teie sertifikaadid ja võtmed juurdepääsetavad aadressil:

    • RSA: /etc/letsencrypt/example.com.
    • ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

    Installige Nginx

    Nginx lisas versioonis 1.13.0 TLS 1.3 toe. Fedora 29 on varustatud Nginxi ja OpenSSL-iga, mis toetavad TLS 1.3, nii et pole vaja kohandatud versiooni luua.

    Installige Nginx.

    sudo dnf install -y nginx

    Kontrolli versiooni.

    nginx -v
# nginx version: nginx/1.14.2

    Kontrollige OpenSSL-i versiooni, mille alusel Nginx kompileeriti.

    nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

    Käivitage ja lubage Nginx.

    sudo systemctl start nginx.service
sudo systemctl enable nginx.service

    Nginxi konfigureerimine

    Nüüd, kui oleme Nginxi edukalt installinud, oleme valmis selle õige konfiguratsiooniga konfigureerima, et alustada TLS 1.3 kasutamist meie serveris.

    Käivitage sudo vim /etc/nginx/conf.d/example.com.confkäsk ja sisestage fail järgmise konfiguratsiooniga.

    server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

    Salvestage fail ja väljuge klahviga :+ W+ Q.

    Pange tähele direktiivi uut TLSv1.3parameetrit ssl_protocols. See parameeter on vajalik ainult TLS 1.3 lubamiseks Nginxis.

    Kontrollige konfiguratsiooni.

    sudo nginx -t

    Laadige Nginx uuesti.

    sudo systemctl reload nginx.service

    TLS 1.3 kontrollimiseks võite kasutada brauseri arendaja tööriistu või SSL Labsi teenust. Allolevatel ekraanipiltidel on näha Chrome'i turvalisuse vahekaart.

    Kuidas lubada TLS 1.3 Nginxis Fedora 29-s

    Kuidas lubada TLS 1.3 Nginxis Fedora 29-s

    See on kõik. Olete oma Fedora 29 serveris Nginxis TLS 1.3 edukalt lubanud. TLS 1.3 lõplik versioon määratleti 2018. aasta augustis, seega pole paremat aega selle uue tehnoloogia kasutuselevõtuks.

    Jäta kommentaar

    Masinate tõus: AI tegelikud rakendused

    Masinate tõus: AI tegelikud rakendused

    Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.

    DDOS-i rünnakud: lühike ülevaade

    DDOS-i rünnakud: lühike ülevaade

    Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.

    Andmesalvestuse areng – infograafik

    Andmesalvestuse areng – infograafik

    Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit