Kuidas lubada TLS 1.3 Nginxis FreeBSD 12-s

TLS 1.3 on transpordikihi turvalisuse (TLS) protokolli versioon, mis avaldati 2018. aastal RFC 8446 pakutud standardina . See pakub eelkäijatega võrreldes turvalisuse ja jõudluse täiustusi.

See juhend näitab, kuidas lubada TLS 1.3 Nginxi veebiserveri abil FreeBSD 12-s.

Nõuded

• Vultr Cloud Compute (VC2) eksemplar, milles töötab FreeBSD 12.
• Kehtiv domeeninime ja õigesti konfigureeritud A/ AAAA/ CNAMEDNS kirjed teie domeeni.
• Kehtiv TLS-sertifikaat. Saame selle Let's Encryptilt.
• Nginxi versioon 1.13.0või uuem.
• OpenSSL-i versioon 1.1.1või uuem.

Enne alustamist

Kontrollige FreeBSD versiooni.

uname -ro
# FreeBSD 12.0-RELEASE

Veenduge, et teie FreeBSD süsteem on ajakohane.

freebsd-update fetch install
pkg update && pkg upgrade -y

Installige vajalikud paketid, kui neid teie süsteemis pole.

pkg install -y sudo vim unzip wget bash socat git

Loo uus kasutajakonto oma eelistatud kasutajanimega (kasutame johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Käivitage visudokäsk ja tühjendage %wheel ALL=(ALL) ALLrea kommentaarid , et wheelrühma liikmed saaksid mis tahes käsku täita.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Nüüd lülituge oma vastloodud kasutajale, kasutades su.

su - johndoe

MÄRKUS. Asendage johndoeoma kasutajanimega.

Seadistage ajavöönd.

sudo tzsetup

Installige acme.sh klient ja hankige Let's Encrypti kaudu TLS-sertifikaat

Installige acme.sh.

sudo pkg install -y acme.sh

Kontrolli versiooni.

acme.sh --version
# v2.7.9

Hankige oma domeeni jaoks RSA ja ECDSA sertifikaadid.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

MÄRKUS. Asendage example.comkäsud oma domeeninimega.

Looge oma sertifikaatide ja võtmete salvestamiseks katalooge. Me kasutame /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Installige ja kopeerige sertifikaadid /etc/letsencryptkataloogi.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Pärast ülaltoodud käskude käivitamist asuvad teie sertifikaadid ja võtmed järgmistes kohtades:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Installige Nginx

Nginx lisas versioonis 1.13.0 TLS 1.3 toe. FreeBSD 12 süsteemiga on kaasas Nginx ja OpenSSL, mis toetavad TLS 1.3, nii et pole vaja kohandatud versiooni luua.

Laadige alla ja installige pkgpaketihalduri kaudu Nginxi uusim põhiversioon .

sudo pkg install -y nginx-devel

Kontrolli versiooni.

nginx -v
# nginx version: nginx/1.15.8

Kontrollige OpenSSL-i versiooni, mille alusel Nginx kompileeriti.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Käivitage ja lubage Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Nginxi konfigureerimine

Nüüd, kui oleme Nginxi edukalt installinud, oleme valmis selle õige konfiguratsiooniga konfigureerima, et alustada TLS 1.3 kasutamist meie serveris.

Käivitage sudo vim /usr/local/etc/nginx/example.com.confkäsk ja sisestage fail järgmise konfiguratsiooniga.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Salvestage fail ja väljuge klahviga :+ W+ Q.

Nüüd peavad sisaldama example.com.confpeamistes nginx.conffaili.

Käivitage sudo vim /usr/local/etc/nginx/nginx.confja lisage http {}plokki järgmine rida .

include example.com.conf;

Pange tähele direktiivi uut TLSv1.3parameetrit ssl_protocols. See parameeter on vajalik ainult TLS 1.3 lubamiseks Nginxi serveris.

Kontrollige konfiguratsiooni.

sudo nginx -t

Laadige Nginx uuesti.

sudo service nginx reload

TLS 1.3 kontrollimiseks võite kasutada brauseri arendaja tööriistu või SSL Labsi teenust. Allolevatel ekraanipiltidel on näha Chrome'i turvalisuse vahekaart.

Olete oma FreeBSD serveris Nginxis TLS 1.3 edukalt lubanud. TLS 1.3 lõplik versioon määratleti 2018. aasta augustis, seega pole paremat aega selle uue tehnoloogia kasutuselevõtuks.