Kuinka ottaa TLS 1.3 käyttöön Apachessa CentOS 8:ssa

TLS 1.3 on versio Transport Layer Security (TLS) -protokollasta, joka julkaistiin vuonna 2018 ehdotettuna standardina RFC 8446:ssa. Se tarjoaa parannuksia turvallisuuteen ja suorituskykyyn verrattuna edeltäjiinsä.

Tämä opas näyttää, kuinka TLS 1.3 otetaan käyttöön CentOS 8:n Apache-verkkopalvelimella.

Vaatimukset

• Vultr Cloud Compute (VC2) -esiintymä, jossa on käytössä CentOS 8.
• Kelvollinen verkkotunnus ja määritetty oikein A/ AAAA/ CNAMEDNS-tietueita.
• Kelvollinen TLS-varmenne. Hankimme sellaisen Let's Encryptiltä.
• Apache-versio 2.4.36tai uudempi.
• OpenSSL-versio 1.1.1tai uudempi.

Ennen kuin aloitat

Tarkista CentOS-versio.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Luo uusi non-rootkäyttäjätili sudoja vaihda siihen.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

HUOMAA: Korvaa johndoekäyttäjätunnuksellasi.

Aseta aikavyöhyke.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Varmista, että järjestelmäsi on ajan tasalla.

sudo yum update

Asenna tarvittavat paketit.

sudo yum install -y socat git

Poista SELinux ja palomuuri käytöstä.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Asenna acme.shasiakas ja hanki TLS-sertifikaatti Let's Encryptiltä

Asenna acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Tarkista versio.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Hanki RSA- ja ECDSA-sertifikaatit verkkotunnuksellesi.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

HUOMAUTUS: Korvaa example.comkomennot verkkotunnuksesi nimellä.

Luo järkeviä hakemistoja sertifikaattien ja avainten tallentamiseen. Käytämme /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Asenna ja kopioi sertifikaatit tiedostoon /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Kun olet suorittanut yllä olevat komennot, varmenteesi ja avaimesi ovat seuraavissa paikoissa:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Asenna Apache

Apache lisäsi tuen TLS 1.3:lle versiossa 2.4.36. CentOS 8 -järjestelmän mukana tulee Apache ja OpenSSL, jotka tukevat TLS 1.3:a heti valmiina, joten mukautettua versiota ei tarvitse rakentaa.

Lataa ja asenna Apachen uusin versio 2.4 ja sen SSL-moduuli yumpaketinhallinnan kautta .

sudo yum install -y httpd mod_ssl

Tarkista versio.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Käynnistä ja ota Apache käyttöön.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Määritä Apache TLS 1.3:lle

Nyt kun olemme asentaneet Apachen onnistuneesti, olemme valmiita määrittämään sen aloittamaan TLS 1.3:n käytön palvelimellamme.

Suorita sudo vim /etc/httpd/conf.d/example.com.confja täytä tiedosto seuraavalla peruskokoonpanolla.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Tallenna tiedosto ja poistu :+ W+ Q.

Tarkista kokoonpano.

sudo apachectl configtest

Lataa Apache uudelleen aktivoidaksesi uudet asetukset.

sudo systemctl reload httpd.service

Avaa sivustosi HTTPS-protokollan kautta selaimessasi. Voit varmistaa TLS 1.3:n käyttämällä selaimen kehitystyökaluja tai SSL Labs -palvelua. Alla olevissa kuvakaappauksissa näkyy Chromen suojausvälilehti ja TLS 1.3 toiminnassa.

Olet onnistuneesti ottanut TLS 1.3:n käyttöön CentOS 8 -palvelimesi Apachessa. TLS 1.3:n lopullinen versio määriteltiin elokuussa 2018, joten ei ole parempaa aikaa aloittaa tämän uuden tekniikan käyttöönotto.