Kuinka ottaa TLS 1.3 käyttöön Apachessa Debian 10:ssä

• Vaatimukset
• Ennen kuin aloitat
• Asenna acme.sh-asiakas ja hanki TLS-sertifikaatti Let's Encryptiltä
• Asenna Apache
• Määritä Apache TLS 1.3:lle

TLS 1.3 on versio Transport Layer Security (TLS) -protokollasta, joka julkaistiin vuonna 2018 ehdotettuna standardina RFC 8446:ssa. Se tarjoaa parannuksia turvallisuuteen ja suorituskykyyn verrattuna edeltäjiinsä.

Tämä opas näyttää, kuinka TLS 1.3 otetaan käyttöön Debian 10:n Apache-verkkopalvelimella.

Vaatimukset

• Vultr Cloud Compute (VC2) -esiintymä, jossa on Debian 10 (Buster).
• Kelvollinen verkkotunnus ja määritetty oikein A/ AAAA/ CNAMEDNS-tietueita.
• Kelvollinen TLS-varmenne. Hankimme sellaisen Let's Encryptiltä.
• Apache-versio 2.4.36tai uudempi.
• OpenSSL-versio 1.1.1tai uudempi.

Ennen kuin aloitat

Tarkista Debian-versio.

lsb_release -ds # Debian GNU/Linux 10 (buster)

Luo uusi non-rootkäyttäjätili sudoja vaihda siihen.

adduser johndoe --gecos "John Doe" usermod -aG sudo johndoe su - johndoe

HUOMAA : Korvaa johndoekäyttäjätunnuksellasi .

Aseta aikavyöhyke.

sudo dpkg-reconfigure tzdata

Varmista, että järjestelmäsi on ajan tasalla.

sudo apt update && sudo apt upgrade -y

Asenna tarvittavat paketit.

sudo apt install -y zip unzip curl wget git socat

Asenna acme.shasiakas ja hanki TLS-sertifikaatti Let's Encryptiltä

Asenna acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Tarkista versio.

/etc/letsencrypt/acme.sh --version # v2.8.2

Hanki RSA- ja ECDSA-sertifikaatit verkkotunnuksellesi.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

HUOMAUTUS: Korvaa example.comkomennot verkkotunnuksesi nimellä.

Luo järkeviä hakemistoja sertifikaattien ja avainten tallentamiseen. Käytämme /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Asenna ja kopioi sertifikaatit tiedostoon /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Kun olet suorittanut yllä olevat komennot, varmenteesi ja avaimesi ovat seuraavissa paikoissa:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Asenna Apache

Apache lisäsi tuen TLS 1.3:lle versiossa 2.4.36. Debian 10 -järjestelmän mukana tulee Apache ja OpenSSL, jotka tukevat TLS 1.3:a heti valmiina, joten mukautettua versiota ei tarvitse rakentaa.

Lataa ja asenna Apachen uusin 2.4-haara aptpaketinhallinnan kautta .

sudo apt install -y apache2

Tarkista versio.

sudo apache2 -v # Server version: Apache/2.4.38 (Debian) # Server built: 2019-04-07T18:15:40

Määritä Apache TLS 1.3:lle

Nyt kun olemme asentaneet Apachen onnistuneesti, olemme valmiita määrittämään sen aloittamaan TLS 1.3:n käytön palvelimellamme.

Ota ensin SSL-moduuli käyttöön.

sudo a2enmod ssl

Käynnistä Apache uudelleen.

sudo systemctl restart apache2

Suorita sudo vim /etc/apache2/sites-available/example.com.confja täytä tiedosto seuraavalla peruskokoonpanolla.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Tallenna tiedosto ja poistu.

Aktivoi uusi asetustiedosto linkittämällä tiedosto sites-enabledhakemistoon.

sudo a2ensite example.com.conf

Tarkista kokoonpano.

sudo apachectl configtest

Lataa Apache uudelleen.

sudo systemctl reload apache2

Avaa sivustosi HTTPS-protokollan kautta selaimessasi. Voit varmistaa TLS 1.3:n käyttämällä selaimen kehitystyökaluja tai SSL Labs -palvelua. Alla olevissa kuvakaappauksissa näkyy Chromen suojausvälilehti ja TLS 1.3 toiminnassa.

Olet ottanut TLS 1.3:n käyttöön Debian 10 -palvelimesi Apachessa. TLS 1.3:n lopullinen versio määriteltiin elokuussa 2018, joten ei ole parempaa aikaa aloittaa tämän uuden tekniikan käyttöönotto.