Kuinka ottaa TLS 1.3 käyttöön Nginxissä Fedora 29:ssä

Johdanto

TLS 1.3 on versio TLS (Transport Layer Security) -protokollasta, joka julkaistiin vuonna 2018 RFC 8446 -standardin ehdotuksena . Se tarjoaa parannuksia turvallisuuteen ja suorituskykyyn verrattuna edeltäjiinsä.

Tämä opas näyttää, kuinka TLS 1.3 otetaan käyttöön Fedora 29:n Nginx-verkkopalvelimella.

Vaatimukset

• Nginx-versio 1.13.0tai uudempi.
• OpenSSL-versio 1.1.1tai uudempi.
• Vultr Cloud Compute (VC2) -esiintymä, jossa on Fedora 29.
• Kelvollinen verkkotunnus ja määritetty oikein A/ AAAA/ CNAMEDNS-tietueita.
• Kelvollinen TLS-varmenne. Hankimme sellaisen Let's Encryptiltä.

Ennen kuin aloitat

Tarkista Fedora-versio.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Luo uusi non-rootkäyttäjätili sudoja vaihda siihen.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

HUOMAA: Korvaa johndoekäyttäjätunnuksellasi.

Aseta aikavyöhyke.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Varmista, että järjestelmäsi on ajan tasalla.

sudo dnf check-upgrade || sudo dnf upgrade -y

Asenna tarvittavat paketit.

sudo dnf install -y socat git

Poista SELinux ja palomuuri käytöstä.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Asenna Acme.sh-asiakas ja hanki TLS-sertifikaatti Let's Encryptiltä

Tässä oppaassa käytämme Acme.sh-asiakasohjelmaa SSL-sertifikaattien hankkimiseen Let's Encryptiltä. Voit käyttää asiakasta, jonka tunnet parhaiten.

Lataa ja asenna Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Tarkista versio.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Hanki RSA- ja ECDSA-sertifikaatit verkkotunnuksellesi.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

HUOMAUTUS: Korvaa example.comkomennot verkkotunnuksellasi.

Edellisten komentojen suorittamisen jälkeen varmenteesi ja avaimesi ovat käytettävissä osoitteessa:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Asenna Nginx

Nginx lisäsi tuen TLS 1.3:lle versiossa 1.13.0. Fedora 29:n mukana tulee Nginx ja OpenSSL, jotka tukevat TLS 1.3:a heti valmiina, joten mukautettua versiota ei tarvitse rakentaa.

Asenna Nginx.

sudo dnf install -y nginx

Tarkista versio.

nginx -v
# nginx version: nginx/1.14.2

Tarkista OpenSSL-versio, jota vastaan ​​Nginx on käännetty.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Käynnistä ja ota Nginx käyttöön.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Määritä Nginx

Nyt kun olemme asentaneet Nginxin onnistuneesti, olemme valmiita määrittämään sen oikealla kokoonpanolla aloittaaksemme TLS 1.3:n käytön palvelimellamme.

Suorita sudo vim /etc/nginx/conf.d/example.com.confkomento ja täytä tiedosto seuraavalla kokoonpanolla.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Tallenna tiedosto ja poistu :+ W+ Q.

Huomaa direktiivin uusi TLSv1.3parametri ssl_protocols. Tämä parametri on tarpeen vain TLS 1.3:n ottamiseksi käyttöön Nginxissä.

Tarkista kokoonpano.

sudo nginx -t

Lataa Nginx uudelleen.

sudo systemctl reload nginx.service

Voit varmistaa TLS 1.3:n käyttämällä selaimen kehitystyökaluja tai SSL Labs -palvelua. Alla olevissa kuvakaappauksissa näkyy Chromen suojausvälilehti.

Siinä kaikki. Olet onnistuneesti ottanut TLS 1.3:n käyttöön Nginxissä Fedora 29 -palvelimellasi. TLS 1.3:n lopullinen versio määriteltiin elokuussa 2018, joten ei ole parempaa aikaa aloittaa tämän uuden tekniikan käyttöönotto.