Kuinka ottaa TLS 1.3 käyttöön Nginxissä FreeBSD 12:ssa

TLS 1.3 on versio TLS (Transport Layer Security) -protokollasta, joka julkaistiin vuonna 2018 RFC 8446 -standardin ehdotuksena . Se tarjoaa parannuksia turvallisuuteen ja suorituskykyyn verrattuna edeltäjiinsä.

Tämä opas näyttää, kuinka TLS 1.3 otetaan käyttöön Nginx-verkkopalvelimella FreeBSD 12:ssa.

Vaatimukset

• Vultr Cloud Compute (VC2) -esiintymä, jossa on käynnissä FreeBSD 12.
• Kelvollinen verkkotunnus ja määritetty oikein A/ AAAA/ CNAMEDNS-tietueita.
• Kelvollinen TLS-varmenne. Hankimme sellaisen Let's Encryptiltä.
• Nginx-versio 1.13.0tai uudempi.
• OpenSSL-versio 1.1.1tai uudempi.

Ennen kuin aloitat

Tarkista FreeBSD-versio.

uname -ro
# FreeBSD 12.0-RELEASE

Varmista, että FreeBSD-järjestelmäsi on ajan tasalla.

freebsd-update fetch install
pkg update && pkg upgrade -y

Asenna tarvittavat paketit, jos niitä ei ole järjestelmässäsi.

pkg install -y sudo vim unzip wget bash socat git

Luo uusi käyttäjätili haluamallasi käyttäjätunnuksella (käytämme johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Suorita visudokomento ja poista %wheel ALL=(ALL) ALLrivin kommentti , jotta ryhmän jäsenet wheelvoivat suorittaa minkä tahansa komennon.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Vaihda nyt äskettäin luotuun käyttäjään käyttämällä su.

su - johndoe

HUOMAA: Korvaa johndoekäyttäjätunnuksellasi.

Aseta aikavyöhyke.

sudo tzsetup

Asenna acme.sh-asiakas ja hanki TLS-sertifikaatti Let's Encryptiltä

Asenna acme.sh.

sudo pkg install -y acme.sh

Tarkista versio.

acme.sh --version
# v2.7.9

Hanki RSA- ja ECDSA-sertifikaatit verkkotunnuksellesi.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

HUOMAUTUS: Korvaa example.comkomennot verkkotunnuksellasi.

Luo hakemistoja sertifikaattien ja avainten tallentamiseen. Tulemme käyttämään /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Asenna ja kopioi sertifikaatit /etc/letsencrypthakemistoon.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Kun olet suorittanut yllä olevat komennot, varmenteesi ja avaimesi ovat seuraavissa paikoissa:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Asenna Nginx

Nginx lisäsi tuen TLS 1.3:lle versiossa 1.13.0. FreeBSD 12 -järjestelmän mukana tulee Nginx ja OpenSSL, jotka tukevat TLS 1.3:a heti valmiina, joten mukautettua versiota ei tarvitse rakentaa.

Lataa ja asenna Nginxin uusin pääversio pkgpaketinhallinnan kautta .

sudo pkg install -y nginx-devel

Tarkista versio.

nginx -v
# nginx version: nginx/1.15.8

Tarkista OpenSSL-versio, jota vastaan ​​Nginx on käännetty.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Käynnistä ja ota Nginx käyttöön.

sudo sysrc nginx_enable=yes
sudo service nginx start

Määritä Nginx

Nyt kun olemme asentaneet Nginxin onnistuneesti, olemme valmiita määrittämään sen oikealla kokoonpanolla aloittaaksemme TLS 1.3:n käytön palvelimellamme.

Suorita sudo vim /usr/local/etc/nginx/example.com.confkomento ja täytä tiedosto seuraavalla kokoonpanolla.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Tallenna tiedosto ja poistu :+ W+ Q.

Nyt meidän täytyy sisällyttää example.com.confpääasiassa nginx.conftiedostoon.

Suorita sudo vim /usr/local/etc/nginx/nginx.confja lisää seuraava rivi http {}lohkoon.

include example.com.conf;

Huomaa direktiivin uusi TLSv1.3parametri ssl_protocols. Tämä parametri on tarpeen vain TLS 1.3:n ottamiseksi käyttöön Nginx-palvelimella.

Tarkista kokoonpano.

sudo nginx -t

Lataa Nginx uudelleen.

sudo service nginx reload

Voit varmistaa TLS 1.3:n käyttämällä selaimen kehitystyökaluja tai SSL Labs -palvelua. Alla olevissa kuvakaappauksissa näkyy Chromen suojausvälilehti.

Olet onnistuneesti ottanut TLS 1.3:n käyttöön Nginxissä FreeBSD-palvelimellasi. TLS 1.3:n lopullinen versio määriteltiin elokuussa 2018, joten ei ole parempaa aikaa aloittaa tämän uuden tekniikan käyttöönotto.