Hvernig á að virkja TLS 1.3 í Apache á Debian 10

• Kröfur
• Áður en þú byrjar
• Settu upp acme.sh biðlarann ​​og fáðu TLS vottorð frá Let's Encrypt
• Settu upp Apache
• Stilltu Apache fyrir TLS 1.3

TLS 1.3 er útgáfa af Transport Layer Security (TLS) samskiptareglunum sem var gefin út árið 2018 sem fyrirhugaður staðall í RFC 8446. Það býður upp á öryggi og frammistöðubætir frá forverum sínum.

Þessi handbók mun sýna hvernig á að virkja TLS 1.3 með Apache vefþjóninum á Debian 10.

Kröfur

• Vultr Cloud Compute (VC2) tilvik sem keyrir Debian 10 (Buster).
• Gilt lén og rétt stilltar A/ AAAA/ CNAMEDNS færslur fyrir lénið þitt.
• Gilt TLS vottorð. Við munum fá einn frá Let's Encrypt.
• Apache útgáfa 2.4.36eða nýrri.
• OpenSSL útgáfa 1.1.1eða nýrri.

Áður en þú byrjar

Athugaðu Debian útgáfuna.

lsb_release -ds # Debian GNU/Linux 10 (buster)

Búðu til nýjan non-rootnotandareikning með sudoaðgangi og skiptu yfir í hann.

adduser johndoe --gecos "John Doe" usermod -aG sudo johndoe su - johndoe

ATH : Skiptu út johndoefyrir notendanafnið þitt .

Settu upp tímabeltið.

sudo dpkg-reconfigure tzdata

Gakktu úr skugga um að kerfið þitt sé uppfært.

sudo apt update && sudo apt upgrade -y

Settu upp nauðsynlega pakka.

sudo apt install -y zip unzip curl wget git socat

Settu upp acme.shbiðlarann ​​og fáðu TLS vottorð frá Let's Encrypt

Settu upp acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Athugaðu útgáfuna.

/etc/letsencrypt/acme.sh --version # v2.8.2

Fáðu RSA og ECDSA vottorð fyrir lénið þitt.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ATHUGIÐ: Skiptu example.comum skipanir með léninu þínu.

Búðu til skynsamlegar möppur til að geyma skírteinin þín og lykla í. Við munum nota /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Settu upp og afritaðu vottorð í /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Eftir að hafa keyrt ofangreindar skipanir verða vottorð þín og lyklar á eftirfarandi stöðum:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Settu upp Apache

Apache bætti við stuðningi við TLS 1.3 í útgáfu 2.4.36. Debian 10 kerfið kemur með Apache og OpenSSL sem styðja TLS 1.3 strax, svo það er engin þörf á að smíða sérsniðna útgáfu.

Sæktu og settu upp nýjustu 2.4 útibú Apache í gegnum aptpakkastjórann.

sudo apt install -y apache2

Athugaðu útgáfuna.

sudo apache2 -v # Server version: Apache/2.4.38 (Debian) # Server built: 2019-04-07T18:15:40

Stilltu Apache fyrir TLS 1.3

Nú þegar við höfum sett upp Apache með góðum árangri erum við tilbúin að stilla það til að byrja að nota TLS 1.3 á netþjóninum okkar.

Fyrst skaltu virkja SSL eininguna.

sudo a2enmod ssl

Endurræstu Apache.

sudo systemctl restart apache2

Keyrðu sudo vim /etc/apache2/sites-available/example.com.confog fylltu út skrána með eftirfarandi grunnstillingu.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Vistaðu skrána og hættu.

Virkjaðu nýju stillingarskrána með því að tengja skrána við sites-enabledmöppuna.

sudo a2ensite example.com.conf

Athugaðu stillinguna.

sudo apachectl configtest

Endurhlaða Apache.

sudo systemctl reload apache2

Opnaðu síðuna þína með HTTPS samskiptareglum í vafranum þínum. Til að staðfesta TLS 1.3 geturðu notað þróunarverkfæri vafra eða SSL Labs þjónustu. Skjámyndirnar hér að neðan sýna öryggisflipa Chrome með TLS 1.3 í aðgerð.

Þú hefur virkjað TLS 1.3 í Apache á Debian 10 þjóninum þínum. Endanleg útgáfa af TLS 1.3 var skilgreind í ágúst 2018, svo það er enginn betri tími til að byrja að taka upp þessa nýju tækni.