Hvernig á að virkja TLS 1.3 í Apache á FreeBSD 12

TLS 1.3 er útgáfa af Transport Layer Security (TLS) samskiptareglunum sem var gefin út árið 2018 sem fyrirhugaður staðall í RFC 8446 . Það býður upp á öryggi og frammistöðubætir miðað við forvera sína.

Þessi handbók mun sýna hvernig á að virkja TLS 1.3 með Apache vefþjóninum á FreeBSD 12.

Kröfur

• Vultr Cloud Compute (VC2) tilvik sem keyrir FreeBSD 12.
• Gilt lén og rétt stilltar A/ AAAA/ CNAMEDNS færslur fyrir lénið þitt.
• Gilt TLS vottorð. Við munum fá einn frá Let's Encrypt.
• Apache útgáfa 2.4.36eða nýrri.
• OpenSSL útgáfa 1.1.1eða nýrri.

Áður en þú byrjar

Athugaðu FreeBSD útgáfuna.

uname -ro
# FreeBSD 12.0-RELEASE

Gakktu úr skugga um að FreeBSD kerfið þitt sé uppfært.

freebsd-update fetch install
pkg update && pkg upgrade -y

Settu upp nauðsynlega pakka ef þeir eru ekki til staðar á kerfinu þínu.

pkg install -y sudo vim unzip wget bash socat git

Búðu til nýjan notandareikning með valinn notandanafni þínu (við munum nota johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Keyrðu visudoskipunina og afskrifaðu %wheel ALL=(ALL) ALLlínuna til að leyfa meðlimum wheelhópsins að framkvæma hvaða skipun sem er.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Nú skaltu skipta yfir í nýstofnaðan notanda með su.

su - johndoe

ATH: Skiptu út johndoefyrir notendanafnið þitt.

Settu upp tímabeltið.

sudo tzsetup

Settu upp acme.shbiðlarann ​​og fáðu TLS vottorð frá Let's Encrypt

Settu upp acme.sh.

sudo pkg install -y acme.sh

Athugaðu útgáfuna.

acme.sh --version
# v2.7.9

Fáðu RSA og ECDSA vottorð fyrir lénið þitt.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ATHUGIÐ: Skiptu example.comum skipanir með léninu þínu.

Búðu til skynsamlegar möppur til að geyma skírteinin þín og lykla í. Við munum nota /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Settu upp og afritaðu vottorð til /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Eftir að hafa keyrt ofangreindar skipanir verða vottorð þín og lyklar á eftirfarandi stöðum:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Settu upp Apache

Apache bætti við stuðningi við TLS 1.3 í útgáfu 2.4.36. FreeBSD 12 kerfið kemur með Apache og OpenSSL sem styðja TLS 1.3 strax, svo það er engin þörf á að smíða sérsniðna útgáfu.

Sæktu og settu upp nýjustu 2.4 útibú Apache í gegnum pkgpakkastjórann.

sudo pkg install -y apache24

Athugaðu útgáfuna.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Byrjaðu og virkjaðu Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Stilltu Apache fyrir TLS 1.3

Nú þegar við höfum sett upp Apache með góðum árangri erum við tilbúin að stilla það til að byrja að nota TLS 1.3 á netþjóninum okkar.

ATHUGIÐ: Í FreeBSD er mod_ssleiningin sjálfkrafa virkjuð bæði í pakkanum og gáttinni

Keyrðu sudo vim /usr/local/etc/apache24/httpd.confog láttu SSL eininguna fylgja með því að hætta að skrifa athugasemdir LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Keyrðu sudo vim /usr/local/etc/apache24/Includes/example.com.confog fylltu út skrána með eftirfarandi grunnstillingu.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Vistaðu skrána og lokaðu með :+ W+ Q.

Athugaðu stillinguna.

sudo service apache24 configtest

Endurhlaða Apache.

sudo service apache24 reload

Opnaðu síðuna þína með HTTPS samskiptareglum í vafranum þínum. Til að staðfesta TLS 1.3 geturðu notað þróunarverkfæri vafra eða SSL Labs þjónustu. Skjámyndirnar hér að neðan sýna öryggisflipa Chrome með TLS 1.3 í aðgerð.

Þú hefur virkjað TLS 1.3 í Apache á FreeBSD þjóninum þínum. Endanleg útgáfa af TLS 1.3 var skilgreind í ágúst 2018, svo það er enginn betri tími til að byrja að taka upp þessa nýju tækni.