Hvernig á að virkja TLS 1.3 í Nginx á Debian 9

Kynning

TLS 1.3 er útgáfa af Transport Layer Security (TLS) samskiptareglum sem gefin var út árið 2018 sem fyrirhugaður staðall í RFC 8446 . Það býður upp á öryggi og frammistöðubætir miðað við forvera sína.

Þessi handbók útskýrir hvernig á að virkja TLS 1.3 með því að nota Nginx vefþjóninn á Debian 9.

Kröfur

• Nginx útgáfa 1.13.0eða nýrri.
• OpenSSL útgáfa 1.1.1eða nýrri.
• Vultr Cloud Compute (VC2) tilvik sem keyrir Debian 9 x64 (teygja).
• Gilt lén og rétt stilltar A/ AAAA/ CNAMEDNS færslur fyrir lénið þitt.
• Gilt TLS vottorð. Við munum fá einn frá Let's Encrypt.

Áður en þú byrjar

Athugaðu Debian útgáfuna.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Gakktu úr skugga um að kerfið þitt sé uppfært.

apt update && apt upgrade -y

Settu upp nauðsynlega pakka.

apt install -y git unzip curl sudo socat build-essential

Búðu til nýjan notandareikning sem ekki er rót með sudoaðgangi og skiptu yfir í hann.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

ATH: Skiptu út johndoefyrir notendanafnið þitt.

Settu upp tímabeltið.

sudo dpkg-reconfigure tzdata

Settu upp Acme.sh biðlarann ​​og fáðu TLS vottorð frá Let's Encrypt

Sækja og setja upp Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Athugaðu útgáfuna.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Fáðu RSA og ECDSA vottorð fyrir lénið þitt.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

ATH: Skiptu út example.comfyrir lénið þitt.

Eftir að hafa keyrt fyrri skipanir eru vottorð þín og lyklar aðgengilegir á eftirfarandi stöðum:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Byggðu Nginx frá Source

Nginx bætti við stuðningi við TLS 1.3 í útgáfu 1.13.0. Á flestum Linux dreifingum, þar á meðal Debian 9, er Nginx byggt með eldri OpenSSL útgáfunni, sem styður ekki TLS 1.3. Þar af leiðandi þurfum við okkar eigin sérsniðnu Nginx byggingu sem tengist OpenSSL 1.1.1 útgáfunni, sem inniheldur stuðning fyrir TLS 1.3.

Sæktu nýjustu aðalútgáfuna af Nginx frumkóðanum og dragðu hann út.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Sæktu OpenSSL 1.1.1c frumkóðann og dragðu hann út.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Eyða öllum .tar.gzskrám, þar sem þeirra er ekki þörf lengur.

rm -rf *.tar.gz

Sláðu inn Nginx upprunaskrána.

cd ~/nginx-1.17.0

Stilltu, settu saman og settu upp Nginx. Til einföldunar munum við taka saman aðeins nauðsynlegar einingar sem eru nauðsynlegar til að TLS 1.3 virki. Ef þú þarft fulla Nginx byggingu geturðu lesið þessa Vultr handbók um Nginx samantekt.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Búðu til Nginx kerfishóp og notanda.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Tákntengill /usr/lib/nginx/modulestil /etc/nginx/modules. Hið síðarnefnda er staðalbúnaður fyrir Nginx einingar.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Búðu til Nginx skyndiminni möppur og stilltu réttar heimildir.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Athugaðu Nginx útgáfuna.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Búðu til Nginx systemd einingaskrá.

sudo vim /etc/systemd/system/nginx.service

Fylltu út skrána með eftirfarandi uppsetningu.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Ræstu og virkjaðu Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Búa til conf.d, sites-availableog sites-enabledframkvæmdarstjóra í /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Keyrðu sudo vim /etc/nginx/nginx.confog bættu eftirfarandi tveimur tilskipunum við lok skráarinnar, rétt fyrir lokunina }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Vistaðu skrána og lokaðu með :+ W+ Q.

Stilltu Nginx fyrir TLS 1.3

Nú þegar við höfum smíðað Nginx með góðum árangri erum við tilbúin að stilla það til að byrja að nota TLS 1.3 á netþjóninum okkar.

Keyrðu sudo vim /etc/nginx/conf.d/example.com.confog fylltu út skrána með eftirfarandi stillingum.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Vistaðu skrána og lokaðu með :+ W+ Q.

Taktu eftir nýju TLSv1.3stikunni í ssl_protocolstilskipuninni. Þessi færibreyta er nauðsynleg til að virkja TLS 1.3.

Athugaðu stillinguna.

sudo nginx -t

Endurhlaða Nginx.

sudo systemctl reload nginx.service

Til að staðfesta TLS 1.3 geturðu notað þróunarverkfæri vafra eða SSL Labs þjónustu. Skjámyndirnar hér að neðan sýna öryggisflipa Chrome sem gefur til kynna að TLS 1.3 sé að virka.

Til hamingju! Þú hefur virkjað TLS 1.3 á Debian 9 þjóninum þínum.