Hvernig á að virkja TLS 1.3 í Nginx á FreeBSD 12

TLS 1.3 er útgáfa af Transport Layer Security (TLS) samskiptareglunum sem var gefin út árið 2018 sem fyrirhugaður staðall í RFC 8446 . Það býður upp á öryggi og frammistöðubætir miðað við forvera sína.

Þessi handbók mun sýna hvernig á að virkja TLS 1.3 með því að nota Nginx vefþjóninn á FreeBSD 12.

Kröfur

• Vultr Cloud Compute (VC2) tilvik sem keyrir FreeBSD 12.
• Gilt lén og rétt stilltar A/ AAAA/ CNAMEDNS færslur fyrir lénið þitt.
• Gilt TLS vottorð. Við munum fá einn frá Let's Encrypt.
• Nginx útgáfa 1.13.0eða nýrri.
• OpenSSL útgáfa 1.1.1eða nýrri.

Áður en þú byrjar

Athugaðu FreeBSD útgáfuna.

uname -ro
# FreeBSD 12.0-RELEASE

Gakktu úr skugga um að FreeBSD kerfið þitt sé uppfært.

freebsd-update fetch install
pkg update && pkg upgrade -y

Settu upp nauðsynlega pakka ef þeir eru ekki til staðar á kerfinu þínu.

pkg install -y sudo vim unzip wget bash socat git

Búðu til nýjan notandareikning með valinn notandanafni þínu (við munum nota johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Keyrðu visudoskipunina og afskrifaðu %wheel ALL=(ALL) ALLlínuna til að leyfa meðlimum wheelhópsins að framkvæma hvaða skipun sem er.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Nú skaltu skipta yfir í nýstofnaðan notanda með su.

su - johndoe

ATH: Skiptu út johndoefyrir notendanafnið þitt.

Settu upp tímabeltið.

sudo tzsetup

Settu upp acme.sh biðlarann ​​og fáðu TLS vottorð frá Let's Encrypt

Settu upp acme.sh.

sudo pkg install -y acme.sh

Athugaðu útgáfuna.

acme.sh --version
# v2.7.9

Fáðu RSA og ECDSA vottorð fyrir lénið þitt.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ATHUGIÐ: Skiptu example.comum skipanirnar með léninu þínu.

Búðu til möppur til að geyma skírteinin þín og lykla. Við munum nota /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Settu upp og afritaðu vottorð í /etc/letsencryptmöppu.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Eftir að hafa keyrt ofangreindar skipanir verða vottorð þín og lyklar á eftirfarandi stöðum:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Settu upp Nginx

Nginx bætti við stuðningi við TLS 1.3 í útgáfu 1.13.0. FreeBSD 12 kerfið kemur með Nginx og OpenSSL sem styðja TLS 1.3 út úr kassanum, svo það er engin þörf á að smíða sérsniðna útgáfu.

Hladdu niður og settu upp nýjustu aðalútgáfuna af Nginx í gegnum pkgpakkastjórann.

sudo pkg install -y nginx-devel

Athugaðu útgáfuna.

nginx -v
# nginx version: nginx/1.15.8

Athugaðu OpenSSL útgáfuna sem Nginx var sett saman gegn.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Ræstu og virkjaðu Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Stilla Nginx

Nú þegar við höfum sett upp Nginx með góðum árangri erum við tilbúin að stilla það með rétta stillingu til að byrja að nota TLS 1.3 á netþjóninum okkar.

Keyrðu sudo vim /usr/local/etc/nginx/example.com.confskipunina og fylltu út skrána með eftirfarandi stillingum.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Vistaðu skrána og lokaðu með :+ W+ Q.

Nú þurfum við að hafa example.com.confí nginx.confaðalskránni.

Hlaupa sudo vim /usr/local/etc/nginx/nginx.confog bæta eftirfarandi línu við http {}blokkina.

include example.com.conf;

Taktu eftir nýju TLSv1.3stikunni í ssl_protocolstilskipuninni. Þessi færibreyta er aðeins nauðsynleg til að virkja TLS 1.3 á Nginx þjóninum.

Athugaðu stillinguna.

sudo nginx -t

Endurhlaða Nginx.

sudo service nginx reload

Til að staðfesta TLS 1.3 geturðu notað þróunarverkfæri vafra eða SSL Labs þjónustu. Skjámyndirnar hér að neðan sýna öryggisflipa Chrome.

Þú hefur virkjað TLS 1.3 í Nginx á FreeBSD þjóninum þínum. Endanleg útgáfa af TLS 1.3 var skilgreind í ágúst 2018, svo það er enginn betri tími til að byrja að taka upp þessa nýju tækni.