Kaip įjungti TLS 1.3 „Apache“, naudojant „CentOS 8“.

TLS 1.3 yra transporto sluoksnio saugos (TLS) protokolo versija, kuri buvo paskelbta 2018 m. kaip siūlomas RFC 8446 standartas. Ji siūlo saugumo ir našumo patobulinimus, palyginti su pirmtakais.

Šiame vadove bus parodyta, kaip įjungti TLS 1.3 naudojant „Apache“ žiniatinklio serverį „CentOS 8“.

Reikalavimai

• „Vultr Cloud Compute“ (VC2) egzempliorius, kuriame veikia „CentOS 8“.
• Galiojantis domeno vardas ir tinkamai sukonfigūruotas A/ AAAA/ CNAMEDNS įrašus domeno.
• Galiojantis TLS sertifikatas. Mes gausime vieną iš Let's Encrypt.
• Apache versija 2.4.36ar naujesnė.
• OpenSSL versija 1.1.1ar naujesnė.

Prieš tau pradedant

Patikrinkite CentOS versiją.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Sukurkite naują non-rootvartotojo paskyrą su sudoprieiga ir perjunkite į ją.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

PASTABA: pakeiskite johndoesavo vartotojo vardu.

Nustatykite laiko juostą.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Įsitikinkite, kad jūsų sistema yra atnaujinta.

sudo yum update

Įdiekite reikiamus paketus.

sudo yum install -y socat git

Išjungti SELinux ir ugniasienę.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Įdiekite acme.shklientą ir gaukite TLS sertifikatą iš Let's Encrypt

Įdiekite acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Patikrinkite versiją.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Gaukite savo domeno RSA ir ECDSA sertifikatus.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

PASTABA: komandose pakeiskite example.comsavo domeno pavadinimu.

Sukurkite protingus katalogus sertifikatams ir raktams saugoti. Mes naudosime /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Įdiekite ir nukopijuokite sertifikatus į /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Paleidus aukščiau nurodytas komandas, jūsų sertifikatai ir raktai bus šiose vietose:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Įdiekite „Apache“.

„Apache“ pridėjo TLS 1.3 palaikymą 2.4.36 versijoje. „CentOS 8“ sistemoje yra „Apache“ ir „OpenSSL“, kurios palaiko TLS 1.3, todėl nereikia kurti tinkintos versijos.

Atsisiųskite ir įdiekite naujausią 2.4 „Apache“ versiją ir jos SSL modulį naudodami yumpaketų tvarkyklę.

sudo yum install -y httpd mod_ssl

Patikrinkite versiją.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Paleiskite ir įgalinkite „Apache“.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Konfigūruokite Apache TLS 1.3

Dabar, kai sėkmingai įdiegėme „Apache“, esame pasirengę ją sukonfigūruoti, kad pradėtume naudoti TLS 1.3 savo serveryje.

Paleiskite sudo vim /etc/httpd/conf.d/example.com.confir užpildykite failą tokia pagrindine konfigūracija.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Išsaugokite failą ir išeikite su :+ W+ Q.

Patikrinkite konfigūraciją.

sudo apachectl configtest

Iš naujo įkelkite „Apache“, kad suaktyvintumėte naują konfigūraciją.

sudo systemctl reload httpd.service

Atidarykite svetainę naudodami HTTPS protokolą žiniatinklio naršyklėje. Norėdami patikrinti TLS 1.3, galite naudoti naršyklės kūrėjo įrankius arba SSL laboratorijų paslaugą. Toliau pateiktose ekrano kopijose rodomas „Chrome“ saugos skirtukas, kuriame veikia TLS 1.3.

Sėkmingai įgalinote TLS 1.3 „Apache“ savo CentOS 8 serveryje. Galutinė TLS 1.3 versija buvo apibrėžta 2018 m. rugpjūčio mėn., todėl nėra geresnio laiko pradėti taikyti šią naują technologiją.