Kaip įjungti TLS 1.3 „Nginx“, naudojant „FreeBSD 12“.

TLS 1.3 yra Transport Layer Security (TLS) protokolo versija, kuri buvo paskelbta 2018 m. kaip siūlomas standartas RFC 8446 . Jis siūlo saugumo ir našumo patobulinimus, palyginti su jo pirmtakais.

Šiame vadove bus parodyta, kaip įjungti TLS 1.3 naudojant Nginx žiniatinklio serverį FreeBSD 12.

Reikalavimai

• „Vultr Cloud Compute“ (VC2) egzempliorius, kuriame veikia „FreeBSD 12“.
• Galiojantis domeno vardas ir tinkamai sukonfigūruotas A/ AAAA/ CNAMEDNS įrašus domeno.
• Galiojantis TLS sertifikatas. Mes gausime vieną iš Let's Encrypt.
• Nginx versija 1.13.0ar naujesnė.
• OpenSSL versija 1.1.1ar naujesnė.

Prieš tau pradedant

Patikrinkite FreeBSD versiją.

uname -ro
# FreeBSD 12.0-RELEASE

Įsitikinkite, kad jūsų FreeBSD sistema yra atnaujinta.

freebsd-update fetch install
pkg update && pkg upgrade -y

Įdiekite reikiamus paketus, jei jų jūsų sistemoje nėra.

pkg install -y sudo vim unzip wget bash socat git

Sukurkite naują vartotojo paskyrą su pageidaujamu vartotojo vardu (naudosime johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Vykdykite visudokomandą ir panaikinkite %wheel ALL=(ALL) ALLeilutės komentarą, kad wheelgrupės nariai galėtų vykdyti bet kurią komandą.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Dabar perjunkite į naujai sukurtą vartotoją naudodami su.

su - johndoe

PASTABA: pakeiskite johndoesavo vartotojo vardu.

Nustatykite laiko juostą.

sudo tzsetup

Įdiekite acme.sh klientą ir gaukite TLS sertifikatą iš Let's Encrypt

Įdiegti acme.sh.

sudo pkg install -y acme.sh

Patikrinkite versiją.

acme.sh --version
# v2.7.9

Gaukite savo domeno RSA ir ECDSA sertifikatus.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

PASTABA: komandose pakeiskite example.comsavo domeno pavadinimu.

Sukurkite katalogus sertifikatams ir raktams saugoti. Mes naudosime /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Įdiekite ir nukopijuokite sertifikatus į /etc/letsencryptkatalogą.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Paleidus aukščiau nurodytas komandas, jūsų sertifikatai ir raktai bus šiose vietose:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Įdiekite „Nginx“.

„Nginx“ pridėjo TLS 1.3 palaikymą 1.13.0 versijoje. „FreeBSD 12“ sistemoje yra „Nginx“ ir „OpenSSL“, kurios palaiko TLS 1.3, todėl nereikia kurti pasirinktinės versijos.

Atsisiųskite ir įdiekite naujausią pagrindinės „Nginx“ versiją naudodami pkgpaketų tvarkyklę.

sudo pkg install -y nginx-devel

Patikrinkite versiją.

nginx -v
# nginx version: nginx/1.15.8

Patikrinkite OpenSSL versiją, pagal kurią buvo sudarytas Nginx.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Paleiskite ir įgalinkite „Nginx“.

sudo sysrc nginx_enable=yes
sudo service nginx start

Sukonfigūruokite Nginx

Dabar, kai sėkmingai įdiegėme „Nginx“, esame pasirengę sukonfigūruoti jį su tinkama konfigūracija, kad pradėtume naudoti TLS 1.3 savo serveryje.

Vykdykite sudo vim /usr/local/etc/nginx/example.com.confkomandą ir užpildykite failą tokia konfigūracija.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Išsaugokite failą ir išeikite su :+ W+ Q.

Dabar turime įtraukti example.com.confį pagrindinį nginx.conffailą.

Vykdykite sudo vim /usr/local/etc/nginx/nginx.confir pridėkite šią eilutę prie http {}bloko.

include example.com.conf;

Atkreipkite dėmesį į naują direktyvos TLSv1.3parametrą ssl_protocols. Šis parametras reikalingas tik norint įjungti TLS 1.3 Nginx serveryje.

Patikrinkite konfigūraciją.

sudo nginx -t

Iš naujo įkelti Nginx.

sudo service nginx reload

Norėdami patikrinti TLS 1.3, galite naudoti naršyklės kūrėjo įrankius arba SSL laboratorijų paslaugą. Toliau pateiktose ekrano kopijose rodomas „Chrome“ saugos skirtukas.

Sėkmingai įjungėte TLS 1.3 Nginx savo FreeBSD serveryje. Galutinė TLS 1.3 versija buvo apibrėžta 2018 m. rugpjūčio mėn., todėl nėra geresnio laiko pradėti taikyti šią naują technologiją.