Kaip įjungti TLS 1.3 „Nginx“ sistemoje „Fedora 29“.

Įvadas

TLS 1.3 yra Transport Layer Security (TLS) protokolo versija, kuri buvo paskelbta 2018 m. kaip siūlomas standartas RFC 8446 . Jis siūlo saugumo ir našumo patobulinimus, palyginti su jo pirmtakais.

Šiame vadove bus parodyta, kaip įjungti TLS 1.3 naudojant Nginx žiniatinklio serverį Fedora 29.

Reikalavimai

• Nginx versija 1.13.0ar naujesnė.
• OpenSSL versija 1.1.1ar naujesnė.
• „Vultr Cloud Compute“ (VC2) egzempliorius, kuriame veikia „Fedora 29“.
• Galiojantis domeno vardas ir tinkamai sukonfigūruotas A/ AAAA/ CNAMEDNS įrašus domeno.
• Galiojantis TLS sertifikatas. Mes gausime vieną iš Let's Encrypt.

Prieš tau pradedant

Patikrinkite Fedora versiją.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Sukurkite naują non-rootvartotojo paskyrą su sudoprieiga ir perjunkite į ją.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

PASTABA: pakeiskite johndoesavo vartotojo vardu.

Nustatykite laiko juostą.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Įsitikinkite, kad jūsų sistema yra atnaujinta.

sudo dnf check-upgrade || sudo dnf upgrade -y

Įdiekite reikiamus paketus.

sudo dnf install -y socat git

Išjungti SELinux ir ugniasienę.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Įdiekite Acme.sh klientą ir gaukite TLS sertifikatą iš Let's Encrypt

Šiame vadove mes naudosime Acme.sh klientą, norėdami gauti SSL sertifikatus iš Let's Encrypt. Galite naudoti labiausiai pažįstamą klientą.

Atsisiųskite ir įdiekite Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Patikrinkite versiją.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Gaukite savo domeno RSA ir ECDSA sertifikatus.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

PASTABA: komandose pakeiskite example.comsavo domeno pavadinimu.

Paleidus ankstesnes komandas, jūsų sertifikatai ir raktai bus pasiekiami adresu:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Įdiekite „Nginx“.

„Nginx“ pridėjo TLS 1.3 palaikymą 1.13.0 versijoje. Fedora 29 yra su Nginx ir OpenSSL, kurie palaiko TLS 1.3, todėl nereikia kurti tinkintos versijos.

Įdiekite „Nginx“.

sudo dnf install -y nginx

Patikrinkite versiją.

nginx -v
# nginx version: nginx/1.14.2

Patikrinkite OpenSSL versiją, pagal kurią buvo sudarytas Nginx.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Paleiskite ir įgalinkite „Nginx“.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Sukonfigūruokite Nginx

Dabar, kai sėkmingai įdiegėme „Nginx“, esame pasirengę sukonfigūruoti jį su tinkama konfigūracija, kad pradėtume naudoti TLS 1.3 savo serveryje.

Vykdykite sudo vim /etc/nginx/conf.d/example.com.confkomandą ir užpildykite failą tokia konfigūracija.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Išsaugokite failą ir išeikite su :+ W+ Q.

Atkreipkite dėmesį į naują direktyvos TLSv1.3parametrą ssl_protocols. Šis parametras reikalingas tik norint įjungti TLS 1.3 „Nginx“.

Patikrinkite konfigūraciją.

sudo nginx -t

Iš naujo įkelti Nginx.

sudo systemctl reload nginx.service

Norėdami patikrinti TLS 1.3, galite naudoti naršyklės kūrėjo įrankius arba SSL laboratorijų paslaugą. Toliau pateiktose ekrano kopijose rodomas „Chrome“ saugos skirtukas.

Tai viskas. Sėkmingai įgalinote TLS 1.3 „Nginx“ savo Fedora 29 serveryje. Galutinė TLS 1.3 versija buvo apibrėžta 2018 m. rugpjūčio mėn., todėl nėra geresnio laiko pradėti taikyti šią naują technologiją.