Kaip įjungti TLS 1.3 „Nginx“ sistemoje „Ubuntu 18.04 LTS“.

TLS 1.3 yra Transport Layer Security (TLS) protokolo versija, kuri buvo paskelbta 2018 m. kaip siūlomas standartas RFC 8446 . Jis siūlo saugumo ir našumo patobulinimus, palyginti su jo pirmtakais.

Šiame vadove bus parodyta, kaip įjungti TLS 1.3 naudojant Nginx žiniatinklio serverį Ubuntu 18.04 LTS.

Reikalavimai

• Nginx versija 1.13.0ar naujesnė.
• OpenSSL versija 1.1.1ar naujesnė.
• Vultr Cloud Compute (VC2) egzempliorius, kuriame veikia Ubuntu 18.04.
• Galiojantis domeno vardas ir tinkamai sukonfigūruotas A/ AAAA/ CNAMEDNS įrašus domeno.
• Galiojantis TLS sertifikatas. Mes gausime vieną iš Let's Encrypt.

Prieš tau pradedant

Patikrinkite Ubuntu versiją.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Sukurkite naują non-rootvartotojo paskyrą su sudoprieiga ir perjunkite į ją.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

PASTABA: pakeiskite johndoesavo vartotojo vardu.

Nustatykite laiko juostą.

sudo dpkg-reconfigure tzdata

Įsitikinkite, kad jūsų sistema yra atnaujinta.

sudo apt update && sudo apt upgrade -y

Įdiekite build-essential, socatir gitpaketai.

sudo apt install -y build-essential socat git

Įdiekite Acme.sh klientą ir gaukite TLS sertifikatą iš Let's Encrypt

Atsisiųskite ir įdiekite Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Patikrinkite versiją.

acme.sh --version
# v2.8.0

Gaukite savo domeno RSA ir ECDSA sertifikatus.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

PASTABA: komandose pakeiskite example.comsavo domeno pavadinimu.

Paleidus ankstesnes komandas, jūsų sertifikatai ir raktai bus pasiekiami adresu:

• RSA: /etc/letsencrypt/example.comkatalogas.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecckatalogas.

Sukurkite Nginx iš šaltinio

„Nginx“ pridėjo TLS 1.3 palaikymą 1.13.0 versijoje. Daugumoje Linux platinimų, įskaitant Ubuntu 18.04, Nginx sukurtas naudojant senesnę OpenSSL versiją, kuri nepalaiko TLS 1.3. Todėl mums reikia savo pasirinktinio Nginx versijos, susietos su OpenSSL 1.1.1 leidimu, kuris apima TLS 1.3 palaikymą.

Atsisiųskite naujausią „Nginx“ šaltinio kodo versiją ir išskleiskite ją.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Atsisiųskite OpenSSL 1.1.1 šaltinio kodą ir išskleiskite jį.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Ištrinkite visus .tar.gzfailus, nes jų nebereikės.

rm -rf *.tar.gz

Įveskite „Nginx“ šaltinio katalogą.

cd ~/nginx-1.15.5

Sukonfigūruokite, sukompiliuokite ir įdiekite Nginx. Paprastumo dėlei sukompiliuosime tik esminius modulius, kurių reikia, kad TLS 1.3 veiktų. Jei jums reikia visos „Nginx“ versijos, galite perskaityti šį „ Vultr“ vadovą apie „Nginx“ kompiliavimą.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Sukurkite „Nginx“ sistemos grupę ir vartotoją.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Nuoroda /usr/lib/nginx/modulesį /etc/nginx/moduleskatalogą. etc/nginx/modulesyra standartinė vieta Nginx moduliams.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Sukurkite Nginx talpyklos katalogus ir nustatykite tinkamus leidimus.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Patikrinkite Nginx versiją.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Sukurkite Nginx systemd vieneto failą.

sudo vim /etc/systemd/system/nginx.service

Užpildykite failą su tokia konfigūracija.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Paleiskite ir įgalinkite „Nginx“.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Sukurkite conf.d, sites-availableir sites-enabledkatalogus /etc/nginxkataloge.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Vykdykite sudo vim /etc/nginx/nginx.confir pridėkite šias dvi direktyvas prie failo pabaigos, prieš pat uždarymo }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Išsaugokite failą ir išeikite su :+ W+ Q.

Sukonfigūruokite Nginx TLS 1.3

Dabar, kai sėkmingai sukūrėme Nginx, esame pasirengę jį sukonfigūruoti, kad pradėtume naudoti TLS 1.3 savo serveryje.

Paleiskite sudo vim /etc/nginx/conf.d/example.com.confir užpildykite failą tokia konfigūracija.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Išsaugokite failą ir išeikite su :+ W+ Q.

Atkreipkite dėmesį į naują direktyvos TLSv1.3parametrą ssl_protocols. Šis parametras būtinas norint įjungti TLS 1.3.

Patikrinkite konfigūraciją.

sudo nginx -t

Iš naujo įkelti Nginx.

sudo systemctl reload nginx.service

Norėdami patikrinti TLS 1.3, galite naudoti naršyklės kūrėjo įrankius arba SSL laboratorijų paslaugą. Toliau pateiktose ekrano kopijose rodomas „Chrome“ saugos skirtukas, rodantis, kad TLS 1.3 veikia.

Sveikiname! Sėkmingai įgalinote TLS 1.3 savo Ubuntu 18.04 žiniatinklio serveryje.