Kā iespējot TLS 1.3 Nginx operētājsistēmā Debian 9

Ievads

TLS 1.3 ir transporta slāņa drošības (TLS) protokola versija, kas publicēta 2018. gadā kā piedāvātais standarts RFC 8446 . Tas piedāvā drošības un veiktspējas uzlabojumus salīdzinājumā ar tā priekšgājējiem.

Šajā rokasgrāmatā ir paskaidrots, kā iespējot TLS 1.3, izmantojot Nginx tīmekļa serveri operētājsistēmā Debian 9.

Prasības

• Nginx versija 1.13.0vai jaunāka.
• OpenSSL versija 1.1.1vai jaunāka.
• Vultr Cloud Compute (VC2) instance, kurā darbojas Debian 9 x64 (izstiepts).
• Derīga domēna vārdu un pareizi konfigurēti A/ AAAA/ CNAMEDNS ierakstus savam domēnam.
• Derīgs TLS sertifikāts. Mēs to saņemsim no Let's Encrypt.

Pirms tu sāc

Pārbaudiet Debian versiju.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Pārliecinieties, vai jūsu sistēma ir atjaunināta.

apt update && apt upgrade -y

Instalējiet nepieciešamās pakotnes.

apt install -y git unzip curl sudo socat build-essential

Izveidojiet jaunu bezsaknes lietotāja kontu ar sudopiekļuvi un pārslēdzieties uz to.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

PIEZĪME. Aizstāt johndoear savu lietotājvārdu.

Iestatiet laika joslu.

sudo dpkg-reconfigure tzdata

Instalējiet Acme.sh klientu un iegūstiet TLS sertifikātu no Let's Encrypt

Lejupielādēt un instalēt Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Pārbaudiet versiju.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Iegūstiet savam domēnam RSA un ECDSA sertifikātus.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

PIEZĪME. Aizstāt example.comar savu domēna nosaukumu.

Pēc iepriekšējo komandu palaišanas jūsu sertifikāti un atslēgas ir pieejami šādās vietās:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Veidojiet Nginx no avota

Nginx pievienoja atbalstu TLS 1.3 versijā 1.13.0. Lielākajā daļā Linux izplatījumu, tostarp Debian 9, Nginx ir veidots ar vecāku OpenSSL versiju, kas neatbalsta TLS 1.3. Līdz ar to mums ir nepieciešams mūsu pašu pielāgotais Nginx būvējums, kas saistīts ar OpenSSL 1.1.1 laidienu, kas ietver TLS 1.3 atbalstu.

Lejupielādējiet jaunāko Nginx pirmkoda galveno versiju un izvelciet to.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Lejupielādējiet OpenSSL 1.1.1c pirmkodu un izvelciet to.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Izdzēsiet visus .tar.gzfailus, jo tie vairs nav vajadzīgi.

rm -rf *.tar.gz

Ievadiet Nginx avota direktoriju.

cd ~/nginx-1.17.0

Konfigurējiet, kompilējiet un instalējiet Nginx. Vienkāršības labad mēs apkoposim tikai būtiskos moduļus, kas nepieciešami, lai TLS 1.3 darbotos. Ja jums ir nepieciešama pilna Nginx versija, varat izlasīt šo Vultr rokasgrāmatu par Nginx kompilāciju.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Izveidojiet Nginx sistēmas grupu un lietotāju.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Simboliska saite /usr/lib/nginx/modulesuz /etc/nginx/modules. Pēdējā ir standarta vieta Nginx moduļiem.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Izveidojiet Nginx kešatmiņas direktorijus un iestatiet atbilstošās atļaujas.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Pārbaudiet Nginx versiju.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Izveidojiet Nginx systemd vienības failu.

sudo vim /etc/systemd/system/nginx.service

Aizpildiet failu ar šādu konfigurāciju.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Sāciet un iespējojiet Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Izveidot conf.d, sites-availableun sites-enabledkatalogi /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Palaidiet sudo vim /etc/nginx/nginx.confun pievienojiet šīs divas direktīvas faila beigās tieši pirms aizvēršanas }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Saglabājiet failu un izeju ar :+ W+ Q.

Konfigurējiet Nginx TLS 1.3

Tagad, kad esam veiksmīgi izveidojuši Nginx, esam gatavi to konfigurēt, lai savā serverī sāktu lietot TLS 1.3.

Palaidiet sudo vim /etc/nginx/conf.d/example.com.confun aizpildiet failu ar šādu konfigurāciju.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Saglabājiet failu un izeju ar :+ W+ Q.

Ievērojiet jauno direktīvas TLSv1.3parametru ssl_protocols. Šis parametrs ir nepieciešams, lai iespējotu TLS 1.3.

Pārbaudiet konfigurāciju.

sudo nginx -t

Pārlādēt Nginx.

sudo systemctl reload nginx.service

Lai verificētu TLS 1.3, varat izmantot pārlūkprogrammas izstrādātāju rīkus vai SSL Labs pakalpojumu. Tālāk redzamajos ekrānuzņēmumos ir redzama Chrome drošības cilne, kas norāda, ka TLS 1.3 darbojas.

Apsveicam! Jūs esat veiksmīgi iespējojis TLS 1.3 savā Debian 9 serverī.