Kā iespējot TLS 1.3 Nginx operētājsistēmā Ubuntu 18.04 LTS

TLS 1.3 ir transporta slāņa drošības (TLS) protokola versija, kas tika publicēta 2018. gadā kā piedāvātais standarts RFC 8446 . Tas piedāvā drošības un veiktspējas uzlabojumus salīdzinājumā ar tā priekšgājējiem.

Šajā rokasgrāmatā tiks parādīts, kā iespējot TLS 1.3, izmantojot Nginx tīmekļa serveri Ubuntu 18.04 LTS.

Prasības

• Nginx versija 1.13.0vai jaunāka.
• OpenSSL versija 1.1.1vai jaunāka.
• Vultr Cloud Compute (VC2) instance, kurā darbojas Ubuntu 18.04.
• Derīga domēna vārdu un pareizi konfigurēti A/ AAAA/ CNAMEDNS ierakstus savam domēnam.
• Derīgs TLS sertifikāts. Mēs to saņemsim no Let's Encrypt.

Pirms tu sāc

Pārbaudiet Ubuntu versiju.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Izveidojiet jaunu non-rootlietotāja kontu ar sudopiekļuvi un pārslēdzieties uz to.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

PIEZĪME. Aizstāt johndoear savu lietotājvārdu.

Iestatiet laika joslu.

sudo dpkg-reconfigure tzdata

Pārliecinieties, vai jūsu sistēma ir atjaunināta.

sudo apt update && sudo apt upgrade -y

Instalējiet build-essential, socatun gitpaketes.

sudo apt install -y build-essential socat git

Instalējiet Acme.sh klientu un iegūstiet TLS sertifikātu no Let's Encrypt

Lejupielādēt un instalēt Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Pārbaudiet versiju.

acme.sh --version
# v2.8.0

Iegūstiet savam domēnam RSA un ECDSA sertifikātus.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

PIEZĪME. Aizstājiet example.comkomandas ar savu domēna nosaukumu.

Pēc iepriekšējo komandu palaišanas jūsu sertifikāti un atslēgas būs pieejami vietnē:

• RSA: /etc/letsencrypt/example.comdirektorijs.
• ECC/ECDSA: /etc/letsencrypt/example.com_eccdirektorijs.

Veidojiet Nginx no avota

Nginx pievienoja atbalstu TLS 1.3 versijā 1.13.0. Lielākajā daļā Linux izplatījumu, tostarp Ubuntu 18.04, Nginx ir veidots ar vecāku OpenSSL versiju, kas neatbalsta TLS 1.3. Līdz ar to mums ir nepieciešams mūsu pašu pielāgotais Nginx būvējums, kas saistīts ar OpenSSL 1.1.1 laidienu, kas ietver TLS 1.3 atbalstu.

Lejupielādējiet jaunāko Nginx pirmkoda galveno versiju un izvelciet to.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Lejupielādējiet OpenSSL 1.1.1 pirmkodu un izvelciet to.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Izdzēsiet visus .tar.gzfailus, jo tie vairs nebūs vajadzīgi.

rm -rf *.tar.gz

Ievadiet Nginx avota direktoriju.

cd ~/nginx-1.15.5

Konfigurējiet, kompilējiet un instalējiet Nginx. Vienkāršības labad mēs apkoposim tikai būtiskos moduļus, kas nepieciešami, lai TLS 1.3 darbotos. Ja jums ir nepieciešama pilna Nginx versija, varat izlasīt šo Vultr rokasgrāmatu par Nginx kompilāciju.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Izveidojiet Nginx sistēmas grupu un lietotāju.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Saite /usr/lib/nginx/modulesuz /etc/nginx/modulesdirektoriju. etc/nginx/modulesir standarta vieta Nginx moduļiem.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Izveidojiet Nginx kešatmiņas direktorijus un iestatiet atbilstošas ​​atļaujas.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Pārbaudiet Nginx versiju.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Izveidojiet Nginx systemd vienības failu.

sudo vim /etc/systemd/system/nginx.service

Aizpildiet failu ar šādu konfigurāciju.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Sāciet un iespējojiet Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Izveidojiet conf.d, sites-availableun sites-enableddirektorijus /etc/nginxdirektorijā.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Palaidiet sudo vim /etc/nginx/nginx.confun pievienojiet šīs divas direktīvas faila beigās tieši pirms aizvēršanas }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Saglabājiet failu un izeju ar :+ W+ Q.

Konfigurējiet Nginx TLS 1.3

Tagad, kad esam veiksmīgi izveidojuši Nginx, esam gatavi to konfigurēt, lai savā serverī sāktu lietot TLS 1.3.

Palaidiet sudo vim /etc/nginx/conf.d/example.com.confun aizpildiet failu ar šādu konfigurāciju.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Saglabājiet failu un izeju ar :+ W+ Q.

Ievērojiet jauno direktīvas TLSv1.3parametru ssl_protocols. Šis parametrs ir nepieciešams, lai iespējotu TLS 1.3.

Pārbaudiet konfigurāciju.

sudo nginx -t

Pārlādēt Nginx.

sudo systemctl reload nginx.service

Lai verificētu TLS 1.3, varat izmantot pārlūkprogrammas izstrādātāju rīkus vai SSL Labs pakalpojumu. Tālāk redzamajos ekrānuzņēmumos ir redzama Chrome drošības cilne, kas parāda, ka TLS 1.3 darbojas.

Apsveicam! Jūs esat veiksmīgi iespējojis TLS 1.3 savā Ubuntu 18.04 tīmekļa serverī.