Kako omogočiti TLS 1.3 v Apache na FreeBSD 12

TLS 1.3 je različica protokola Transport Layer Security (TLS), ki je bil objavljen leta 2018 kot predlagani standard v RFC 8446 . Ponuja izboljšave varnosti in zmogljivosti v primerjavi s svojimi predhodniki.

Ta priročnik bo pokazal, kako omogočiti TLS 1.3 s spletnim strežnikom Apache na FreeBSD 12.

Zahteve

• Primerek Vultr Cloud Compute (VC2), ki izvaja FreeBSD 12.
• Veljavno ime domene in pravilno konfigurirani A/ AAAA/ CNAMEzapisi DNS za vašo domeno.
• Veljavno potrdilo TLS. Dobili bomo enega od Let's Encrypt.
• Različica Apache 2.4.36ali novejša.
• Različica OpenSSL 1.1.1ali novejša.

Preden začneš

Preverite različico FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Prepričajte se, da je vaš sistem FreeBSD posodobljen.

freebsd-update fetch install
pkg update && pkg upgrade -y

Namestite potrebne pakete, če niso prisotni v vašem sistemu.

pkg install -y sudo vim unzip wget bash socat git

Ustvarite nov uporabniški račun s svojim želenim uporabniškim imenom (uporabili bomo johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Zaženite visudoukaz in razkomentirajte %wheel ALL=(ALL) ALLvrstico, da omogočite članom wheelskupine, da izvedejo kateri koli ukaz.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Zdaj preklopite na novo ustvarjenega uporabnika z su.

su - johndoe

OPOMBA: Zamenjajte johndoez vašim uporabniškim imenom.

Nastavite časovni pas.

sudo tzsetup

Namestite acme.shodjemalca in pridobite potrdilo TLS od Let's Encrypt

Namesti acme.sh.

sudo pkg install -y acme.sh

Preverite različico.

acme.sh --version
# v2.7.9

Pridobite certifikata RSA in ECDSA za svojo domeno.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

OPOMBA: Zamenjajte example.comv ukazih z imenom vaše domene.

Ustvarite smiselne imenike za shranjevanje vaših potrdil in ključev. Uporabili bomo /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Namestite in kopirajte potrdila v /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po zagonu zgornjih ukazov bodo vaši certifikati in ključi na naslednjih mestih:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Namestite Apache

Apache je dodal podporo za TLS 1.3 v različici 2.4.36. Sistem FreeBSD 12 prihaja z Apache in OpenSSL, ki podpirata TLS 1.3 iz škatle, tako da ni treba graditi različice po meri.

Prenesite in namestite najnovejšo vejo 2.4 Apache prek pkgupravitelja paketov.

sudo pkg install -y apache24

Preverite različico.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Zaženite in omogočite Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Konfigurirajte Apache za TLS 1.3

Zdaj, ko smo Apache uspešno namestili, smo pripravljeni, da ga konfiguriramo tako, da začne uporabljati TLS 1.3 na našem strežniku.

OPOMBA: V FreeBSD je mod_sslmodul privzeto omogočen tako v paketu kot v vratih

Zaženite sudo vim /usr/local/etc/apache24/httpd.confin vključite modul SSL tako, da odstranite komentarje LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Zaženite sudo vim /usr/local/etc/apache24/Includes/example.com.confin zapolnite datoteko z naslednjo osnovno konfiguracijo.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Shranite datoteko in zapustite s :+ W+ Q.

Preverite konfiguracijo.

sudo service apache24 configtest

Ponovno naložite Apache.

sudo service apache24 reload

Odprite svoje spletno mesto prek protokola HTTPS v spletnem brskalniku. Za preverjanje TLS 1.3 lahko uporabite orodja za razvijalce brskalnika ali storitev SSL Labs. Spodnji posnetki zaslona prikazujejo Chromov varnostni zavihek s TLS 1.3 v akciji.

Uspešno ste omogočili TLS 1.3 v Apache na vašem strežniku FreeBSD. Končna različica TLS 1.3 je bila definirana avgusta 2018, tako da ni boljšega časa za začetek sprejemanja te nove tehnologije.