Kako omogočiti TLS 1.3 v Nginxu na Fedori 29

Uvod

TLS 1.3 je različica protokola Transport Layer Security (TLS), ki je bil objavljen leta 2018 kot predlagani standard v RFC 8446 . Ponuja izboljšave varnosti in zmogljivosti v primerjavi s svojimi predhodniki.

Ta priročnik bo pokazal, kako omogočiti TLS 1.3 s spletnim strežnikom Nginx v Fedori 29.

Zahteve

• Različica Nginx 1.13.0ali novejša .
• Različica OpenSSL 1.1.1ali novejša.
• Primerek Vultr Cloud Compute (VC2), ki izvaja Fedora 29.
• Veljavno ime domene in pravilno konfigurirani A/ AAAA/ CNAMEzapisi DNS za vašo domeno.
• Veljavno potrdilo TLS. Dobili bomo enega od Let's Encrypt.

Preden začneš

Preverite različico Fedora.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Ustvarite nov non-rootuporabniški račun z sudodostopom in preklopite nanj.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

OPOMBA: Zamenjajte johndoez vašim uporabniškim imenom.

Nastavite časovni pas.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Prepričajte se, da je vaš sistem posodobljen.

sudo dnf check-upgrade || sudo dnf upgrade -y

Namestite potrebne pakete.

sudo dnf install -y socat git

Onemogočite SELinux in požarni zid.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Namestite odjemalca Acme.sh in pridobite potrdilo TLS od Let's Encrypt

V tem priročniku bomo uporabili odjemalca Acme.sh za pridobitev potrdil SSL iz Let's Encrypt. Uporabite lahko odjemalca, ki ga najbolj poznate.

Prenesite in namestite Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Preverite različico.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Pridobite certifikata RSA in ECDSA za svojo domeno.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

OPOMBA: Zamenjajte example.comv ukazih z imenom vaše domene.

Po zagonu prejšnjih ukazov bodo vaši certifikati in ključi dostopni na:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Namestite Nginx

Nginx je dodal podporo za TLS 1.3 v različici 1.13.0. Fedora 29 prihaja z Nginxom in OpenSSL, ki podpirata TLS 1.3 iz škatle, tako da ni treba graditi različice po meri.

Namestite Nginx.

sudo dnf install -y nginx

Preverite različico.

nginx -v
# nginx version: nginx/1.14.2

Preverite različico OpenSSL, za katero je bil preveden Nginx.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Zaženite in omogočite Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Konfigurirajte Nginx

Zdaj, ko smo uspešno namestili Nginx, smo pripravljeni, da ga konfiguriramo z ustrezno konfiguracijo, da začnemo uporabljati TLS 1.3 na našem strežniku.

Zaženite sudo vim /etc/nginx/conf.d/example.com.confukaz in napolnite datoteko z naslednjo konfiguracijo.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Shranite datoteko in zapustite s :+ W+ Q.

Upoštevajte nov TLSv1.3parameter ssl_protocolsdirektive. Ta parameter je potreben samo za omogočanje TLS 1.3 na Nginxu.

Preverite konfiguracijo.

sudo nginx -t

Ponovno naložite Nginx.

sudo systemctl reload nginx.service

Za preverjanje TLS 1.3 lahko uporabite orodja za razvijalce brskalnika ali storitev SSL Labs. Spodnji posnetki zaslona prikazujejo Chromov varnostni zavihek.

To je vse. Uspešno ste omogočili TLS 1.3 v Nginxu na strežniku Fedora 29. Končna različica TLS 1.3 je bila definirana avgusta 2018, tako da ni boljšega časa za začetek sprejemanja te nove tehnologije.