Kako omogočiti TLS 1.3 v Nginxu na FreeBSD 12

TLS 1.3 je različica protokola Transport Layer Security (TLS), ki je bil objavljen leta 2018 kot predlagani standard v RFC 8446 . Ponuja izboljšave varnosti in zmogljivosti v primerjavi s svojimi predhodniki.

Ta priročnik bo pokazal, kako omogočiti TLS 1.3 s spletnim strežnikom Nginx na FreeBSD 12.

Zahteve

• Primerek Vultr Cloud Compute (VC2), ki izvaja FreeBSD 12.
• Veljavno ime domene in pravilno konfigurirani A/ AAAA/ CNAMEzapisi DNS za vašo domeno.
• Veljavno potrdilo TLS. Dobili bomo enega od Let's Encrypt.
• Različica Nginx 1.13.0ali novejša .
• Različica OpenSSL 1.1.1ali novejša.

Preden začneš

Preverite različico FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Prepričajte se, da je vaš sistem FreeBSD posodobljen.

freebsd-update fetch install
pkg update && pkg upgrade -y

Namestite potrebne pakete, če niso prisotni v vašem sistemu.

pkg install -y sudo vim unzip wget bash socat git

Ustvarite nov uporabniški račun s svojim želenim uporabniškim imenom (uporabili bomo johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Zaženite visudoukaz in razkomentirajte %wheel ALL=(ALL) ALLvrstico, da omogočite članom wheelskupine, da izvedejo kateri koli ukaz.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Zdaj preklopite na novo ustvarjenega uporabnika z su.

su - johndoe

OPOMBA: Zamenjajte johndoez vašim uporabniškim imenom.

Nastavite časovni pas.

sudo tzsetup

Namestite odjemalca acme.sh in pridobite potrdilo TLS od Let's Encrypt

Namesti acme.sh.

sudo pkg install -y acme.sh

Preverite različico.

acme.sh --version
# v2.7.9

Pridobite certifikata RSA in ECDSA za svojo domeno.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

OPOMBA: Zamenjajte example.comv ukazih z imenom vaše domene.

Ustvarite imenike za shranjevanje potrdil in ključev. Uporabili bomo /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Namestite in kopirajte potrdila v /etc/letsencryptimenik.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po zagonu zgornjih ukazov bodo vaši certifikati in ključi na naslednjih mestih:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Namestite Nginx

Nginx je dodal podporo za TLS 1.3 v različici 1.13.0. Sistem FreeBSD 12 je opremljen z Nginxom in OpenSSL, ki podpirata TLS 1.3 iz škatle, tako da ni treba graditi različice po meri.

Prenesite in namestite najnovejšo glavno različico Nginxa prek pkgupravitelja paketov.

sudo pkg install -y nginx-devel

Preverite različico.

nginx -v
# nginx version: nginx/1.15.8

Preverite različico OpenSSL, za katero je bil preveden Nginx.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Zaženite in omogočite Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Konfigurirajte Nginx

Zdaj, ko smo uspešno namestili Nginx, smo pripravljeni, da ga konfiguriramo z ustrezno konfiguracijo, da začnemo uporabljati TLS 1.3 na našem strežniku.

Zaženite sudo vim /usr/local/etc/nginx/example.com.confukaz in napolnite datoteko z naslednjo konfiguracijo.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Shranite datoteko in zapustite s :+ W+ Q.

Zdaj moramo vključiti example.com.confv glavno nginx.confdatoteko.

Zaženite sudo vim /usr/local/etc/nginx/nginx.confin dodajte naslednjo vrstico v http {}blok.

include example.com.conf;

Upoštevajte nov TLSv1.3parameter ssl_protocolsdirektive. Ta parameter je potreben samo za omogočanje TLS 1.3 na strežniku Nginx.

Preverite konfiguracijo.

sudo nginx -t

Ponovno naložite Nginx.

sudo service nginx reload

Za preverjanje TLS 1.3 lahko uporabite orodja za razvijalce brskalnika ali storitev SSL Labs. Spodnji posnetki zaslona prikazujejo Chromov varnostni zavihek.

Uspešno ste omogočili TLS 1.3 v Nginxu na vašem strežniku FreeBSD. Končna različica TLS 1.3 je bila definirana avgusta 2018, tako da ni boljšega časa za začetek sprejemanja te nove tehnologije.