Kako omogočiti TLS 1.3 v Nginxu v Debianu 9

Uvod

TLS 1.3 je različica protokola Transport Layer Security (TLS), objavljenega leta 2018 kot predlagani standard v RFC 8446 . Ponuja izboljšave varnosti in zmogljivosti v primerjavi s svojimi predhodniki.

Ta priročnik pojasnjuje, kako omogočiti TLS 1.3 s spletnim strežnikom Nginx v Debianu 9.

Zahteve

• Različica Nginx 1.13.0ali novejša .
• Različica OpenSSL 1.1.1ali novejša.
• Primerek Vultr Cloud Compute (VC2), ki izvaja Debian 9 x64 (raztegljiv).
• Veljavno ime domene in pravilno konfigurirani A/ AAAA/ CNAMEzapisi DNS za vašo domeno.
• Veljavno potrdilo TLS. Dobili bomo enega od Let's Encrypt.

Preden začneš

Preverite različico Debiana.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Prepričajte se, da je vaš sistem posodobljen.

apt update && apt upgrade -y

Namestite potrebne pakete.

apt install -y git unzip curl sudo socat build-essential

Ustvarite nov nekorenski uporabniški račun z sudodostopom in preklopite nanj.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

OPOMBA: Zamenjajte johndoez vašim uporabniškim imenom.

Nastavite časovni pas.

sudo dpkg-reconfigure tzdata

Namestite odjemalca Acme.sh in pridobite potrdilo TLS od Let's Encrypt

Prenesite in namestite Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Preverite različico.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Pridobite certifikata RSA in ECDSA za svojo domeno.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

OPOMBA: Zamenjajte example.comz imenom vaše domene.

Po zagonu prejšnjih ukazov so vaši certifikati in ključi dostopni na naslednjih mestih:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Zgradite Nginx iz vira

Nginx je dodal podporo za TLS 1.3 v različici 1.13.0. V večini distribucij Linuxa, vključno z Debianom 9, je Nginx zgrajen s starejšo različico OpenSSL, ki ne podpira TLS 1.3. Posledično potrebujemo lastno gradnjo Nginxa po meri, povezano z izdajo OpenSSL 1.1.1, ki vključuje podporo za TLS 1.3.

Prenesite najnovejšo glavno različico izvorne kode Nginx in jo ekstrahirajte.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Prenesite izvorno kodo OpenSSL 1.1.1c in jo ekstrahirajte.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Izbrišite vse .tar.gzdatoteke, saj niso več potrebne.

rm -rf *.tar.gz

Vnesite izvorni imenik Nginx.

cd ~/nginx-1.17.0

Konfigurirajte, prevedite in namestite Nginx. Zaradi poenostavitve bomo zbrali samo bistvene module, ki so potrebni za delovanje TLS 1.3. Če potrebujete celotno gradnjo Nginxa , lahko preberete ta vodnik Vultr o kompilaciji Nginxa .

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Ustvarite sistemsko skupino in uporabnika Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Simbolna povezava /usr/lib/nginx/modulesdo /etc/nginx/modules. Slednje je standardno mesto za module Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Ustvarite imenike predpomnilnika Nginx in nastavite ustrezna dovoljenja.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Preverite različico Nginxa.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Ustvarite datoteko enote Nginx systemd.

sudo vim /etc/systemd/system/nginx.service

Zapolnite datoteko z naslednjo konfiguracijo.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Zaženite in omogočite Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Ustvarjanje conf.d, sites-availablein sites-enabledimenikov v /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Zaženite sudo vim /etc/nginx/nginx.confin dodajte naslednji dve direktivi na konec datoteke, tik pred zapiranjem }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Shranite datoteko in zapustite s :+ W+ Q.

Konfigurirajte Nginx za TLS 1.3

Zdaj, ko smo uspešno zgradili Nginx, smo pripravljeni, da ga konfiguriramo tako, da začne uporabljati TLS 1.3 na našem strežniku.

Zaženite sudo vim /etc/nginx/conf.d/example.com.confin napolnite datoteko z naslednjo konfiguracijo.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Shranite datoteko in zapustite s :+ W+ Q.

Upoštevajte nov TLSv1.3parameter ssl_protocolsdirektive. Ta parameter je potreben za omogočanje TLS 1.3.

Preverite konfiguracijo.

sudo nginx -t

Ponovno naložite Nginx.

sudo systemctl reload nginx.service

Za preverjanje TLS 1.3 lahko uporabite orodja za razvijalce brskalnika ali storitev SSL Labs. Spodnji posnetki zaslona prikazujejo Chromov varnostni zavihek, ki kaže, da TLS 1.3 deluje.

Čestitam! Uspešno ste omogočili TLS 1.3 na vašem strežniku Debian 9.