Domov » » Ako povoliť TLS 1.3 v Apache na Fedore 30

Ako povoliť TLS 1.3 v Apache na Fedore 30

TLS 1.3 je verzia protokolu Transport Layer Security (TLS), ktorý bol publikovaný v roku 2018 ako navrhovaný štandard v RFC 8446. Oproti svojim predchodcom ponúka vylepšenia zabezpečenia a výkonu.

Táto príručka ukáže, ako povoliť TLS 1.3 pomocou webového servera Apache na Fedore 30.

Požiadavky

  • Inštancia Vultr Cloud Compute (VC2) so systémom Fedora 30.
  • Platný názov domény a správne nakonfigurované A/ AAAA/ CNAMEDNS záznamy pre vašu doménu.
  • Platný certifikát TLS. Jeden dostaneme z Let's Encrypt.
  • Verzia Apache 2.4.36alebo vyššia.
  • Verzia OpenSSL 1.1.1alebo vyššia.

Predtým ako začneš

Skontrolujte verziu Fedory.

cat /etc/fedora-release # Fedora release 30 (Thirty)

Vytvorte si nový non-rootpoužívateľský účet s sudoprístupom a prepnite sa naň.

useradd -c "John Doe" johndoe && passwd johndoe usermod -aG wheel johndoe su - johndoe

POZNÁMKA: Nahraďte johndoesvojim užívateľským menom.

Nastavte časové pásmo.

timedatectl list-timezones sudo timedatectl set-timezone 'Region/City'

Uistite sa, že váš systém je aktuálny.

sudo dnf check-upgrade || sudo dnf upgrade -y

Nainštalujte potrebné balíčky.

sudo dnf install -y socat git

Vypnite SELinux a Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Nainštalujte acme.shklienta a získajte certifikát TLS od spoločnosti Let's Encrypt

Nainštalujte acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Skontrolujte verziu.

/etc/letsencrypt/acme.sh --version # v2.8.2

Získajte certifikáty RSA a ECDSA pre svoju doménu.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv príkazoch názvom vašej domény.

Vytvorte rozumné adresáre na ukladanie vašich certifikátov a kľúčov. Použijeme /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Nainštalujte a skopírujte certifikáty do /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po spustení vyššie uvedených príkazov budú vaše certifikáty a kľúče na nasledujúcich miestach:

  • RSA :/etc/letsencrypt/example.com
  • ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Nainštalujte Apache

Apache pridal podporu pre TLS 1.3 vo verzii 2.4.36. Systém Fedora 30 je dodávaný s Apache a OpenSSL, ktoré podporujú TLS 1.3 hneď po vybalení, takže nie je potrebné vytvárať vlastnú verziu.

Stiahnite si a nainštalujte najnovšiu vetvu 2.4 Apache a jej modul pre SSL cez dnfsprávcu balíkov.

sudo dnf install -y httpd mod_ssl

Skontrolujte verziu.

sudo httpd -v # Server version: Apache/2.4.39 (Fedora) # Server built: May 2 2019 14:50:28

Spustite a povoľte Apache.

sudo systemctl start httpd.service sudo systemctl enable httpd.service

Nakonfigurujte Apache pre TLS 1.3

Teraz, keď sme úspešne nainštalovali Apache, sme pripravení ho nakonfigurovať tak, aby začal používať TLS 1.3 na našom serveri.

Spustite sudo vim /etc/httpd/conf.d/example.com.confa naplňte súbor nasledujúcou základnou konfiguráciou.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Uložte súbor a ukončite ho.

Skontrolujte konfiguráciu.

sudo apachectl configtest

Znova načítajte Apache, aby ste aktivovali novú konfiguráciu.

sudo systemctl reload httpd.service

Otvorte svoju stránku prostredníctvom protokolu HTTPS vo webovom prehliadači. Na overenie TLS 1.3 môžete použiť nástroje pre vývojárov prehliadača alebo službu SSL Labs. Snímky obrazovky nižšie zobrazujú kartu zabezpečenia prehliadača Chrome s protokolom TLS 1.3 v akcii.

Ako povoliť TLS 1.3 v Apache na Fedore 30

Ako povoliť TLS 1.3 v Apache na Fedore 30

Úspešne ste povolili TLS 1.3 v Apache na vašom serveri Fedora 30. Finálna verzia TLS 1.3 bola definovaná v auguste 2018, takže nie je lepší čas na začatie prijímania tejto novej technológie.

Zanechať komentár

The Rise of Machines: Real World Applications of AI

The Rise of Machines: Real World Applications of AI

Umelá inteligencia nie je v budúcnosti, je tu priamo v súčasnosti V tomto blogu si prečítajte, ako aplikácie umelej inteligencie ovplyvnili rôzne sektory.

Útoky DDOS: Stručný prehľad

Útoky DDOS: Stručný prehľad

Ste aj vy obeťou DDOS útokov a máte zmätok ohľadom metód prevencie? Ak chcete vyriešiť svoje otázky, prečítajte si tento článok.

Zaujímalo vás niekedy, ako hackeri zarábajú peniaze?

Zaujímalo vás niekedy, ako hackeri zarábajú peniaze?

Možno ste už počuli, že hackeri zarábajú veľa peňazí, ale premýšľali ste niekedy nad tým, ako môžu zarábať také peniaze? poďme diskutovať.

Revolučné vynálezy od spoločnosti Google, ktoré vám uľahčia život.

Revolučné vynálezy od spoločnosti Google, ktoré vám uľahčia život.

Chcete vidieť revolučné vynálezy od Google a ako tieto vynálezy zmenili život každého dnešného človeka? Potom si prečítajte na blogu a pozrite si vynálezy spoločnosti Google.

Piatok Essential: Čo sa stalo s autami poháňanými AI?

Piatok Essential: Čo sa stalo s autami poháňanými AI?

Koncept samoriadených áut vyraziť na cesty s pomocou umelej inteligencie je snom, ktorý máme už nejaký čas. Ale napriek niekoľkým prísľubom ich nikde nevidno. Prečítajte si tento blog a dozviete sa viac…

Technologická singularita: vzdialená budúcnosť ľudskej civilizácie?

Technologická singularita: vzdialená budúcnosť ľudskej civilizácie?

Ako sa veda vyvíja rýchlym tempom a preberá veľa nášho úsilia, zvyšuje sa aj riziko, že sa vystavíme nevysvetliteľnej singularite. Prečítajte si, čo pre nás môže znamenať singularita.

Funkcionality vrstiev referenčnej architektúry veľkých dát

Funkcionality vrstiev referenčnej architektúry veľkých dát

Prečítajte si blog, aby ste čo najjednoduchším spôsobom spoznali rôzne vrstvy architektúry veľkých dát a ich funkcie.

Vývoj ukladania dát – Infografika

Vývoj ukladania dát – Infografika

Spôsoby ukladania údajov sa môžu vyvíjať už od zrodu údajov. Tento blog sa zaoberá vývojom ukladania údajov na základe infografiky.

6 úžasných výhod toho, že máme v živote inteligentné domáce zariadenia

6 úžasných výhod toho, že máme v živote inteligentné domáce zariadenia

V tomto digitálnom svete sa inteligentné domáce zariadenia stali kľúčovou súčasťou života. Tu je niekoľko úžasných výhod inteligentných domácich zariadení o tom, ako robia náš život, ktorý stojí za to žiť, a ktorý zjednodušujú.

Aktualizácia doplnku macOS Catalina 10.15.4 spôsobuje viac problémov, ako ich rieši

Aktualizácia doplnku macOS Catalina 10.15.4 spôsobuje viac problémov, ako ich rieši

Spoločnosť Apple nedávno vydala doplnkovú aktualizáciu macOS Catalina 10.15.4 na opravu problémov, ale zdá sa, že táto aktualizácia spôsobuje ďalšie problémy, ktoré vedú k blokovaniu počítačov Mac. Prečítajte si tento článok a dozviete sa viac