Ako povoliť TLS 1.3 v Nginx na Fedore 29

Úvod

TLS 1.3 je verzia protokolu Transport Layer Security (TLS), ktorý bol publikovaný v roku 2018 ako navrhovaný štandard v RFC 8446 . Oproti svojim predchodcom ponúka vylepšenia zabezpečenia a výkonu.

Táto príručka ukáže, ako povoliť TLS 1.3 pomocou webového servera Nginx na Fedore 29.

Požiadavky

• Verzia Nginx 1.13.0alebo vyššia.
• Verzia OpenSSL 1.1.1alebo vyššia.
• Inštancia Vultr Cloud Compute (VC2) so systémom Fedora 29.
• Platný názov domény a správne nakonfigurované A/ AAAA/ CNAMEDNS záznamy pre vašu doménu.
• Platný certifikát TLS. Jeden dostaneme z Let's Encrypt.

Predtým ako začneš

Skontrolujte verziu Fedory.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Vytvorte si nový non-rootpoužívateľský účet s sudoprístupom a prepnite sa naň.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

POZNÁMKA: Nahraďte johndoesvojim užívateľským menom.

Nastavte časové pásmo.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Uistite sa, že váš systém je aktuálny.

sudo dnf check-upgrade || sudo dnf upgrade -y

Nainštalujte potrebné balíčky.

sudo dnf install -y socat git

Vypnite SELinux a Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Nainštalujte klienta Acme.sh a získajte certifikát TLS z Let's Encrypt

V tejto príručke použijeme klienta Acme.sh na získanie certifikátov SSL od spoločnosti Let's Encrypt. Môžete použiť klienta, ktorého poznáte.

Sťahovať a inštalovať Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Skontrolujte verziu.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Získajte certifikáty RSA a ECDSA pre svoju doménu.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv príkazoch názvom vašej domény.

Po spustení predchádzajúcich príkazov budú vaše certifikáty a kľúče prístupné na:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Nainštalujte Nginx

Nginx pridal podporu pre TLS 1.3 vo verzii 1.13.0. Fedora 29 prichádza s Nginx a OpenSSL, ktoré podporujú TLS 1.3 hneď po vybalení, takže nie je potrebné vytvárať vlastnú verziu.

Nainštalujte Nginx.

sudo dnf install -y nginx

Skontrolujte verziu.

nginx -v
# nginx version: nginx/1.14.2

Skontrolujte verziu OpenSSL, proti ktorej bol Nginx kompilovaný.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Spustite a povoľte Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Nakonfigurujte Nginx

Teraz, keď sme úspešne nainštalovali Nginx, sme pripravení nakonfigurovať ho so správnou konfiguráciou, aby sme mohli začať používať TLS 1.3 na našom serveri.

Spustite sudo vim /etc/nginx/conf.d/example.com.confpríkaz a naplňte súbor nasledujúcou konfiguráciou.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Uložte súbor a ukončite s :+ W+ Q.

Všimnite si nový TLSv1.3parameter ssl_protocolssmernice. Tento parameter je potrebný iba na povolenie TLS 1.3 na Nginx.

Skontrolujte konfiguráciu.

sudo nginx -t

Znova načítať Nginx.

sudo systemctl reload nginx.service

Na overenie TLS 1.3 môžete použiť nástroje pre vývojárov prehliadača alebo službu SSL Labs. Snímky obrazovky nižšie zobrazujú kartu zabezpečenia prehliadača Chrome.

To je všetko. Úspešne ste povolili TLS 1.3 v Nginx na vašom serveri Fedora 29. Finálna verzia TLS 1.3 bola definovaná v auguste 2018, takže nie je lepší čas na začatie prijímania tejto novej technológie.