Ako povoliť TLS 1.3 v Nginx na FreeBSD 12

TLS 1.3 je verzia protokolu Transport Layer Security (TLS), ktorý bol publikovaný v roku 2018 ako navrhovaný štandard v RFC 8446 . Oproti svojim predchodcom ponúka vylepšenia zabezpečenia a výkonu.

Táto príručka ukáže, ako povoliť TLS 1.3 pomocou webového servera Nginx na FreeBSD 12.

Požiadavky

• Inštancia Vultr Cloud Compute (VC2) so systémom FreeBSD 12.
• Platný názov domény a správne nakonfigurované A/ AAAA/ CNAMEDNS záznamy pre vašu doménu.
• Platný certifikát TLS. Jeden dostaneme z Let's Encrypt.
• Verzia Nginx 1.13.0alebo vyššia.
• Verzia OpenSSL 1.1.1alebo vyššia.

Predtým ako začneš

Skontrolujte verziu FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Uistite sa, že váš systém FreeBSD je aktuálny.

freebsd-update fetch install
pkg update && pkg upgrade -y

Nainštalujte potrebné balíky, ak sa nenachádzajú vo vašom systéme.

pkg install -y sudo vim unzip wget bash socat git

Vytvorte si nový používateľský účet s preferovaným používateľským menom (použijeme johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Spustite visudopríkaz a odkomentujte %wheel ALL=(ALL) ALLriadok, aby členovia wheelskupiny mohli vykonať ľubovoľný príkaz.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Teraz prejdite na svojho novo vytvoreného používateľa pomocou su.

su - johndoe

POZNÁMKA: Nahraďte johndoesvojim užívateľským menom.

Nastavte časové pásmo.

sudo tzsetup

Nainštalujte klienta acme.sh a získajte certifikát TLS z Let's Encrypt

Nainštalujte acme.sh.

sudo pkg install -y acme.sh

Skontrolujte verziu.

acme.sh --version
# v2.7.9

Získajte certifikáty RSA a ECDSA pre svoju doménu.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv príkazoch názvom vašej domény.

Vytvorte adresáre na ukladanie certifikátov a kľúčov. budeme používať /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Nainštalujte a skopírujte certifikáty do /etc/letsencryptadresára.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po spustení vyššie uvedených príkazov budú vaše certifikáty a kľúče na nasledujúcich miestach:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Nainštalujte Nginx

Nginx pridal podporu pre TLS 1.3 vo verzii 1.13.0. Systém FreeBSD 12 sa dodáva s Nginx a OpenSSL, ktoré podporujú TLS 1.3 hneď po vybalení, takže nie je potrebné vytvárať vlastnú verziu.

Stiahnite si a nainštalujte najnovšiu hlavnú verziu Nginx cez pkgsprávcu balíkov.

sudo pkg install -y nginx-devel

Skontrolujte verziu.

nginx -v
# nginx version: nginx/1.15.8

Skontrolujte verziu OpenSSL, proti ktorej bol Nginx kompilovaný.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Spustite a povoľte Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Nakonfigurujte Nginx

Teraz, keď sme úspešne nainštalovali Nginx, sme pripravení nakonfigurovať ho so správnou konfiguráciou, aby sme mohli začať používať TLS 1.3 na našom serveri.

Spustite sudo vim /usr/local/etc/nginx/example.com.confpríkaz a naplňte súbor nasledujúcou konfiguráciou.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Uložte súbor a ukončite s :+ W+ Q.

Teraz musíme zahrnúť example.com.confdo hlavného nginx.confsúboru.

Spustite sudo vim /usr/local/etc/nginx/nginx.confa pridajte nasledujúci riadok do http {}bloku.

include example.com.conf;

Všimnite si nový TLSv1.3parameter ssl_protocolssmernice. Tento parameter je potrebný iba na povolenie TLS 1.3 na serveri Nginx.

Skontrolujte konfiguráciu.

sudo nginx -t

Znova načítať Nginx.

sudo service nginx reload

Na overenie TLS 1.3 môžete použiť nástroje pre vývojárov prehliadača alebo službu SSL Labs. Snímky obrazovky nižšie zobrazujú kartu zabezpečenia prehliadača Chrome.

Úspešne ste povolili TLS 1.3 v Nginx na vašom serveri FreeBSD. Finálna verzia TLS 1.3 bola definovaná v auguste 2018, takže nie je lepší čas na začatie prijímania tejto novej technológie.