Ako povoliť TLS 1.3 v Nginx na Ubuntu 18.04 LTS

TLS 1.3 je verzia protokolu Transport Layer Security (TLS), ktorý bol publikovaný v roku 2018 ako navrhovaný štandard v RFC 8446 . Oproti svojim predchodcom ponúka vylepšenia zabezpečenia a výkonu.

Táto príručka ukáže, ako povoliť TLS 1.3 pomocou webového servera Nginx na Ubuntu 18.04 LTS.

Požiadavky

• Verzia Nginx 1.13.0alebo vyššia.
• Verzia OpenSSL 1.1.1alebo vyššia.
• Inštancia Vultr Cloud Compute (VC2) so systémom Ubuntu 18.04.
• Platný názov domény a správne nakonfigurované A/ AAAA/ CNAMEDNS záznamy pre vašu doménu.
• Platný certifikát TLS. Jeden dostaneme z Let's Encrypt.

Predtým ako začneš

Skontrolujte verziu Ubuntu.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Vytvorte si nový non-rootpoužívateľský účet s sudoprístupom a prepnite sa naň.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

POZNÁMKA: Nahraďte johndoesvojim užívateľským menom.

Nastavte časové pásmo.

sudo dpkg-reconfigure tzdata

Uistite sa, že váš systém je aktuálny.

sudo apt update && sudo apt upgrade -y

Nainštalovať build-essential, socata gitbalíčky.

sudo apt install -y build-essential socat git

Nainštalujte klienta Acme.sh a získajte certifikát TLS z Let's Encrypt

Sťahovať a inštalovať Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Skontrolujte verziu.

acme.sh --version
# v2.8.0

Získajte certifikáty RSA a ECDSA pre svoju doménu.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

POZNÁMKA: Nahraďte example.comv príkazoch názvom vašej domény.

Po spustení predchádzajúcich príkazov budú vaše certifikáty a kľúče prístupné na:

• Pre RSA: /etc/letsencrypt/example.comadresár.
• Pre ECC/ECDSA: /etc/letsencrypt/example.com_eccadresár.

Zostavte Nginx zo zdroja

Nginx pridal podporu pre TLS 1.3 vo verzii 1.13.0. Vo väčšine distribúcií Linuxu, vrátane Ubuntu 18.04, je Nginx postavený na staršej verzii OpenSSL, ktorá nepodporuje TLS 1.3. V dôsledku toho potrebujeme vlastnú vlastnú zostavu Nginx prepojenú s vydaním OpenSSL 1.1.1, ktoré zahŕňa podporu pre TLS 1.3.

Stiahnite si najnovšiu hlavnú verziu zdrojového kódu Nginx a rozbaľte ho.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Stiahnite si zdrojový kód OpenSSL 1.1.1 a rozbaľte ho.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Vymažte všetky .tar.gzsúbory, pretože už nebudú potrebné.

rm -rf *.tar.gz

Zadajte zdrojový adresár Nginx.

cd ~/nginx-1.15.5

Nakonfigurujte, skompilujte a nainštalujte Nginx. Pre jednoduchosť skompilujeme iba základné moduly, ktoré sú potrebné na fungovanie TLS 1.3. Ak potrebujete úplnú zostavu Nginx, môžete si prečítať túto príručku Vultr o kompilácii Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Vytvorte systémovú skupinu a používateľa Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Symbolický odkaz /usr/lib/nginx/modulesna /etc/nginx/modulesadresár. etc/nginx/modulesje štandardným miestom pre moduly Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Vytvorte adresáre vyrovnávacej pamäte Nginx a nastavte správne povolenia.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Skontrolujte verziu Nginx.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Vytvorte súbor systémovej jednotky Nginx.

sudo vim /etc/systemd/system/nginx.service

Naplňte súbor s nasledujúcou konfiguráciou.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Spustite a povoľte Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Vytvorte conf.d, sites-availablea sites-enabledadresáre v /etc/nginxadresári.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Spustite sudo vim /etc/nginx/nginx.confa pridajte nasledujúce dve direktívy na koniec súboru, tesne pred koncovku }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Uložte súbor a ukončite s :+ W+ Q.

Nakonfigurujte Nginx pre TLS 1.3

Teraz, keď sme úspešne vytvorili Nginx, sme pripravení ho nakonfigurovať tak, aby začal používať TLS 1.3 na našom serveri.

Spustite sudo vim /etc/nginx/conf.d/example.com.confa naplňte súbor s nasledujúcou konfiguráciou.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Uložte súbor a ukončite s :+ W+ Q.

Všimnite si nový TLSv1.3parameter ssl_protocolssmernice. Tento parameter je potrebný na povolenie TLS 1.3.

Skontrolujte konfiguráciu.

sudo nginx -t

Znova načítať Nginx.

sudo systemctl reload nginx.service

Na overenie TLS 1.3 môžete použiť nástroje pre vývojárov prehliadača alebo službu SSL Labs. Snímky obrazovky nižšie zobrazujú kartu zabezpečenia prehliadača Chrome, ktorá ukazuje, že TLS 1.3 funguje.

Gratulujem! Úspešne ste povolili TLS 1.3 na svojom webovom serveri Ubuntu 18.04.