Како омогућити ТЛС 1.3 у Апацхе-у на ФрееБСД 12

ТЛС 1.3 је верзија протокола Транспорт Лаиер Сецурити (ТЛС) који је објављен 2018. године као предложени стандард у РФЦ 8446 . Нуди побољшања безбедности и перформанси у односу на своје претходнике.

Овај водич ће показати како да омогућите ТЛС 1.3 користећи Апацхе веб сервер на ФрееБСД 12.

Захтеви

• Вултр Цлоуд Цомпуте (ВЦ2) инстанца која покреће ФрееБСД 12.
• Важеће име домена и правилно конфигурисани A/ AAAA/ CNAMEДНС записи за ваш домен.
• Важећи ТЛС сертификат. Добићемо један од Лет'с Енцрипт.
• Апацхе верзија 2.4.36или новија.
• ОпенССЛ верзија 1.1.1или новија.

Пре него што почнете

Проверите верзију ФрееБСД-а.

uname -ro
# FreeBSD 12.0-RELEASE

Уверите се да је ваш ФрееБСД систем ажуриран.

freebsd-update fetch install
pkg update && pkg upgrade -y

Инсталирајте потребне пакете ако нису присутни на вашем систему.

pkg install -y sudo vim unzip wget bash socat git

Креирајте нови кориснички налог са жељеним корисничким именом (користићемо johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Покрените visudoкоманду и декоментирајте %wheel ALL=(ALL) ALLред да бисте омогућили члановима wheelгрупе да изврше било коју команду.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Сада се пребаците на свог новокреираног корисника помоћу su.

su - johndoe

НАПОМЕНА: Замените johndoeсвојим корисничким именом.

Подесите временску зону.

sudo tzsetup

Инсталирајте acme.shклијента и прибавите ТЛС сертификат од Лет'с Енцрипт

Инсталирај acme.sh.

sudo pkg install -y acme.sh

Проверите верзију.

acme.sh --version
# v2.7.9

Набавите РСА и ЕЦДСА сертификате за свој домен.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

НАПОМЕНА: Замените example.comу командама именом вашег домена.

Креирајте разумне директоријуме за складиштење ваших сертификата и кључева. Користићемо /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Инсталирајте и копирајте сертификате у /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Након покретања горњих команди, ваши сертификати и кључеви ће бити на следећим локацијама:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Инсталирајте Апацхе

Апацхе је додао подршку за ТЛС 1.3 у верзији 2.4.36. ФрееБСД 12 систем долази са Апацхе-ом и ОпенССЛ-ом који подржавају ТЛС 1.3 из кутије, тако да нема потребе за прављењем прилагођене верзије.

Преузмите и инсталирајте најновију 2.4 грану Апацхе-а преко pkgменаџера пакета.

sudo pkg install -y apache24

Проверите верзију.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Покрените и омогућите Апацхе.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Конфигуришите Апацхе за ТЛС 1.3

Сада када смо успешно инсталирали Апацхе, спремни смо да га конфигуришемо да почне да користи ТЛС 1.3 на нашем серверу.

НАПОМЕНА: У ФрееБСД-у, mod_sslмодул је подразумевано омогућен и у пакету и на порту

Покрените sudo vim /usr/local/etc/apache24/httpd.confи укључите ССЛ модул уклањањем коментара LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Покрените sudo vim /usr/local/etc/apache24/Includes/example.com.confи попуните датотеку следећом основном конфигурацијом.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Сачувајте датотеку и изађите са :+ W+ Q.

Проверите конфигурацију.

sudo service apache24 configtest

Поново учитај Апацхе.

sudo service apache24 reload

Отворите своју веб локацију преко ХТТПС протокола у свом веб претраживачу. Да бисте верификовали ТЛС 1.3, можете да користите алатке за развој претраживача или ССЛ Лабс услугу. Снимци екрана испод показују Цхроме-ову безбедносну картицу са ТЛС 1.3 у акцији.

Успешно сте омогућили ТЛС 1.3 у Апацхе-у на вашем ФрееБСД серверу. Коначна верзија ТЛС-а 1.3 дефинисана је у августу 2018. године, тако да нема бољег времена за почетак усвајања ове нове технологије.