Како омогућити ТЛС 1.3 у Нгинк-у на Дебиан-у 9

Увод

ТЛС 1.3 је верзија протокола Транспорт Лаиер Сецурити (ТЛС) објављеног 2018. године као предложени стандард у РФЦ 8446 . Нуди побољшања безбедности и перформанси у односу на своје претходнике.

Овај водич објашњава како да омогућите ТЛС 1.3 користећи Нгинк веб сервер на Дебиан-у 9.

Захтеви

• Нгинк верзија 1.13.0или новија.
• ОпенССЛ верзија 1.1.1или новија.
• Вултр Цлоуд Цомпуте (ВЦ2) инстанца која покреће Дебиан 9 к64 (стретцх).
• Важеће име домена и правилно конфигурисани A/ AAAA/ CNAMEДНС записи за ваш домен.
• Важећи ТЛС сертификат. Добићемо један од Лет'с Енцрипт.

Пре него што почнете

Проверите верзију Дебиана.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Уверите се да је ваш систем ажуриран.

apt update && apt upgrade -y

Инсталирајте потребне пакете.

apt install -y git unzip curl sudo socat build-essential

Креирајте нови не-роот кориснички налог са sudoприступом и пребаците се на њега.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

НАПОМЕНА: Замените johndoeсвојим корисничким именом.

Подесите временску зону.

sudo dpkg-reconfigure tzdata

Инсталирајте Ацме.сх клијент и набавите ТЛС сертификат од Лет'с Енцрипт

Преузети и инсталирати Ацме.сх .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Проверите верзију.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Набавите РСА и ЕЦДСА сертификате за свој домен.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

НАПОМЕНА: Замените example.comса именом вашег домена.

Након покретања претходних команди, ваши сертификати и кључеви су доступни на следећим локацијама:

• РСА :/etc/letsencrypt/example.com
• ЕЦЦ/ЕЦДСА :/etc/letsencrypt/example.com_ecc

Направите Нгинк из извора

Нгинк је додао подршку за ТЛС 1.3 у верзији 1.13.0. На већини Линук дистрибуција, укључујући Дебиан 9, Нгинк је изграђен са старијом ОпенССЛ верзијом, која не подржава ТЛС 1.3. Сходно томе, потребна нам је сопствена прилагођена Нгинк верзија повезана са издањем ОпенССЛ 1.1.1, која укључује подршку за ТЛС 1.3.

Преузмите најновију главну верзију Нгинк изворног кода и распакујте је.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Преузмите ОпенССЛ 1.1.1ц изворни код и распакујте га.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Избришите све .tar.gzдатотеке, јер више нису потребне.

rm -rf *.tar.gz

Унесите Нгинк изворни директоријум.

cd ~/nginx-1.17.0

Конфигуришите, компајлирајте и инсталирајте Нгинк. Ради једноставности, саставићемо само основне модуле који су потребни да би ТЛС 1.3 радио. Ако вам је потребна комплетна Нгинк верзија , можете прочитати овај Вултр водич о Нгинк компилацији.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Креирајте Нгинк системску групу и корисника.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Симболна веза /usr/lib/nginx/modulesдо /etc/nginx/modules. Ово последње је стандардно место за Нгинк модуле.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Креирајте Нгинк кеш директоријуме и поставите одговарајуће дозволе.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Проверите верзију Нгинк-а.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Направите Нгинк системску јединичну датотеку.

sudo vim /etc/systemd/system/nginx.service

Попуните датотеку следећом конфигурацијом.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Покрените и омогућите Нгинк.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Креирајте conf.d, sites-availableи sites-enabledдиректоријуме у /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Покрените sudo vim /etc/nginx/nginx.confи додајте следеће две директиве на крај датотеке, непосредно пре затварања }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Сачувајте датотеку и изађите са :+ W+ Q.

Конфигуришите Нгинк за ТЛС 1.3

Сада када смо успешно изградили Нгинк, спремни смо да га конфигуришемо да почне да користи ТЛС 1.3 на нашем серверу.

Покрените sudo vim /etc/nginx/conf.d/example.com.confи попуните датотеку следећом конфигурацијом.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Сачувајте датотеку и изађите са :+ W+ Q.

Обратите пажњу на нови TLSv1.3параметар ssl_protocolsдирективе. Овај параметар је неопходан да би се омогућио ТЛС 1.3.

Проверите конфигурацију.

sudo nginx -t

Поново учитај Нгинк.

sudo systemctl reload nginx.service

Да бисте верификовали ТЛС 1.3, можете да користите алатке за развој претраживача или ССЛ Лабс услугу. Снимци екрана испод показују Цхроме-ову безбедносну картицу која указује да ТЛС 1.3 ради.

Честитам! Успешно сте омогућили ТЛС 1.3 на свом Дебиан 9 серверу.