Hur man aktiverar TLS 1.3 i Apache på CentOS 8

TLS 1.3 är en version av protokollet Transport Layer Security (TLS) som publicerades 2018 som en föreslagen standard i RFC 8446. Det erbjuder säkerhets- och prestandaförbättringar jämfört med sina föregångare.

Den här guiden visar hur du aktiverar TLS 1.3 med Apache-webbservern på CentOS 8.

Krav

• Vultr Cloud Compute (VC2)-instans som kör CentOS 8.
• Ett giltigt domännamn och korrekt konfigurerade A/ AAAA/ CNAMEDNS-poster för din domän.
• Ett giltigt TLS-certifikat. Vi kommer att få en från Let's Encrypt.
• Apache-version 2.4.36eller senare.
• OpenSSL-version 1.1.1eller senare.

Innan du börjar

Kontrollera CentOS-versionen.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Skapa ett nytt non-rootanvändarkonto med sudoåtkomst och byt till det.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

OBS: Ersätt johndoemed ditt användarnamn.

Ställ in tidszonen.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Se till att ditt system är uppdaterat.

sudo yum update

Installera de nödvändiga paketen.

sudo yum install -y socat git

Inaktivera SELinux och brandvägg.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Installera acme.shklienten och skaffa ett TLS-certifikat från Let's Encrypt

Installera acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Kontrollera versionen.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Skaffa RSA- och ECDSA-certifikat för din domän.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

OBS: Ersätt example.comi kommandon med ditt domännamn.

Skapa vettiga kataloger att lagra dina certifikat och nycklar i. Vi kommer att använda /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Installera och kopiera certifikat till /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Efter att ha kört ovanstående kommandon kommer dina certifikat och nycklar att finnas på följande platser:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Installera Apache

Apache lade till stöd för TLS 1.3 i version 2.4.36. CentOS 8-systemet kommer med Apache och OpenSSL som stöder TLS 1.3 direkt, så det finns inget behov av att bygga en anpassad version.

Ladda ner och installera den senaste 2.4-versionen av Apache och dess modul för SSL via yumpakethanteraren.

sudo yum install -y httpd mod_ssl

Kontrollera versionen.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Starta och aktivera Apache.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Konfigurera Apache för TLS 1.3

Nu när vi har installerat Apache är vi redo att konfigurera den för att börja använda TLS 1.3 på vår server.

Kör sudo vim /etc/httpd/conf.d/example.com.confoch fyll i filen med följande grundläggande konfiguration.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Spara filen och avsluta med :+ W+ Q.

Kontrollera konfigurationen.

sudo apachectl configtest

Ladda om Apache för att aktivera den nya konfigurationen.

sudo systemctl reload httpd.service

Öppna din webbplats via HTTPS-protokollet i din webbläsare. För att verifiera TLS 1.3 kan du använda webbläsarutvecklingsverktyg eller SSL Labs-tjänst. Skärmbilderna nedan visar Chromes säkerhetsflik med TLS 1.3 i aktion.

Du har framgångsrikt aktiverat TLS 1.3 i Apache på din CentOS 8-server. Den slutliga versionen av TLS 1.3 definierades i augusti 2018, så det finns ingen bättre tid att börja använda denna nya teknik.