Hur man aktiverar TLS 1.3 i Nginx på Fedora 29

Introduktion

TLS 1.3 är en version av TLS-protokollet (Transport Layer Security) som publicerades 2018 som en föreslagen standard i RFC 8446 . Den erbjuder säkerhet och prestandaförbättringar jämfört med sina föregångare.

Den här guiden kommer att visa hur man aktiverar TLS 1.3 med hjälp av Nginx-webbservern på Fedora 29.

Krav

• Nginx-version 1.13.0eller senare.
• OpenSSL-version 1.1.1eller senare.
• Vultr Cloud Compute (VC2)-instans som kör Fedora 29.
• Ett giltigt domännamn och korrekt konfigurerade A/ AAAA/ CNAMEDNS-poster för din domän.
• Ett giltigt TLS-certifikat. Vi kommer att få en från Let's Encrypt.

Innan du börjar

Kontrollera Fedora-versionen.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Skapa ett nytt non-rootanvändarkonto med sudoåtkomst och byt till det.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

OBS: Ersätt johndoemed ditt användarnamn.

Ställ in tidszonen.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Se till att ditt system är uppdaterat.

sudo dnf check-upgrade || sudo dnf upgrade -y

Installera de nödvändiga paketen.

sudo dnf install -y socat git

Inaktivera SELinux och brandvägg.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Installera Acme.sh-klienten och skaffa TLS-certifikat från Let's Encrypt

I den här guiden kommer vi att använda Acme.sh-klienten för att få SSL-certifikat från Let's Encrypt. Du kan använda en klient du är mest bekant med.

Ladda ner och installera Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Kontrollera versionen.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Skaffa RSA- och ECDSA-certifikat för din domän.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

OBS: Ersätt example.comi kommandona med ditt domännamn.

Efter att ha kört de tidigare kommandona kommer dina certifikat och nycklar att vara tillgängliga på:

• RSA: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Installera Nginx

Nginx lade till stöd för TLS 1.3 i version 1.13.0. Fedora 29 kommer med Nginx och OpenSSL som stöder TLS 1.3 direkt, så det finns inget behov av att bygga en anpassad version.

Installera Nginx.

sudo dnf install -y nginx

Kontrollera versionen.

nginx -v
# nginx version: nginx/1.14.2

Kontrollera OpenSSL-versionen som Nginx kompilerades mot.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Starta och aktivera Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Konfigurera Nginx

Nu när vi framgångsrikt har installerat Nginx är vi redo att konfigurera den med rätt konfiguration för att börja använda TLS 1.3 på vår server.

Kör sudo vim /etc/nginx/conf.d/example.com.confkommandot och fyll i filen med följande konfiguration.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Spara filen och avsluta med :+ W+ Q.

Lägg märke till den nya TLSv1.3parametern i ssl_protocolsdirektivet. Denna parameter är endast nödvändig för att aktivera TLS 1.3 på Nginx.

Kontrollera konfigurationen.

sudo nginx -t

Ladda om Nginx.

sudo systemctl reload nginx.service

För att verifiera TLS 1.3 kan du använda webbläsarutvecklingsverktyg eller SSL Labs-tjänst. Skärmbilderna nedan visar Chromes säkerhetsflik.

Det är allt. Du har framgångsrikt aktiverat TLS 1.3 i Nginx på din Fedora 29-server. Den slutliga versionen av TLS 1.3 definierades i augusti 2018, så det finns ingen bättre tid att börja använda denna nya teknik.