Hur man aktiverar TLS 1.3 i Nginx på FreeBSD 12

TLS 1.3 är en version av TLS-protokollet (Transport Layer Security) som publicerades 2018 som en föreslagen standard i RFC 8446 . Den erbjuder säkerhet och prestandaförbättringar jämfört med sina föregångare.

Den här guiden kommer att visa hur man aktiverar TLS 1.3 med hjälp av Nginx-webbservern på FreeBSD 12.

Krav

• Vultr Cloud Compute (VC2)-instans som kör FreeBSD 12.
• Ett giltigt domännamn och korrekt konfigurerade A/ AAAA/ CNAMEDNS-poster för din domän.
• Ett giltigt TLS-certifikat. Vi kommer att få en från Let's Encrypt.
• Nginx-version 1.13.0eller senare.
• OpenSSL-version 1.1.1eller senare.

Innan du börjar

Kontrollera FreeBSD-versionen.

uname -ro
# FreeBSD 12.0-RELEASE

Se till att ditt FreeBSD-system är uppdaterat.

freebsd-update fetch install
pkg update && pkg upgrade -y

Installera nödvändiga paket om de inte finns på ditt system.

pkg install -y sudo vim unzip wget bash socat git

Skapa ett nytt användarkonto med ditt föredragna användarnamn (vi kommer att använda johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Kör visudokommandot och avkommentera %wheel ALL=(ALL) ALLraden för att tillåta medlemmar i wheelgruppen att utföra vilket kommando som helst.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Byt nu till din nyskapade användare med su.

su - johndoe

OBS: Ersätt johndoemed ditt användarnamn.

Ställ in tidszonen.

sudo tzsetup

Installera acme.sh-klienten och skaffa TLS-certifikat från Let's Encrypt

Installera acme.sh.

sudo pkg install -y acme.sh

Kontrollera versionen.

acme.sh --version
# v2.7.9

Skaffa RSA- och ECDSA-certifikat för din domän.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

OBS: Ersätt example.comi kommandona med ditt domännamn.

Skapa kataloger för att lagra dina certifikat och nycklar. Vi kommer att använda /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Installera och kopiera certifikat till /etc/letsencryptkatalogen.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Efter att ha kört ovanstående kommandon kommer dina certifikat och nycklar att finnas på följande platser:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Installera Nginx

Nginx lade till stöd för TLS 1.3 i version 1.13.0. FreeBSD 12-systemet kommer med Nginx och OpenSSL som stöder TLS 1.3 direkt, så det finns inget behov av att bygga en anpassad version.

Ladda ner och installera den senaste huvudversionen av Nginx via pkgpakethanteraren.

sudo pkg install -y nginx-devel

Kontrollera versionen.

nginx -v
# nginx version: nginx/1.15.8

Kontrollera OpenSSL-versionen som Nginx kompilerades mot.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Starta och aktivera Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Konfigurera Nginx

Nu när vi framgångsrikt har installerat Nginx är vi redo att konfigurera den med rätt konfiguration för att börja använda TLS 1.3 på vår server.

Kör sudo vim /usr/local/etc/nginx/example.com.confkommandot och fyll i filen med följande konfiguration.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Spara filen och avsluta med :+ W+ Q.

Nu måste vi inkludera example.com.confi huvudfilen nginx.conf.

Kör sudo vim /usr/local/etc/nginx/nginx.confoch lägg till följande rad i http {}blocket.

include example.com.conf;

Lägg märke till den nya TLSv1.3parametern i ssl_protocolsdirektivet. Denna parameter är endast nödvändig för att aktivera TLS 1.3 på Nginx-servern.

Kontrollera konfigurationen.

sudo nginx -t

Ladda om Nginx.

sudo service nginx reload

För att verifiera TLS 1.3 kan du använda webbläsarutvecklingsverktyg eller SSL Labs-tjänst. Skärmbilderna nedan visar Chromes säkerhetsflik.

Du har framgångsrikt aktiverat TLS 1.3 i Nginx på din FreeBSD-server. Den slutliga versionen av TLS 1.3 definierades i augusti 2018, så det finns ingen bättre tid att börja använda denna nya teknik.