Як увімкнути TLS 1.3 в Apache на CentOS 8

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446. Він пропонує покращення безпеки та продуктивності порівняно з його попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Apache на CentOS 8.

Вимоги

• Примірник Vultr Cloud Compute (VC2) під керуванням CentOS 8.
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.
• Версія Apache 2.4.36або новіша.
• Версія OpenSSL 1.1.1або новіша.

Перед тим як ти почнеш

Перевірте версію CentOS.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Створіть новий non-rootобліковий запис користувача з sudoдоступом і перейдіть до нього.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Переконайтеся, що ваша система оновлена.

sudo yum update

Встановіть необхідні пакети.

sudo yum install -y socat git

Вимкніть SELinux і брандмауер.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Встановіть acme.shклієнт і отримайте сертифікат TLS від Let's Encrypt

Встановіть acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Перевірте версію.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Створіть розумні каталоги для зберігання ваших сертифікатів і ключів. Ми будемо використовувати /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Встановіть та скопіюйте сертифікати в /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Після виконання наведених вище команд ваші сертифікати та ключі будуть у таких місцях:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Встановіть Apache

Apache додав підтримку TLS 1.3 у версії 2.4.36. Система CentOS 8 поставляється з Apache і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає необхідності створювати спеціальну версію.

Завантажте та встановіть останню версію Apache 2.4 та його модуль для SSL через yumменеджер пакетів.

sudo yum install -y httpd mod_ssl

Перевірте версію.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Запустіть і ввімкніть Apache.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Налаштуйте Apache для TLS 1.3

Тепер, коли ми успішно встановили Apache, ми готові налаштувати його на використання TLS 1.3 на нашому сервері.

Запустіть sudo vim /etc/httpd/conf.d/example.com.confі заповніть файл наступною базовою конфігурацією.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Перевірте конфігурацію.

sudo apachectl configtest

Перезавантажте Apache, щоб активувати нову конфігурацію.

sudo systemctl reload httpd.service

Відкрийте свій сайт через протокол HTTPS у своєму веб-браузері. Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome із TLS 1.3 в дії.

Ви успішно ввімкнули TLS 1.3 в Apache на своєму сервері CentOS 8. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.