Як увімкнути TLS 1.3 в Apache на Debian 10

• Вимоги
• Перед тим як ти почнеш
• Встановіть клієнт acme.sh і отримайте сертифікат TLS від Let's Encrypt
• Встановіть Apache
• Налаштуйте Apache для TLS 1.3

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446. Він пропонує покращення безпеки та продуктивності порівняно з його попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Apache на Debian 10.

Вимоги

• Примірник Vultr Cloud Compute (VC2) під керуванням Debian 10 (Buster).
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.
• Версія Apache 2.4.36або новіша.
• Версія OpenSSL 1.1.1або новіша.

Перед тим як ти почнеш

Перевірте версію Debian.

lsb_release -ds # Debian GNU/Linux 10 (buster)

Створіть новий non-rootобліковий запис користувача з sudoдоступом і перейдіть до нього.

adduser johndoe --gecos "John Doe" usermod -aG sudo johndoe su - johndoe

ПРИМІТКА : замініть johndoeна своє ім'я користувача .

Налаштуйте часовий пояс.

sudo dpkg-reconfigure tzdata

Переконайтеся, що ваша система оновлена.

sudo apt update && sudo apt upgrade -y

Встановіть необхідні пакети.

sudo apt install -y zip unzip curl wget git socat

Встановіть acme.shклієнт і отримайте сертифікат TLS від Let's Encrypt

Встановіть acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Перевірте версію.

/etc/letsencrypt/acme.sh --version # v2.8.2

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Створіть розумні каталоги для зберігання ваших сертифікатів і ключів. Ми будемо використовувати /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Встановіть та скопіюйте сертифікати в /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Після виконання наведених вище команд ваші сертифікати та ключі будуть у таких місцях:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Встановіть Apache

Apache додав підтримку TLS 1.3 у версії 2.4.36. Система Debian 10 поставляється з Apache і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає необхідності створювати спеціальну версію.

Завантажте та встановіть останню гілку Apache 2.4 через aptменеджер пакетів.

sudo apt install -y apache2

Перевірте версію.

sudo apache2 -v # Server version: Apache/2.4.38 (Debian) # Server built: 2019-04-07T18:15:40

Налаштуйте Apache для TLS 1.3

Тепер, коли ми успішно встановили Apache, ми готові налаштувати його на використання TLS 1.3 на нашому сервері.

Спочатку ввімкніть модуль SSL.

sudo a2enmod ssl

Перезапустіть Apache.

sudo systemctl restart apache2

Запустіть sudo vim /etc/apache2/sites-available/example.com.confі заповніть файл наступною базовою конфігурацією.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Збережіть файл і вийдіть.

Активуйте новий файл конфігурації, зв’язавши файл із sites-enabledкаталогом.

sudo a2ensite example.com.conf

Перевірте конфігурацію.

sudo apachectl configtest

Перезавантажте Apache.

sudo systemctl reload apache2

Відкрийте свій сайт через протокол HTTPS у своєму веб-браузері. Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome із TLS 1.3 в дії.

Ви успішно ввімкнули TLS 1.3 в Apache на своєму сервері Debian 10. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.