Як увімкнути TLS 1.3 в Apache на Fedora 30

• Вимоги
• Перед тим як ти почнеш
• Встановіть клієнт acme.sh і отримайте сертифікат TLS від Let's Encrypt
• Встановіть Apache
• Налаштуйте Apache для TLS 1.3

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446. Він пропонує покращення безпеки та продуктивності порівняно з його попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Apache на Fedora 30.

Вимоги

• Примірник Vultr Cloud Compute (VC2) під керуванням Fedora 30.
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.
• Версія Apache 2.4.36або новіша.
• Версія OpenSSL 1.1.1або новіша.

Перед тим як ти почнеш

Перевірте версію Fedora.

cat /etc/fedora-release # Fedora release 30 (Thirty)

Створіть новий non-rootобліковий запис користувача з sudoдоступом і перейдіть до нього.

useradd -c "John Doe" johndoe && passwd johndoe usermod -aG wheel johndoe su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

timedatectl list-timezones sudo timedatectl set-timezone 'Region/City'

Переконайтеся, що ваша система оновлена.

sudo dnf check-upgrade || sudo dnf upgrade -y

Встановіть необхідні пакети.

sudo dnf install -y socat git

Вимкніть SELinux і брандмауер.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Встановіть acme.shклієнт і отримайте сертифікат TLS від Let's Encrypt

Встановіть acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Перевірте версію.

/etc/letsencrypt/acme.sh --version # v2.8.2

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Створіть розумні каталоги для зберігання ваших сертифікатів і ключів. Ми будемо використовувати /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Встановіть та скопіюйте сертифікати на /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Після виконання наведених вище команд ваші сертифікати та ключі будуть у таких місцях:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Встановіть Apache

Apache додав підтримку TLS 1.3 у версії 2.4.36. Система Fedora 30 поставляється з Apache і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає необхідності створювати спеціальну версію.

Завантажте та встановіть останню гілку Apache 2.4 та її модуль для SSL через dnfменеджер пакетів.

sudo dnf install -y httpd mod_ssl

Перевірте версію.

sudo httpd -v # Server version: Apache/2.4.39 (Fedora) # Server built: May 2 2019 14:50:28

Запустіть і ввімкніть Apache.

sudo systemctl start httpd.service sudo systemctl enable httpd.service

Налаштуйте Apache для TLS 1.3

Тепер, коли ми успішно встановили Apache, ми готові налаштувати його на використання TLS 1.3 на нашому сервері.

Запустіть sudo vim /etc/httpd/conf.d/example.com.confі заповніть файл наступною базовою конфігурацією.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Збережіть файл і вийдіть.

Перевірте конфігурацію.

sudo apachectl configtest

Перезавантажте Apache, щоб активувати нову конфігурацію.

sudo systemctl reload httpd.service

Відкрийте свій сайт через протокол HTTPS у своєму веб-браузері. Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome із TLS 1.3 в дії.

Ви успішно ввімкнули TLS 1.3 в Apache на своєму сервері Fedora 30. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.