Як увімкнути TLS 1.3 в Apache на FreeBSD 12

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446 . Він пропонує покращення безпеки та продуктивності порівняно зі своїми попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Apache на FreeBSD 12.

Вимоги

• Примірник Vultr Cloud Compute (VC2) під керуванням FreeBSD 12.
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.
• Версія Apache 2.4.36або новіша.
• Версія OpenSSL 1.1.1або новіша.

Перед тим як ти почнеш

Перевірте версію FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Переконайтеся, що ваша система FreeBSD оновлена.

freebsd-update fetch install
pkg update && pkg upgrade -y

Встановіть необхідні пакети, якщо їх немає у вашій системі.

pkg install -y sudo vim unzip wget bash socat git

Створіть новий обліковий запис користувача з бажаним іменем користувача (ми будемо використовувати johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Виконайте visudoкоманду та розкоментуйте %wheel ALL=(ALL) ALLрядок, щоб дозволити членам wheelгрупи виконати будь-яку команду.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Тепер перейдіть до свого щойно створеного користувача за допомогою su.

su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

sudo tzsetup

Встановіть acme.shклієнт і отримайте сертифікат TLS від Let's Encrypt

Встановити acme.sh.

sudo pkg install -y acme.sh

Перевірте версію.

acme.sh --version
# v2.7.9

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Створіть розумні каталоги для зберігання ваших сертифікатів і ключів. Ми будемо використовувати /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Встановіть та скопіюйте сертифікати на /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Після виконання наведених вище команд ваші сертифікати та ключі будуть у таких місцях:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Встановіть Apache

Apache додав підтримку TLS 1.3 у версії 2.4.36. Система FreeBSD 12 поставляється з Apache і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає необхідності створювати спеціальну версію.

Завантажте та встановіть останню гілку Apache 2.4 через pkgменеджер пакетів.

sudo pkg install -y apache24

Перевірте версію.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Запустіть і ввімкніть Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Налаштуйте Apache для TLS 1.3

Тепер, коли ми успішно встановили Apache, ми готові налаштувати його на використання TLS 1.3 на нашому сервері.

ПРИМІТКА. У FreeBSD mod_sslмодуль увімкнено за замовчуванням як у пакеті, так і в порту

Запустіть sudo vim /usr/local/etc/apache24/httpd.confі включіть модуль SSL, розкоментувавши LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Запустіть sudo vim /usr/local/etc/apache24/Includes/example.com.confі заповніть файл наступною базовою конфігурацією.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Перевірте конфігурацію.

sudo service apache24 configtest

Перезавантажте Apache.

sudo service apache24 reload

Відкрийте свій сайт через протокол HTTPS у своєму веб-браузері. Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome із TLS 1.3 в дії.

Ви успішно ввімкнули TLS 1.3 в Apache на своєму сервері FreeBSD. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.