Як увімкнути TLS 1.3 в Nginx на Debian 9

Вступ

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), опублікована в 2018 році як запропонований стандарт у RFC 8446 . Він пропонує покращення безпеки та продуктивності порівняно зі своїми попередниками.

У цьому посібнику пояснюється, як увімкнути TLS 1.3 за допомогою веб-сервера Nginx на Debian 9.

Вимоги

• Версія Nginx 1.13.0або новіша.
• Версія OpenSSL 1.1.1або новіша.
• Примірник Vultr Cloud Compute (VC2) під керуванням Debian 9 x64 (розтягнутий).
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.

Перед тим як ти почнеш

Перевірте версію Debian.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Переконайтеся, що ваша система оновлена.

apt update && apt upgrade -y

Встановіть необхідні пакети.

apt install -y git unzip curl sudo socat build-essential

Створіть новий обліковий запис користувача без права root з sudoдоступом і перейдіть до нього.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

sudo dpkg-reconfigure tzdata

Встановіть клієнт Acme.sh і отримайте сертифікат TLS від Let's Encrypt

Завантажити та встановити Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Перевірте версію.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть його example.comна своє доменне ім’я.

Після виконання попередніх команд ваші сертифікати та ключі будуть доступні в таких місцях:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Створіть Nginx з джерела

Nginx додав підтримку TLS 1.3 у версії 1.13.0. У більшості дистрибутивів Linux, включаючи Debian 9, Nginx побудовано на основі старішої версії OpenSSL, яка не підтримує TLS 1.3. Отже, нам потрібна наша власна збірка Nginx, пов’язана з випуском OpenSSL 1.1.1, яка включає підтримку TLS 1.3.

Завантажте останню основну версію вихідного коду Nginx та розпакуйте його.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Завантажте вихідний код OpenSSL 1.1.1c та розпакуйте його.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Видаліть усі .tar.gzфайли, оскільки вони більше не потрібні.

rm -rf *.tar.gz

Введіть вихідний каталог Nginx.

cd ~/nginx-1.17.0

Налаштуйте, скомпілюйте та встановіть Nginx. Для простоти ми збираємо лише основні модулі, які необхідні для роботи TLS 1.3. Якщо вам потрібна повна збірка Nginx, ви можете прочитати цей посібник Vultr про компіляцію Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Створіть групу системи та користувача Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Символьне посилання /usr/lib/nginx/modulesна /etc/nginx/modules. Останнє є стандартним місцем для модулів Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Створіть каталоги кешу Nginx і встановіть відповідні дозволи.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Перевірте версію Nginx.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Створіть файл модуля Nginx systemd.

sudo vim /etc/systemd/system/nginx.service

Заповніть файл наступною конфігурацією.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Запустіть і ввімкніть Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Створіть conf.d, sites-availableі sites-enabledкаталоги в /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Запустіть sudo vim /etc/nginx/nginx.confі додайте наступні дві директиви в кінець файлу, безпосередньо перед закриттям }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Налаштуйте Nginx для TLS 1.3

Тепер, коли ми успішно створили Nginx, ми готові налаштувати його на використання TLS 1.3 на нашому сервері.

Запустіть sudo vim /etc/nginx/conf.d/example.com.confі заповніть файл наступною конфігурацією.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Зверніть увагу на новий TLSv1.3параметр ssl_protocolsдирективи. Цей параметр необхідний для ввімкнення TLS 1.3.

Перевірте конфігурацію.

sudo nginx -t

Перезавантажте Nginx.

sudo systemctl reload nginx.service

Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome, яка вказує, що TLS 1.3 працює.

Вітаю! Ви успішно ввімкнули TLS 1.3 на своєму сервері Debian 9.