Як увімкнути TLS 1.3 в Nginx на Fedora 29

Вступ

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446 . Він пропонує покращення безпеки та продуктивності порівняно зі своїми попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Nginx на Fedora 29.

Вимоги

• Версія Nginx 1.13.0або новіша.
• Версія OpenSSL 1.1.1або новіша.
• Примірник Vultr Cloud Compute (VC2) під керуванням Fedora 29.
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.

Перед тим як ти почнеш

Перевірте версію Fedora.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Створіть новий non-rootобліковий запис користувача з sudoдоступом і перейдіть до нього.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Переконайтеся, що ваша система оновлена.

sudo dnf check-upgrade || sudo dnf upgrade -y

Встановіть необхідні пакети.

sudo dnf install -y socat git

Вимкніть SELinux і брандмауер.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Встановіть клієнт Acme.sh і отримайте сертифікат TLS від Let's Encrypt

У цьому посібнику ми будемо використовувати клієнт Acme.sh для отримання сертифікатів SSL від Let's Encrypt. Ви можете використовувати клієнта, який вам найбільше знайомий.

Завантажити та встановити Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

Перевірте версію.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Після виконання попередніх команд ваші сертифікати та ключі будуть доступні за адресою:

• РДА: /etc/letsencrypt/example.com.
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc.

Встановіть Nginx

Nginx додав підтримку TLS 1.3 у версії 1.13.0. Fedora 29 поставляється з Nginx і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає необхідності створювати спеціальну версію.

Встановіть Nginx.

sudo dnf install -y nginx

Перевірте версію.

nginx -v
# nginx version: nginx/1.14.2

Перевірте версію OpenSSL, з якою був скомпільований Nginx.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Запустіть і ввімкніть Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Налаштуйте Nginx

Тепер, коли ми успішно встановили Nginx, ми готові налаштувати його з належною конфігурацією, щоб почати використовувати TLS 1.3 на нашому сервері.

Виконайте sudo vim /etc/nginx/conf.d/example.com.confкоманду та заповніть файл такою конфігурацією.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Зверніть увагу на новий TLSv1.3параметр ssl_protocolsдирективи. Цей параметр необхідний лише для ввімкнення TLS 1.3 на Nginx.

Перевірте конфігурацію.

sudo nginx -t

Перезавантажте Nginx.

sudo systemctl reload nginx.service

Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome.

Це все. Ви успішно ввімкнули TLS 1.3 в Nginx на своєму сервері Fedora 29. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.