Як увімкнути TLS 1.3 в Nginx на Ubuntu 18.04 LTS

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446 . Він пропонує покращення безпеки та продуктивності порівняно зі своїми попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Nginx на Ubuntu 18.04 LTS.

Вимоги

• Версія Nginx 1.13.0або новіша.
• Версія OpenSSL 1.1.1або новіша.
• Примірник Vultr Cloud Compute (VC2) під керуванням Ubuntu 18.04.
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.

Перед тим як ти почнеш

Перевірте версію Ubuntu.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Створіть новий non-rootобліковий запис користувача з sudoдоступом і перейдіть до нього.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

sudo dpkg-reconfigure tzdata

Переконайтеся, що ваша система оновлена.

sudo apt update && sudo apt upgrade -y

Встановити build-essential, socatі gitпакети.

sudo apt install -y build-essential socat git

Встановіть клієнт Acme.sh і отримайте сертифікат TLS від Let's Encrypt

Завантажити та встановити Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Перевірте версію.

acme.sh --version
# v2.8.0

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Після виконання попередніх команд ваші сертифікати та ключі будуть доступні за адресою:

• Для RSA: /etc/letsencrypt/example.comкаталог.
• Для ECC/ECDSA: /etc/letsencrypt/example.com_eccкаталог.

Створіть Nginx з джерела

Nginx додав підтримку TLS 1.3 у версії 1.13.0. У більшості дистрибутивів Linux, включаючи Ubuntu 18.04, Nginx побудовано на основі старішої версії OpenSSL, яка не підтримує TLS 1.3. Отже, нам потрібна наша власна збірка Nginx, пов’язана з випуском OpenSSL 1.1.1, яка включає підтримку TLS 1.3.

Завантажте останню основну версію вихідного коду Nginx та розпакуйте його.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Завантажте вихідний код OpenSSL 1.1.1 та розпакуйте його.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Видаліть усі .tar.gzфайли, оскільки вони більше не знадобляться.

rm -rf *.tar.gz

Введіть вихідний каталог Nginx.

cd ~/nginx-1.15.5

Налаштуйте, скомпілюйте та встановіть Nginx. Для простоти ми збираємо лише основні модулі, які необхідні для роботи TLS 1.3. Якщо вам потрібна повна збірка Nginx, ви можете прочитати цей посібник Vultr про компіляцію Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Створіть системну групу та користувача Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Символьне посилання /usr/lib/nginx/modulesна /etc/nginx/modulesкаталог. etc/nginx/modulesє стандартним місцем для модулів Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Створіть каталоги кешу Nginx і встановіть належні дозволи.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Перевірте версію Nginx.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Створіть файл модуля Nginx systemd.

sudo vim /etc/systemd/system/nginx.service

Заповніть файл наступною конфігурацією.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Запустіть і ввімкніть Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Створіть conf.d, sites-availableі sites-enabledкаталоги в /etc/nginxкаталозі.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Запустіть sudo vim /etc/nginx/nginx.confі додайте наступні дві директиви в кінець файлу, безпосередньо перед закриттям }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Налаштуйте Nginx для TLS 1.3

Тепер, коли ми успішно створили Nginx, ми готові налаштувати його на використання TLS 1.3 на нашому сервері.

Запустіть sudo vim /etc/nginx/conf.d/example.com.confі заповніть файл наступною конфігурацією.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Зверніть увагу на новий TLSv1.3параметр ssl_protocolsдирективи. Цей параметр необхідний для ввімкнення TLS 1.3.

Перевірте конфігурацію.

sudo nginx -t

Перезавантажте Nginx.

sudo systemctl reload nginx.service

Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome, яка показує, що TLS 1.3 працює.

Вітаю! Ви успішно ввімкнули TLS 1.3 на своєму веб-сервері Ubuntu 18.04.