Як увімкнути TLS 1.3 у Nginx на FreeBSD 12

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446 . Він пропонує покращення безпеки та продуктивності порівняно зі своїми попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Nginx у FreeBSD 12.

Вимоги

• Примірник Vultr Cloud Compute (VC2) під керуванням FreeBSD 12.
• Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
• Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.
• Версія Nginx 1.13.0або новіша.
• Версія OpenSSL 1.1.1або новіша.

Перед тим як ти почнеш

Перевірте версію FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Переконайтеся, що ваша система FreeBSD оновлена.

freebsd-update fetch install
pkg update && pkg upgrade -y

Встановіть необхідні пакети, якщо їх немає у вашій системі.

pkg install -y sudo vim unzip wget bash socat git

Створіть новий обліковий запис користувача з бажаним іменем користувача (ми будемо використовувати johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Виконайте visudoкоманду та розкоментуйте %wheel ALL=(ALL) ALLрядок, щоб дозволити членам wheelгрупи виконати будь-яку команду.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Тепер перейдіть до свого щойно створеного користувача за допомогою su.

su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

sudo tzsetup

Встановіть клієнт acme.sh і отримайте сертифікат TLS від Let's Encrypt

Встановити acme.sh.

sudo pkg install -y acme.sh

Перевірте версію.

acme.sh --version
# v2.7.9

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Створюйте каталоги для зберігання ваших сертифікатів і ключів. Ми будемо використовувати /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Встановіть та скопіюйте сертифікати в /etc/letsencryptкаталог.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Після виконання наведених вище команд ваші сертифікати та ключі будуть у таких місцях:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Встановіть Nginx

Nginx додав підтримку TLS 1.3 у версії 1.13.0. Система FreeBSD 12 поставляється з Nginx і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає потреби створювати спеціальну версію.

Завантажте та встановіть останню основну версію Nginx через pkgменеджер пакетів.

sudo pkg install -y nginx-devel

Перевірте версію.

nginx -v
# nginx version: nginx/1.15.8

Перевірте версію OpenSSL, з якою був скомпільований Nginx.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Запустіть і ввімкніть Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Налаштуйте Nginx

Тепер, коли ми успішно встановили Nginx, ми готові налаштувати його з належною конфігурацією, щоб почати використовувати TLS 1.3 на нашому сервері.

Виконайте sudo vim /usr/local/etc/nginx/example.com.confкоманду та заповніть файл такою конфігурацією.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Тепер нам потрібно включити example.com.confв основний nginx.confфайл.

Запустіть sudo vim /usr/local/etc/nginx/nginx.confі додайте наступний рядок до http {}блоку.

include example.com.conf;

Зверніть увагу на новий TLSv1.3параметр ssl_protocolsдирективи. Цей параметр необхідний лише для ввімкнення TLS 1.3 на сервері Nginx.

Перевірте конфігурацію.

sudo nginx -t

Перезавантажте Nginx.

sudo service nginx reload

Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome.

Ви успішно ввімкнули TLS 1.3 в Nginx на своєму сервері FreeBSD. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.