Як увімкнути TLS 1.3 у Nginx на FreeBSD 12

TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446 . Він пропонує покращення безпеки та продуктивності порівняно зі своїми попередниками.

У цьому посібнику буде показано, як увімкнути TLS 1.3 за допомогою веб-сервера Nginx у FreeBSD 12.

Вимоги

  • Примірник Vultr Cloud Compute (VC2) під керуванням FreeBSD 12.
  • Дійсне ім'я домену та правильно сконфігуровані A/ AAAA/ CNAMEDNS записи для вашого домену.
  • Дійсний сертифікат TLS. Ми отримаємо його від Let's Encrypt.
  • Версія Nginx 1.13.0або новіша.
  • Версія OpenSSL 1.1.1або новіша.

Перед тим як ти почнеш

Перевірте версію FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Переконайтеся, що ваша система FreeBSD оновлена.

freebsd-update fetch install
pkg update && pkg upgrade -y

Встановіть необхідні пакети, якщо їх немає у вашій системі.

pkg install -y sudo vim unzip wget bash socat git

Створіть новий обліковий запис користувача з бажаним іменем користувача (ми будемо використовувати johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Виконайте visudoкоманду та розкоментуйте %wheel ALL=(ALL) ALLрядок, щоб дозволити членам wheelгрупи виконати будь-яку команду.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Тепер перейдіть до свого щойно створеного користувача за допомогою su.

su - johndoe

ПРИМІТКА. Замініть johndoeна своє ім’я користувача.

Налаштуйте часовий пояс.

sudo tzsetup

Встановіть клієнт acme.sh і отримайте сертифікат TLS від Let's Encrypt

Встановити acme.sh.

sudo pkg install -y acme.sh

Перевірте версію.

acme.sh --version
# v2.7.9

Отримайте сертифікати RSA та ECDSA для свого домену.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМІТКА. Замініть example.comу командах своє доменне ім’я.

Створюйте каталоги для зберігання ваших сертифікатів і ключів. Ми будемо використовувати /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Встановіть та скопіюйте сертифікати в /etc/letsencryptкаталог.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Після виконання наведених вище команд ваші сертифікати та ключі будуть у таких місцях:

  • RSA: /etc/letsencrypt/example.com
  • ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Встановіть Nginx

Nginx додав підтримку TLS 1.3 у версії 1.13.0. Система FreeBSD 12 поставляється з Nginx і OpenSSL, які підтримують TLS 1.3 з коробки, тому немає потреби створювати спеціальну версію.

Завантажте та встановіть останню основну версію Nginx через pkgменеджер пакетів.

sudo pkg install -y nginx-devel

Перевірте версію.

nginx -v
# nginx version: nginx/1.15.8

Перевірте версію OpenSSL, з якою був скомпільований Nginx.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Запустіть і ввімкніть Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Налаштуйте Nginx

Тепер, коли ми успішно встановили Nginx, ми готові налаштувати його з належною конфігурацією, щоб почати використовувати TLS 1.3 на нашому сервері.

Виконайте sudo vim /usr/local/etc/nginx/example.com.confкоманду та заповніть файл такою конфігурацією.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Збережіть файл і вийдіть за допомогою :+ W+ Q.

Тепер нам потрібно включити example.com.confв основний nginx.confфайл.

Запустіть sudo vim /usr/local/etc/nginx/nginx.confі додайте наступний рядок до http {}блоку.

include example.com.conf;

Зверніть увагу на новий TLSv1.3параметр ssl_protocolsдирективи. Цей параметр необхідний лише для ввімкнення TLS 1.3 на сервері Nginx.

Перевірте конфігурацію.

sudo nginx -t

Перезавантажте Nginx.

sudo service nginx reload

Щоб перевірити TLS 1.3, ви можете використовувати інструменти розробника браузера або службу SSL Labs. На знімках екрана нижче показано вкладку безпеки Chrome.

Як увімкнути TLS 1.3 у Nginx на FreeBSD 12

Як увімкнути TLS 1.3 у Nginx на FreeBSD 12

Ви успішно ввімкнули TLS 1.3 в Nginx на своєму сервері FreeBSD. Остаточна версія TLS 1.3 була визначена в серпні 2018 року, тому немає кращого часу для початку впровадження цієї нової технології.


Як встановити Tiny Tiny RSS Reader на FreeBSD 11 FAMP VPS

Як встановити Tiny Tiny RSS Reader на FreeBSD 11 FAMP VPS

Використання іншої системи? Tiny Tiny RSS Reader — це безкоштовний зчитувач і агрегатор новин (RSS/Atom) із відкритим вихідним кодом, що розміщується на власному веб-сторінці.

Як встановити Wiki.js на FreeBSD 11

Як встановити Wiki.js на FreeBSD 11

Використання іншої системи? Wiki.js — це безкоштовний сучасний вікі-додаток з відкритим вихідним кодом, побудований на Node.js, MongoDB, Git і Markdown. Вихідний код Wiki.js є публічним

Як встановити CMS Pagekit 1.0 на FreeBSD 11 FAMP VPS

Як встановити CMS Pagekit 1.0 на FreeBSD 11 FAMP VPS

Використання іншої системи? Pagekit 1.0 CMS – це красива, модульна, розширювана та легка, безкоштовна система керування вмістом (CMS) з відкритим вихідним кодом.

Як встановити MODX Revolution на FreeBSD 11 FAMP VPS

Як встановити MODX Revolution на FreeBSD 11 FAMP VPS

Використання іншої системи? MODX Revolution — це швидка, гнучка, масштабована система управління вмістом (CMS) корпоративного рівня з відкритим кодом, написана на PHP. Це я

Налаштування OpenBSD 5.5 64-розрядної

Налаштування OpenBSD 5.5 64-розрядної

У цій статті ви дізнаєтеся, як налаштувати OpenBSD 5.5 (64-розрядна версія) на KVM за допомогою Vultr VPS. Крок 1. Увійдіть в панель керування Vultr. Крок 2. Натисніть РОЗВЕРНУТИ

Як встановити osTicket на FreeBSD 12

Як встановити osTicket на FreeBSD 12

Використання іншої системи? osTicket — це система продажу квитків з відкритим вихідним кодом. Вихідний код osTicket відкрито розміщено на Github. У цьому підручнику

Як встановити Flarum Forum на FreeBSD 12

Як встановити Flarum Forum на FreeBSD 12

Використання іншої системи? Flarum — це безкоштовне програмне забезпечення нового покоління з відкритим вихідним кодом, яке робить онлайн-обговорення веселими. Вихідний код Flarum розміщений o

Як увімкнути TLS 1.3 у Nginx на FreeBSD 12

Як увімкнути TLS 1.3 у Nginx на FreeBSD 12

Використання іншої системи? TLS 1.3 — це версія протоколу безпеки транспортного рівня (TLS), який був опублікований у 2018 році як запропонований стандарт у RFC 8446.

Встановіть WordPress на OpenBSD 6.2

Встановіть WordPress на OpenBSD 6.2

Вступ WordPress є домінуючою системою керування вмістом в Інтернеті. Він забезпечує все, від блогів до складних веб-сайтів із динамічним вмістом

Як встановити Subrion 4.1 CMS на FreeBSD 11 FAMP VPS

Як встановити Subrion 4.1 CMS на FreeBSD 11 FAMP VPS

Використання іншої системи? Subrion 4.1 CMS — це потужна та гнучка система керування вмістом із відкритим кодом (CMS), яка забезпечує інтуїтивно зрозумілий та зрозумілий вміст

Як налаштувати DJBDNS на FreeBSD

Як налаштувати DJBDNS на FreeBSD

Цей підручник покаже вам, як налаштувати службу DNS, яку легко підтримувати, легко налаштовувати і яка, як правило, є більш безпечною, ніж класичний BIN

Як встановити стек Nginx, MySQL та PHP (FEMP) на FreeBSD 12.0

Як встановити стек Nginx, MySQL та PHP (FEMP) на FreeBSD 12.0

Стек FEMP, який можна порівняти зі стеком LEMP в Linux, являє собою набір програмного забезпечення з відкритим вихідним кодом, яке зазвичай встановлюється разом для забезпечення FreeBS

Встановлення MongoDB на FreeBSD 10

Встановлення MongoDB на FreeBSD 10

MongoDB — це база даних NoSQL світового класу, яка часто використовується в нових веб-додатках. Він забезпечує високопродуктивні запити, шардінг та реплікацію

Як встановити Моніку на FreeBSD 12

Як встановити Моніку на FreeBSD 12

Використання іншої системи? Monica — це відкрита система управління особистими відносинами. Подумайте про це як про CRM (популярний інструмент, який використовується відділами продажів у м

OpenBSD як рішення для електронної комерції з PrestaShop і Apache

OpenBSD як рішення для електронної комерції з PrestaShop і Apache

Вступ У цьому підручнику демонструється OpenBSD як рішення для електронної комерції з використанням PrestaShop і Apache. Apache потрібен, оскільки PrestaShop має складну UR

Встановлення Fork CMS на FreeBSD 12

Встановлення Fork CMS на FreeBSD 12

Використання іншої системи? Fork — це CMS з відкритим кодом, написана на PHP. Вихідний код Forks розміщено на GitHub. Цей посібник покаже вам, як встановити Fork CM

Як встановити Directus 6.4 CMS на FreeBSD 11 FAMP VPS

Як встановити Directus 6.4 CMS на FreeBSD 11 FAMP VPS

Використання іншої системи? Directus 6.4 CMS — це потужна та гнучка, безкоштовна система керування вмістом без голови (CMS) з відкритим вихідним кодом, яка надає розробнику

Підвищення безпеки для FreeBSD за допомогою IPFW і SSHGuard

Підвищення безпеки для FreeBSD за допомогою IPFW і SSHGuard

Сервери VPS часто стають мішенню зловмисників. Поширений тип атаки відображається в системних журналах у вигляді сотень несанкціонованих спроб входу через ssh. Налаштовуючи

Налаштуйте httpd в OpenBSD

Налаштуйте httpd в OpenBSD

Вступ OpenBSD 5.6 представив новий демон під назвою httpd, який підтримує CGI (через FastCGI) і TLS. Для встановлення нового http не потрібно додатково працювати

Налаштуйте iRedMail на FreeBSD 10

Налаштуйте iRedMail на FreeBSD 10

Цей підручник покаже вам, як встановити групове програмне забезпечення iRedMail на нову інсталяцію FreeBSD 10. Ви повинні використовувати сервер з принаймні одним гігабайтом o

Повстання машин: застосування ШІ в реальному світі

Повстання машин: застосування ШІ в реальному світі

Штучний інтелект не в майбутньому, він тут прямо в сьогоденні У цьому блозі Прочитайте, як програми штучного інтелекту вплинули на різні сектори.

DDOS-атаки: короткий огляд

DDOS-атаки: короткий огляд

Ви також стали жертвою DDOS-атак і спантеличені методами запобігання? Прочитайте цю статтю, щоб вирішити свої запитання.

Ви коли-небудь замислювалися, як хакери заробляють гроші?

Ви коли-небудь замислювалися, як хакери заробляють гроші?

Можливо, ви чули, що хакери заробляють багато грошей, але чи замислювалися ви коли-небудь, як вони заробляють такі гроші? давайте обговоримо.

Революційні винаходи від Google, які полегшать ваше життя.

Революційні винаходи від Google, які полегшать ваше життя.

Ви хочете побачити революційні винаходи Google і як ці винаходи змінили життя кожної людини сьогодні? Тоді читайте в блозі, щоб побачити винаходи Google.

Friday Essential: Що сталося з автомобілями, керованими штучним інтелектом?

Friday Essential: Що сталося з автомобілями, керованими штучним інтелектом?

Концепція самокерованих автомобілів, щоб вирушати в дороги за допомогою штучного інтелекту, є мрією, яку ми давно мріємо. Але, незважаючи на кілька обіцянок, їх ніде не видно. Прочитайте цей блог, щоб дізнатися більше…

Технологічна сингулярність: віддалене майбутнє людської цивілізації?

Технологічна сингулярність: віддалене майбутнє людської цивілізації?

Оскільки наука розвивається швидкими темпами, бере на себе багато наших зусиль, ризики піддати себе незрозумілій Сингулярності також зростає. Читайте, що може означати для нас сингулярність.

Еволюція зберігання даних – інфографіка

Еволюція зберігання даних – інфографіка

Методи зберігання даних можуть розвиватися з моменту народження Даних. Цей блог висвітлює еволюцію зберігання даних на основі інфографіки.

Функціональні можливості шарів еталонної архітектури великих даних

Функціональні можливості шарів еталонної архітектури великих даних

Прочитайте блог, щоб дізнатися про різні шари архітектури великих даних та їх функціональні можливості найпростішим способом.

6 дивовижних переваг використання пристроїв розумного дому в нашому житті

6 дивовижних переваг використання пристроїв розумного дому в нашому житті

У цьому цифровому світі пристрої розумного дому стали важливою частиною життя. Ось кілька дивовижних переваг пристроїв розумного дому щодо того, як вони роблять наше життя гідним життя та спрощують його.

Оновлення доповнення macOS Catalina 10.15.4 спричиняє більше проблем, ніж вирішує

Оновлення доповнення macOS Catalina 10.15.4 спричиняє більше проблем, ніж вирішує

Нещодавно Apple випустила додаткове оновлення macOS Catalina 10.15.4, щоб виправити проблеми, але схоже, що оновлення викликає більше проблем, що призводять до блокування комп’ютерів Mac. Прочитайте цю статтю, щоб дізнатися більше