So aktivieren Sie TLS 1.3 in Nginx unter Fedora 29

• Einführung
• Bedarf
• Bevor Sie beginnen
• Installieren Sie den Acme.sh-Client und erhalten Sie das TLS-Zertifikat von Let's Encrypt
• Installieren Sie Nginx
• Konfigurieren Sie Nginx

Einführung

TLS 1.3 ist eine Version des TLS-Protokolls (Transport Layer Security), das 2018 als vorgeschlagener Standard in RFC 8446 veröffentlicht wurde . Es bietet Sicherheits- und Leistungsverbesserungen gegenüber seinen Vorgängern.

In diesem Handbuch wird gezeigt, wie TLS 1.3 mithilfe des Nginx-Webservers unter Fedora 29 aktiviert wird.

Bedarf

• Nginx-Version 1.13.0oder höher.
• OpenSSL-Version 1.1.1oder höher.
• VC2-Instanz (Vultr Cloud Compute) mit Fedora 29.
• Ein gültiger Domain - Name und richtig konfigurierte A/ AAAA/ CNAMEDNS - Datensätze für Ihre Domain.
• Ein gültiges TLS-Zertifikat. Wir werden eine von Let's Encrypt bekommen.

Bevor Sie beginnen

Überprüfen Sie die Fedora-Version.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Erstellen Sie ein neues non-rootBenutzerkonto mit sudoZugriff und wechseln Sie zu diesem.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

HINWEIS: Ersetzen Sie johndoedurch Ihren Benutzernamen.

Richten Sie die Zeitzone ein.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Stellen Sie sicher, dass Ihr System auf dem neuesten Stand ist.

sudo dnf check-upgrade || sudo dnf upgrade -y

Installieren Sie die benötigten Pakete.

sudo dnf install -y socat git

Deaktivieren Sie SELinux und Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Installieren Sie den Acme.sh-Client und erhalten Sie das TLS-Zertifikat von Let's Encrypt

In diesem Handbuch verwenden wir den Acme.sh-Client, um SSL-Zertifikate von Let's Encrypt zu erhalten. Sie können einen Client verwenden, mit dem Sie am besten vertraut sind.

Laden Sie Acme.sh herunter und installieren Sie es .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

Überprüfe die Version.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Erhalten Sie RSA- und ECDSA-Zertifikate für Ihre Domain.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

HINWEIS: Ersetzen Sie example.comdie Befehle durch Ihren Domainnamen.

Nach dem Ausführen der vorherigen Befehle können Sie auf Ihre Zertifikate und Schlüssel zugreifen unter:

• RSA : /etc/letsencrypt/example.com.
• ECC / ECDSA : /etc/letsencrypt/example.com_ecc.

Installieren Sie Nginx

Nginx hat TLS 1.3 in Version 1.13.0 unterstützt. Fedora 29 wird mit Nginx und OpenSSL geliefert, die TLS 1.3 sofort unterstützen, sodass keine benutzerdefinierte Version erstellt werden muss.

Installieren Sie Nginx.

sudo dnf install -y nginx

Überprüfe die Version.

nginx -v
# nginx version: nginx/1.14.2

Überprüfen Sie die OpenSSL-Version, anhand derer Nginx kompiliert wurde.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Starten und aktivieren Sie Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Konfigurieren Sie Nginx

Nachdem wir Nginx erfolgreich installiert haben, können wir es mit der richtigen Konfiguration konfigurieren, um TLS 1.3 auf unserem Server zu verwenden.

Führen Sie den sudo vim /etc/nginx/conf.d/example.com.confBefehl aus und füllen Sie die Datei mit der folgenden Konfiguration.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Speichern Sie die Datei und beenden Sie sie mit :+ W+ Q.

Beachten Sie den neuen TLSv1.3Parameter der ssl_protocolsDirektive. Dieser Parameter ist nur erforderlich, um TLS 1.3 unter Nginx zu aktivieren.

Überprüfen Sie die Konfiguration.

sudo nginx -t

Laden Sie Nginx neu.

sudo systemctl reload nginx.service

Um TLS 1.3 zu überprüfen, können Sie Browser-Entwicklungstools oder den SSL Labs-Dienst verwenden. Die folgenden Screenshots zeigen die Registerkarte "Sicherheit" von Chrome.

Das ist alles. Sie haben TLS 1.3 in Nginx auf Ihrem Fedora 29-Server erfolgreich aktiviert. Die endgültige Version von TLS 1.3 wurde im August 2018 definiert, daher gibt es keinen besseren Zeitpunkt, um mit der Einführung dieser neuen Technologie zu beginnen.