نحوه فعال سازی TLS 1.3 در Apache در Fedora 30

• الزامات
• قبل از اینکه شروع کنی
• مشتری acme.sh را نصب کرده و گواهی TLS را از Let Encrypt دریافت کنید
• آپاچی را نصب کنید
• Apache را برای TLS 1.3 پیکربندی کنید

TLS 1.3 نسخه ای از پروتکل Transport Layer Security (TLS) است که در سال 2018 به عنوان یک استاندارد پیشنهادی در RFC 8446 منتشر شد.

این راهنما نحوه فعال سازی TLS 1.3 را با استفاده از سرور وب Apache در Fedora 30 نشان می دهد.

الزامات

• Vultr Cloud Compute (VC2) نمونه Fedora 30 را اجرا می کند.
• نام دامنه معتبر و سوابق A/ AAAA/ CNAMEDNS به درستی پیکربندی شده برای دامنه شما.
• یک گواهی معتبر TLS. ما یکی از Letry Encrypt را دریافت خواهیم کرد.
• نسخه Apache 2.4.36یا بیشتر
• نسخه OpenSSL 1.1.1یا بیشتر.

قبل از اینکه شروع کنی

نسخه فدورا را بررسی کنید.

cat /etc/fedora-release
# Fedora release 30 (Thirty)

non-rootبا sudoدسترسی یک حساب کاربری جدید ایجاد کنید و به آن تغییر دهید.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

توجه: با نام کاربری خود جایگزین johndoeکنید.

منطقه زمانی را تنظیم کنید.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

اطمینان حاصل کنید که سیستم شما به روز است.

sudo dnf check-upgrade || sudo dnf upgrade -y

بسته های مورد نیاز را نصب کنید.

sudo dnf install -y socat git

SELinux و Firewall را غیرفعال کنید.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

acme.shمشتری را نصب کرده و گواهی TLS را از Let Encrypt دریافت کنید

acme.sh را نصب کنید

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

نسخه را بررسی کنید.

/etc/letsencrypt/acme.sh --version
# v2.8.2

گواهینامه های RSA و ECDSA را برای دامنه خود بدست آورید.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

توجه: دستورات را با نام دامنه خود جايگزين example.comکنيد.

دایرکتوری های معقول ایجاد کنید تا مجوزها و کلیدهای خود را در آن ذخیره کنید. ما از آنها استفاده خواهیم کرد /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

گواهینامه ها را نصب و کپی کنید /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

بعد از اجرای دستورات فوق ، گواهینامه ها و کلیدهای شما در مکان های زیر قرار می گیرند:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

آپاچی را نصب کنید

آپاچی پشتیبانی از TLS 1.3 را در نسخه 2.4.36 اضافه کرد. سیستم فدورا 30 مجهز به آپاچی و OpenSSL است که TLS 1.3 را از جعبه پشتیبانی می کند ، بنابراین نیازی به ساخت نسخه سفارشی نیست.

جدیدترین شاخه 2.4 آپاچی و ماژول آن را برای SSL از طریق dnfمدیر بسته بارگیری و نصب کنید .

sudo dnf install -y httpd mod_ssl

نسخه را بررسی کنید.

sudo httpd -v
# Server version: Apache/2.4.39 (Fedora)
# Server built:   May  2 2019 14:50:28

Apache را شروع و فعال کنید.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Apache را برای TLS 1.3 پیکربندی کنید

اکنون که Apache را با موفقیت نصب کردیم ، آماده هستیم تا آن را پیکربندی کنیم تا شروع به استفاده از TLS 1.3 روی سرور خود کند.

sudo vim /etc/httpd/conf.d/example.com.confبا پیکربندی اصلی زیر پرونده را اجرا کرده و آن را جمع کنید.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

پرونده را ذخیره کرده و خارج شوید.

پیکربندی را بررسی کنید.

sudo apachectl configtest

بارگیری Apache برای فعال کردن پیکربندی جدید.

sudo systemctl reload httpd.service

سایت خود را از طریق پروتکل HTTPS در مرورگر وب خود باز کنید. برای تأیید TLS 1.3 ، می توانید از ابزار dev مرورگر یا سرویس آزمایشگاه SSL استفاده کنید. تصاویر زیر برگه امنیتی Chrome را با استفاده از TLS 1.3 نشان می دهد.

شما با موفقیت TLS 1.3 را در Apache در سرور Fedora 30 فعال کرده اید. نسخه نهایی TLS 1.3 در آگوست 2018 تعریف شده است ، بنابراین زمان بهتری برای شروع تصویب این فناوری جدید وجود ندارد.