نحوه فعال سازی TLS 1.3 در Apache در FreeBSD 12

• الزامات
• قبل از اینکه شروع کنی
• مشتری acme.sh را نصب کرده و گواهی TLS را از Let Encrypt دریافت کنید
• آپاچی را نصب کنید
• Apache را برای TLS 1.3 پیکربندی کنید

TLS 1.3 نسخه ای از پروتکل Transport Layer Security (TLS) است که در سال 2018 به عنوان استاندارد پیشنهادی در RFC 8446 منتشر شد . این سیستم امنیت و عملکرد را نسبت به پیشینیان خود بهبود می بخشد.

این راهنما نحوه فعال سازی TLS 1.3 را با استفاده از سرور وب Apache در FreeBSD 12 نشان می دهد.

الزامات

• Vultr Cloud Compute (VC2) به طور مثال FreeBSD 12 را اجرا می کند.
• نام دامنه معتبر و سوابق A/ AAAA/ CNAMEDNS به درستی پیکربندی شده برای دامنه شما.
• یک گواهی معتبر TLS. ما یکی از Letry Encrypt را دریافت خواهیم کرد.
• نسخه Apache 2.4.36یا بیشتر
• نسخه OpenSSL 1.1.1یا بیشتر.

قبل از اینکه شروع کنی

نسخه FreeBSD را بررسی کنید.

uname -ro
# FreeBSD 12.0-RELEASE

اطمینان حاصل کنید که سیستم FreeBSD شما به روز شده است.

freebsd-update fetch install
pkg update && pkg upgrade -y

در صورت وجود در سیستم شما بسته های لازم را نصب کنید.

pkg install -y sudo vim unzip wget bash socat git

با نام کاربری دلخواه خود یک حساب کاربری جدید ایجاد کنید (ما از آن استفاده خواهیم کرد johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

visudoدستور را اجرا کرده و %wheel ALL=(ALL) ALLخط را لغو اعتبار دهید تا اعضای wheelگروه بتوانند هر دستور را اجرا کنند.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

اکنون با کاربر تازه ایجاد شده خود تغییر دهید su.

su - johndoe

توجه: با نام کاربری خود جایگزین johndoeکنید.

منطقه زمانی را تنظیم کنید.

sudo tzsetup

acme.shمشتری را نصب کرده و گواهی TLS را از Let Encrypt دریافت کنید

نصب acme.sh.

sudo pkg install -y acme.sh

نسخه را بررسی کنید.

acme.sh --version
# v2.7.9

گواهینامه های RSA و ECDSA را برای دامنه خود بدست آورید.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

توجه: دستورات را با نام دامنه خود جايگزين example.comکنيد.

دایرکتوری های معقول ایجاد کنید تا مجوزها و کلیدهای خود را در آن ذخیره کنید. ما از آنها استفاده خواهیم کرد /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

گواهینامه ها را نصب و کپی کنید /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

بعد از اجرای دستورات فوق ، گواهینامه ها و کلیدهای شما در مکان های زیر قرار می گیرند:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

آپاچی را نصب کنید

آپاچی پشتیبانی از TLS 1.3 را در نسخه 2.4.36 اضافه کرد. سیستم FreeBSD 12 همراه با Apache و OpenSSL است که TLS 1.3 را از جعبه پشتیبانی می کند ، بنابراین نیازی به ساخت نسخه سفارشی نیست.

جدیدترین شعبه 2.4 آپاچی را از طریق pkgمدیر بسته بارگیری و نصب کنید .

sudo pkg install -y apache24

نسخه را بررسی کنید.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Apache را شروع و فعال کنید.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Apache را برای TLS 1.3 پیکربندی کنید

اکنون که Apache را با موفقیت نصب کردیم ، آماده هستیم تا آن را پیکربندی کنیم تا شروع به استفاده از TLS 1.3 روی سرور خود کند.

توجه: در FreeBSD ، mod_sslماژول به طور پیش فرض در بسته و درگاه فعال می شود

sudo vim /usr/local/etc/apache24/httpd.confماژول SSL را با اظهار بی اعتنایی اجرا کنید و در آن قرار دهید LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

sudo vim /usr/local/etc/apache24/Includes/example.com.confبا پیکربندی اصلی زیر پرونده را اجرا کرده و آن را جمع کنید.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

پرونده و خروج با صرفه جویی در :+ W+ Q.

پیکربندی را بررسی کنید.

sudo service apache24 configtest

بارگیری مجدد Apache.

sudo service apache24 reload

سایت خود را از طریق پروتکل HTTPS در مرورگر وب خود باز کنید. برای تأیید TLS 1.3 ، می توانید از ابزار dev مرورگر یا سرویس آزمایشگاه SSL استفاده کنید. تصاویر زیر برگه امنیتی Chrome را با استفاده از TLS 1.3 نشان می دهد.

شما با موفقیت TLS 1.3 را در Apache در سرور FreeBSD فعال کرده اید. نسخه نهایی TLS 1.3 در آگوست 2018 تعریف شده است ، بنابراین زمان بهتری برای شروع تصویب این فناوری جدید وجود ندارد.