چگونه TLS 1.3 را در Nginx در Fedora 29 فعال کنیم

• معرفی
• الزامات
• قبل از اینکه شروع کنی
• مشتری Acme.sh را نصب کرده و گواهی TLS را از Let Encrypt دریافت کنید
• Nginx را نصب کنید
• Nginx را پیکربندی کنید

معرفی

TLS 1.3 نسخه ای از پروتکل Transport Layer Security (TLS) است که در سال 2018 به عنوان استاندارد پیشنهادی در RFC 8446 منتشر شد . این سیستم امنیت و عملکرد را نسبت به پیشینیان خود بهبود می بخشد.

این راهنما نحوه فعال سازی TLS 1.3 را با استفاده از سرور وب Nginx در Fedora 29 نشان می دهد.

الزامات

• نسخه Nginx 1.13.0یا بیشتر.
• نسخه OpenSSL 1.1.1یا بیشتر.
• Vultr Cloud Compute (VC2) نمونه Fedora 29 را اجرا می کند.
• نام دامنه معتبر و سوابق A/ AAAA/ CNAMEDNS به درستی پیکربندی شده برای دامنه شما.
• یک گواهی معتبر TLS. ما یکی از Letry Encrypt را دریافت خواهیم کرد.

قبل از اینکه شروع کنی

نسخه فدورا را بررسی کنید.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

non-rootبا sudoدسترسی یک حساب کاربری جدید ایجاد کنید و به آن تغییر دهید.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

توجه: با نام کاربری خود جایگزین johndoeکنید.

منطقه زمانی را تنظیم کنید.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

اطمینان حاصل کنید که سیستم شما به روز است.

sudo dnf check-upgrade || sudo dnf upgrade -y

بسته های مورد نیاز را نصب کنید.

sudo dnf install -y socat git

SELinux و Firewall را غیرفعال کنید.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

مشتری Acme.sh را نصب کرده و گواهی TLS را از Let Encrypt دریافت کنید

در این راهنما از مشتری Acme.sh برای به دست آوردن گواهینامه های SSL از Let Encrypt استفاده خواهیم کرد. می توانید از مشتری ای که با آن بیشتر آشنا هستید استفاده کنید.

Acme.sh را بارگیری و نصب کنید .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~

نسخه را بررسی کنید.

/etc/letsencrypt/acme.sh --version
# v2.8.1

گواهینامه های RSA و ECDSA را برای دامنه خود بدست آورید.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

توجه: دستورات را با نام دامنه خود جايگزين example.comکنيد.

بعد از اجرای دستورات قبلی ، گواهینامه ها و کلیدهای شما در دسترس خواهند بود:

• RSA /etc/letsencrypt/example.com:.
• ECC / ECDSA /etc/letsencrypt/example.com_ecc:.

Nginx را نصب کنید

Nginx پشتیبانی از TLS 1.3 را در نسخه 1.13.0 اضافه کرد. Fedora 29 با Nginx و OpenSSL همراه است که TLS 1.3 را از جعبه پشتیبانی می کند ، بنابراین نیازی به ساخت نسخه سفارشی نیست.

Nginx را نصب کنید.

sudo dnf install -y nginx

نسخه را بررسی کنید.

nginx -v
# nginx version: nginx/1.14.2

نسخه OpenSSL را که Nginx کامپایل شده است بررسی کنید.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Nginx را شروع و فعال کنید.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Nginx را پیکربندی کنید

اکنون که Nginx را با موفقیت نصب کردیم ، آماده هستیم تا آن را با پیکربندی مناسب پیکربندی کنیم تا شروع به استفاده از TLS 1.3 در سرور خود کنیم.

sudo vim /etc/nginx/conf.d/example.com.confدستور را اجرا کنید و پرونده را با پیکربندی زیر جمع کنید.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

پرونده و خروج با صرفه جویی در :+ W+ Q.

به TLSv1.3پارامتر جدید این ssl_protocolsبخشنامه توجه کنید. این پارامتر فقط برای فعال کردن TLS 1.3 در Nginx ضروری است.

پیکربندی را بررسی کنید.

sudo nginx -t

بارگیری مجدد Nginx

sudo systemctl reload nginx.service

برای تأیید TLS 1.3 ، می توانید از ابزار dev مرورگر یا سرویس آزمایشگاه SSL استفاده کنید. تصاویر زیر برگه امنیتی Chrome را نشان می دهد.

این همه شما با موفقیت TLS 1.3 را در Nginx در سرور Fedora 29 خود فعال کرده اید. نسخه نهایی TLS 1.3 در آگوست 2018 تعریف شده است ، بنابراین زمان بهتری برای شروع تصویب این فناوری جدید وجود ندارد.