Fedora 29 पर Nginx में TLS 1.3 को कैसे सक्षम करें

• परिचय
• आवश्यकताएँ
• शुरू करने से पहले
• Acme.sh क्लाइंट स्थापित करें और चलो एन्क्रिप्ट से टीएलएस प्रमाणपत्र प्राप्त करें
• Nginx स्थापित करें
• Nginx कॉन्फ़िगर करें

परिचय

टीएलएस 1.3 ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) प्रोटोकॉल का एक संस्करण है जो 2018 में आरएफसी 4446 में प्रस्तावित मानक के रूप में प्रकाशित हुआ था । यह अपने पूर्ववर्तियों पर सुरक्षा और प्रदर्शन सुधार प्रदान करता है।

यह मार्गदर्शिका यह प्रदर्शित करेगी कि फेडोरा 29 पर नगनेक्स वेब सर्वर का उपयोग करके टीएलएस 1.3 को कैसे सक्षम किया जाए।

आवश्यकताएँ

• Nginx संस्करण 1.13.0या अधिक से अधिक।
• ओपनएसएसएल संस्करण 1.1.1या अधिक से अधिक।
• Vultr Cloud Compute (VC2) का फेडोरा 29 चल रहा है।
• एक मान्य डोमेन नाम और आपके डोमेन के लिए ठीक से कॉन्फ़िगर A/ AAAA/ CNAMEDNS रिकॉर्ड।
• एक वैध टीएलएस प्रमाण पत्र। लेट्स एनक्रिप्ट से हमें एक मिलेगा।

शुरू करने से पहले

फेडोरा संस्करण की जाँच करें।

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

एक्सेस और स्विच के non-rootसाथ एक नया उपयोगकर्ता खाता बनाएं sudo।

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

नोट: अपने उपयोगकर्ता नाम के साथ बदलें johndoe।

टाइमजोन सेट करें।

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

सुनिश्चित करें कि आपका सिस्टम पुराना है।

sudo dnf check-upgrade || sudo dnf upgrade -y

आवश्यक पैकेज स्थापित करें।

sudo dnf install -y socat git

SELinux और Firewall अक्षम करें।

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Acme.sh क्लाइंट इंस्टॉल करें और लेट्स एनक्रिप्ट से टीएलएस प्रमाणपत्र प्राप्त करें

इस गाइड में, हम Acme.sh क्लाइंट का उपयोग लेट्स एनक्रिप्ट से एसएसएल प्रमाणपत्र प्राप्त करने के लिए करेंगे। आप एक क्लाइंट का उपयोग कर सकते हैं जिससे आप सबसे अधिक परिचित हैं।

डाउनलोड करें और Acme.sh स्थापित करें ।

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

संस्करण की जाँच करें।

/etc/letsencrypt/acme.sh --version
# v2.8.1

अपने डोमेन के लिए RSA और ECDSA प्रमाणपत्र प्राप्त करें।

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

नोट: अपने डोमेन नाम के साथ कमांड में बदलें example.com।

पिछले आदेशों को चलाने के बाद, आपके प्रमाणपत्र और कुंजियाँ यहाँ उपलब्ध होंगी:

• आरएसए: /etc/letsencrypt/example.com।
• ECC / ECDSA /etc/letsencrypt/example.com_ecc:।

Nginx स्थापित करें

Nginx ने संस्करण 1.13.0 में TLS 1.3 के लिए समर्थन जोड़ा। फेडोरा 29 नगनेक्स और ओपनएसएसएल के साथ आता है जो टीएलएस 1.3 को बॉक्स से बाहर का समर्थन करता है, इसलिए कस्टम संस्करण बनाने की कोई आवश्यकता नहीं है।

Nginx स्थापित करें।

sudo dnf install -y nginx

संस्करण की जाँच करें।

nginx -v
# nginx version: nginx/1.14.2

ओपनएसएसएल संस्करण की जांच करें जिसके खिलाफ नग्नेक्स संकलित किया गया था।

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Nginx को प्रारंभ और सक्षम करें।

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Nginx कॉन्फ़िगर करें

अब जब हमने Nginx को सफलतापूर्वक स्थापित कर लिया है, हम अपने सर्वर पर TLS 1.3 का उपयोग शुरू करने के लिए इसे उचित कॉन्फ़िगरेशन के साथ कॉन्फ़िगर करने के लिए तैयार हैं।

भागो sudo vim /etc/nginx/conf.d/example.com.confआदेश, और निम्न कॉन्फ़िगरेशन के साथ फ़ाइल को पॉप्युलेट।

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

फ़ाइल और साथ बाहर निकलने को बचाने :+ W+ Q।

निर्देश के नए TLSv1.3पैरामीटर पर ध्यान दें ssl_protocols। यह पैरामीटर केवल Nginx पर TLS 1.3 को सक्षम करने के लिए आवश्यक है।

कॉन्फ़िगरेशन की जाँच करें।

sudo nginx -t

रीलोडेड नेग्नेक्स।

sudo systemctl reload nginx.service

TLS 1.3 को सत्यापित करने के लिए, आप ब्राउज़र देव टूल या एसएसएल लैब्स सेवा का उपयोग कर सकते हैं। नीचे दिए गए स्क्रीनशॉट क्रोम के सुरक्षा टैब को दर्शाते हैं।

बस इतना ही। आपने अपने फेडोरा 29 सर्वर पर Nginx में TLS 1.3 को सफलतापूर्वक सक्षम किया है। अगस्त 2018 में टीएलएस 1.3 के अंतिम संस्करण को परिभाषित किया गया था, इसलिए इस नई तकनीक को अपनाने के लिए बेहतर समय नहीं है।