Fedora 30 पर Apache में TLS 1.3 को कैसे सक्षम करें

• आवश्यकताएँ
• शुरू करने से पहले
• Acme.sh क्लाइंट स्थापित करें और लेट्स एनक्रिप्ट से टीएलएस प्रमाणपत्र प्राप्त करें
• अपाचे स्थापित करें
• TLS 1.3 के लिए अपाचे को कॉन्फ़िगर करें

TLS 1.3 ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) प्रोटोकॉल का एक संस्करण है जो 2018 में RFC 8446 में एक प्रस्तावित मानक के रूप में प्रकाशित हुआ था। यह अपने पूर्ववर्तियों पर सुरक्षा और प्रदर्शन में सुधार प्रदान करता है।

यह मार्गदर्शिका यह प्रदर्शित करेगी कि फेडोरा 30 पर अपाचे वेब सर्वर का उपयोग करके टीएलएस 1.3 को कैसे सक्षम किया जाए।

आवश्यकताएँ

• Vultr Cloud Compute (VC2) का उदाहरण फेडोरा 30 है।
• एक मान्य डोमेन नाम और आपके डोमेन के लिए ठीक से कॉन्फ़िगर A/ AAAA/ CNAMEDNS रिकॉर्ड।
• एक वैध टीएलएस प्रमाण पत्र। लेट्स एनक्रिप्ट से हमें एक मिलेगा।
• अपाचे संस्करण 2.4.36या अधिक से अधिक।
• ओपनएसएसएल संस्करण 1.1.1या अधिक से अधिक।

शुरू करने से पहले

फेडोरा संस्करण की जाँच करें।

cat /etc/fedora-release
# Fedora release 30 (Thirty)

एक्सेस और स्विच के non-rootसाथ एक नया उपयोगकर्ता खाता बनाएं sudo।

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

नोट: अपने उपयोगकर्ता नाम के साथ बदलें johndoe।

टाइमजोन सेट करें।

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

सुनिश्चित करें कि आपका सिस्टम पुराना है।

sudo dnf check-upgrade || sudo dnf upgrade -y

आवश्यक पैकेज स्थापित करें।

sudo dnf install -y socat git

SELinux और Firewall अक्षम करें।

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

acme.shग्राहक को स्थापित करें और लेट्स एनक्रिप्ट से टीएलएस प्रमाणपत्र प्राप्त करें

Acme.sh स्थापित करें।

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

संस्करण की जाँच करें।

/etc/letsencrypt/acme.sh --version
# v2.8.2

अपने डोमेन के लिए RSA और ECDSA प्रमाणपत्र प्राप्त करें।

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

नोट: अपने डोमेन नाम के साथ कमांड में बदलें example.com।

में अपने समारोहों और कुंजियों को संग्रहीत करने के लिए समझदार निर्देशिका बनाएं। हम उपयोग करेंगे /etc/letsencrypt।

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

को प्रमाण पत्र स्थापित और कॉपी करें /etc/letsencrypt।

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

उपरोक्त आदेशों को चलाने के बाद, आपके प्रमाणपत्र और कुंजियाँ निम्नलिखित स्थानों पर होंगी:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

अपाचे स्थापित करें

Apache ने 2.4.36 संस्करण में TLS 1.3 के लिए समर्थन जोड़ा। फेडोरा 30 सिस्टम अपाचे और ओपनएसएसएल के साथ आता है जो टीएलएस 1.3 को बॉक्स से बाहर का समर्थन करता है, इसलिए कस्टम संस्करण बनाने की कोई आवश्यकता नहीं है।

dnfपैकेज प्रबंधक के माध्यम से एसएसएल के लिए अपाचे और इसके मॉड्यूल की नवीनतम 2.4 शाखा को डाउनलोड और इंस्टॉल करें ।

sudo dnf install -y httpd mod_ssl

संस्करण की जाँच करें।

sudo httpd -v
# Server version: Apache/2.4.39 (Fedora)
# Server built:   May  2 2019 14:50:28

Apache शुरू और सक्षम करें।

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

TLS 1.3 के लिए अपाचे को कॉन्फ़िगर करें

अब जब हमने अपाचे को सफलतापूर्वक स्थापित कर लिया है, हम अपने सर्वर पर टीएलएस 1.3 का उपयोग शुरू करने के लिए इसे कॉन्फ़िगर करने के लिए तैयार हैं।

sudo vim /etc/httpd/conf.d/example.com.confनिम्न मूल कॉन्फ़िगरेशन के साथ फ़ाइल को चलाएँ , और पॉप्युलेट करें।

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

फ़ाइल सहेजें और बाहर निकलें।

कॉन्फ़िगरेशन की जाँच करें।

sudo apachectl configtest

नया कॉन्फ़िगरेशन सक्रिय करने के लिए अपाचे को पुनः लोड करें।

sudo systemctl reload httpd.service

अपने वेब ब्राउज़र में HTTPS प्रोटोकॉल के माध्यम से अपनी साइट खोलें। TLS 1.3 को सत्यापित करने के लिए, आप ब्राउज़र देव टूल या एसएसएल लैब्स सेवा का उपयोग कर सकते हैं। नीचे दिए गए स्क्रीनशॉट में कार्रवाई में टीएलएस 1.3 के साथ क्रोम के सुरक्षा टैब को दिखाया गया है।

आपने अपने फेडोरा 30 सर्वर पर Apache में TLS 1.3 को सफलतापूर्वक सक्षम किया है। अगस्त 2018 में टीएलएस 1.3 के अंतिम संस्करण को परिभाषित किया गया था, इसलिए इस नई तकनीक को अपनाने के लिए बेहतर समय नहीं है।