FreeBSD 12 पर Apache में TLS 1.3 को कैसे सक्षम करें

• आवश्यकताएँ
• शुरू करने से पहले
• Acme.sh क्लाइंट स्थापित करें और लेट्स एनक्रिप्ट से टीएलएस प्रमाणपत्र प्राप्त करें
• अपाचे स्थापित करें
• TLS 1.3 के लिए अपाचे को कॉन्फ़िगर करें

टीएलएस 1.3 ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) प्रोटोकॉल का एक संस्करण है जो 2018 में आरएफसी 4446 में प्रस्तावित मानक के रूप में प्रकाशित हुआ था । यह अपने पूर्ववर्तियों पर सुरक्षा और प्रदर्शन सुधार प्रदान करता है।

यह गाइड प्रदर्शित करेगा कि FreeBSD 12 पर Apache वेब सर्वर का उपयोग करते हुए TLS 1.3 को कैसे सक्षम किया जाए।

आवश्यकताएँ

• Vultr Cloud Compute (VC2) उदाहरण FreeBSD 12 चला रहा है।
• एक मान्य डोमेन नाम और आपके डोमेन के लिए ठीक से कॉन्फ़िगर A/ AAAA/ CNAMEDNS रिकॉर्ड।
• एक वैध टीएलएस प्रमाण पत्र। लेट्स एनक्रिप्ट से हमें एक मिलेगा।
• अपाचे संस्करण 2.4.36या अधिक से अधिक।
• ओपनएसएसएल संस्करण 1.1.1या अधिक से अधिक।

शुरू करने से पहले

FreeBSD संस्करण की जाँच करें।

uname -ro
# FreeBSD 12.0-RELEASE

सुनिश्चित करें कि आपका FreeBSD सिस्टम अप टू डेट है।

freebsd-update fetch install
pkg update && pkg upgrade -y

यदि वे आपके सिस्टम पर मौजूद नहीं हैं तो आवश्यक पैकेज स्थापित करें।

pkg install -y sudo vim unzip wget bash socat git

अपने पसंदीदा उपयोगकर्ता नाम (हम उपयोग करेंगे johndoe) के साथ एक नया उपयोगकर्ता खाता बनाएँ ।

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

भागो visudoकमान और uncomment %wheel ALL=(ALL) ALLके सदस्यों की अनुमति के लिए लाइन wheelसमूह किसी भी आदेश पर अमल करने के लिए।

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

अब, अपने नए बनाए गए उपयोगकर्ता के साथ स्विच करें su।

su - johndoe

नोट: अपने उपयोगकर्ता नाम के साथ बदलें johndoe।

टाइमजोन सेट करें।

sudo tzsetup

acme.shग्राहक को स्थापित करें और लेट्स एनक्रिप्ट से टीएलएस प्रमाणपत्र प्राप्त करें

स्थापित करें acme.sh।

sudo pkg install -y acme.sh

संस्करण की जाँच करें।

acme.sh --version
# v2.7.9

अपने डोमेन के लिए RSA और ECDSA प्रमाणपत्र प्राप्त करें।

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

नोट: अपने डोमेन नाम के साथ कमांड में बदलें example.com।

में अपने समारोहों और कुंजियों को संग्रहीत करने के लिए समझदार निर्देशिका बनाएं। हम उपयोग करेंगे /etc/letsencrypt।

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

को प्रमाण पत्र स्थापित और कॉपी करें /etc/letsencrypt।

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

उपरोक्त आदेशों को चलाने के बाद, आपके प्रमाणपत्र और कुंजियाँ निम्नलिखित स्थानों पर होंगी:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

अपाचे स्थापित करें

Apache ने 2.4.36 संस्करण में TLS 1.3 के लिए समर्थन जोड़ा। FreeBSD 12 सिस्टम Apache और OpenSSL के साथ आता है जो TLS 1.3 बॉक्स से बाहर का समर्थन करता है, इसलिए कस्टम संस्करण बनाने की कोई आवश्यकता नहीं है।

pkgपैकेज प्रबंधक के माध्यम से अपाचे की नवीनतम 2.4 शाखा को डाउनलोड और इंस्टॉल करें ।

sudo pkg install -y apache24

संस्करण की जाँच करें।

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Apache शुरू और सक्षम करें।

sudo sysrc apache24_enable="yes"
sudo service apache24 start

TLS 1.3 के लिए अपाचे को कॉन्फ़िगर करें

अब जब हमने अपाचे को सफलतापूर्वक स्थापित कर लिया है, हम अपने सर्वर पर टीएलएस 1.3 का उपयोग शुरू करने के लिए इसे कॉन्फ़िगर करने के लिए तैयार हैं।

नोट: FreeBSD में, mod_sslमॉड्यूल पैकेज और पोर्ट दोनों में डिफ़ॉल्ट रूप से सक्षम है

दौड़ें sudo vim /usr/local/etc/apache24/httpd.confऔर SSL मॉड्यूल को अनइंस्टॉल करके शामिल करें LoadModule ssl_module libexec/apache24/mod_ssl.so।

#LoadModule ssl_module libexec/apache24/mod_ssl.so

sudo vim /usr/local/etc/apache24/Includes/example.com.confनिम्न मूल कॉन्फ़िगरेशन के साथ फ़ाइल को चलाएँ , और पॉप्युलेट करें।

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

फ़ाइल और साथ बाहर निकलने को बचाने :+ W+ Q।

कॉन्फ़िगरेशन की जाँच करें।

sudo service apache24 configtest

रिलोड अपाचे।

sudo service apache24 reload

अपने वेब ब्राउज़र में HTTPS प्रोटोकॉल के माध्यम से अपनी साइट खोलें। TLS 1.3 को सत्यापित करने के लिए, आप ब्राउज़र देव टूल या एसएसएल लैब्स सेवा का उपयोग कर सकते हैं। नीचे दिए गए स्क्रीनशॉट में कार्रवाई में टीएलएस 1.3 के साथ क्रोम के सुरक्षा टैब को दिखाया गया है।

आपने अपने FreeBSD सर्वर पर Apache में TLS 1.3 को सफलतापूर्वक सक्षम किया है। अगस्त 2018 में टीएलएस 1.3 के अंतिम संस्करण को परिभाषित किया गया था, इसलिए इस नई तकनीक को अपनाने के लिए बेहतर समय नहीं है।