Cara Mengaktifkan TLS 1.3 di Nginx di FreeBSD 12

• Persyaratan
• Sebelum kamu memulai
• Instal klien acme.sh dan dapatkan sertifikat TLS dari Let's Encrypt
• Instal Nginx
• Konfigurasikan Nginx

TLS 1.3 adalah versi protokol Transport Layer Security (TLS) yang diterbitkan pada 2018 sebagai standar yang diusulkan dalam RFC 8446 . Ini menawarkan peningkatan keamanan dan kinerja dibandingkan pendahulunya.

Panduan ini akan menunjukkan cara mengaktifkan TLS 1.3 menggunakan server web Nginx di FreeBSD 12.

Persyaratan

• Contoh Vultr Cloud Compute (VC2) menjalankan FreeBSD 12.
• Nama domain yang valid dan catatan A/ AAAA/ CNAMEDNS yang dikonfigurasi dengan benar untuk domain Anda.
• Sertifikat TLS yang valid. Kami akan mendapatkannya dari Let's Encrypt.
• Versi nginx 1.13.0atau lebih tinggi.
• Versi OpenSSL 1.1.1atau lebih tinggi.

Sebelum kamu memulai

Periksa versi FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Pastikan sistem FreeBSD Anda mutakhir.

freebsd-update fetch install
pkg update && pkg upgrade -y

Instal paket yang diperlukan jika tidak ada di sistem Anda.

pkg install -y sudo vim unzip wget bash socat git

Buat akun pengguna baru dengan nama pengguna pilihan Anda (kami akan gunakan johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Jalankan visudoperintah dan batalkan komentar pada %wheel ALL=(ALL) ALLbaris, untuk memungkinkan anggota wheelgrup untuk mengeksekusi perintah apa pun.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Sekarang, beralihlah ke pengguna yang baru dibuat dengan su.

su - johndoe

CATATAN: Ganti johndoedengan nama pengguna Anda.

Siapkan zona waktu.

sudo tzsetup

Instal klien acme.sh dan dapatkan sertifikat TLS dari Let's Encrypt

Instal acme.sh.

sudo pkg install -y acme.sh

Periksa versinya.

acme.sh --version
# v2.7.9

Dapatkan sertifikat RSA dan ECDSA untuk domain Anda.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

CATATAN: Ganti example.comperintah dengan nama domain Anda.

Buat direktori untuk menyimpan sertifikat dan kunci Anda. Kami akan gunakan /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instal dan salin sertifikat ke /etc/letsencryptdirektori.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Setelah menjalankan perintah di atas, sertifikat dan kunci Anda akan berada di lokasi berikut:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Instal Nginx

Nginx menambahkan dukungan untuk TLS 1.3 dalam versi 1.13.0. Sistem FreeBSD 12 hadir dengan Nginx dan OpenSSL yang mendukung TLS 1.3, sehingga tidak perlu membuat versi khusus.

Unduh dan instal versi utama Nginx terbaru melalui pkgmanajer paket.

sudo pkg install -y nginx-devel

Periksa versinya.

nginx -v
# nginx version: nginx/1.15.8

Periksa versi OpenSSL tempat Nginx dikompilasi.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Mulai dan aktifkan Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Konfigurasikan Nginx

Sekarang kami telah berhasil menginstal Nginx, kami siap untuk mengkonfigurasinya dengan konfigurasi yang tepat untuk mulai menggunakan TLS 1.3 di server kami.

Jalankan sudo vim /usr/local/etc/nginx/example.com.confperintah, dan isi file dengan konfigurasi berikut.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Simpan file dan keluar dengan :+ W+ Q.

Sekarang kita perlu memasukkan example.com.confdalam nginx.conffile utama .

Jalankan sudo vim /usr/local/etc/nginx/nginx.confdan tambahkan baris berikut ke http {}blok.

include example.com.conf;

Perhatikan TLSv1.3parameter baru dari ssl_protocolsdirektif tersebut. Parameter ini hanya diperlukan untuk mengaktifkan TLS 1.3 di server Nginx.

Periksa konfigurasi.

sudo nginx -t

Muat ulang Nginx.

sudo service nginx reload

Untuk memverifikasi TLS 1.3, Anda dapat menggunakan alat pengembang browser atau layanan SSL Labs. Tangkapan layar di bawah ini menunjukkan tab keamanan Chrome.

Anda telah berhasil mengaktifkan TLS 1.3 di Nginx di server FreeBSD Anda. Versi final TLS 1.3 ditetapkan pada Agustus 2018, jadi tidak ada waktu yang lebih baik untuk mulai mengadopsi teknologi baru ini.