Home » » Cara Mengaktifkan TLS 1.3 di Nginx pada Fedora 29

Cara Mengaktifkan TLS 1.3 di Nginx pada Fedora 29

pengantar

TLS 1.3 adalah versi protokol Transport Layer Security (TLS) yang diterbitkan pada 2018 sebagai standar yang diusulkan dalam RFC 8446 . Ini menawarkan peningkatan keamanan dan kinerja dibandingkan pendahulunya.

Panduan ini akan menunjukkan cara mengaktifkan TLS 1.3 menggunakan server web Nginx di Fedora 29.

Persyaratan

  • Versi nginx 1.13.0atau lebih tinggi.
  • Versi OpenSSL 1.1.1atau lebih tinggi.
  • Contoh Vultr Cloud Compute (VC2) yang menjalankan Fedora 29.
  • Nama domain yang valid dan catatan A/ AAAA/ CNAMEDNS yang dikonfigurasi dengan benar untuk domain Anda.
  • Sertifikat TLS yang valid. Kami akan mendapatkannya dari Let's Encrypt.

Sebelum kamu memulai

Periksa versi Fedora.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Buat non-rootakun pengguna baru dengan sudoakses dan alihkan ke sana.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

CATATAN: Ganti johndoedengan nama pengguna Anda.

Siapkan zona waktu.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Pastikan sistem Anda mutakhir.

sudo dnf check-upgrade || sudo dnf upgrade -y

Instal paket yang dibutuhkan.

sudo dnf install -y socat git

Nonaktifkan SELinux dan Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Instal klien Acme.sh dan dapatkan sertifikat TLS dari Let's Encrypt

Dalam panduan ini, kami akan menggunakan klien Acme.sh untuk mendapatkan sertifikat SSL dari Let's Encrypt. Anda dapat menggunakan klien yang paling Anda kenal.

Download dan install Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

Periksa versinya.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Dapatkan sertifikat RSA dan ECDSA untuk domain Anda.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

CATATAN: Ganti example.comperintah dengan nama domain Anda.

Setelah menjalankan perintah sebelumnya, sertifikat dan kunci Anda akan dapat diakses di:

  • RSA: /etc/letsencrypt/example.com.
  • ECC / ECDSA: /etc/letsencrypt/example.com_ecc.

Instal Nginx

Nginx menambahkan dukungan untuk TLS 1.3 dalam versi 1.13.0. Fedora 29 hadir dengan Nginx dan OpenSSL yang mendukung TLS 1.3, jadi tidak perlu membuat versi khusus.

Instal Nginx.

sudo dnf install -y nginx

Periksa versinya.

nginx -v
# nginx version: nginx/1.14.2

Periksa versi OpenSSL tempat Nginx dikompilasi.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Mulai dan aktifkan Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Konfigurasikan Nginx

Sekarang kami telah berhasil menginstal Nginx, kami siap untuk mengkonfigurasinya dengan konfigurasi yang tepat untuk mulai menggunakan TLS 1.3 di server kami.

Jalankan sudo vim /etc/nginx/conf.d/example.com.confperintah, dan isi file dengan konfigurasi berikut.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Simpan file dan keluar dengan :+ W+ Q.

Perhatikan TLSv1.3parameter baru dari ssl_protocolsdirektif tersebut. Parameter ini hanya diperlukan untuk mengaktifkan TLS 1.3 di Nginx.

Periksa konfigurasi.

sudo nginx -t

Muat ulang Nginx.

sudo systemctl reload nginx.service

Untuk memverifikasi TLS 1.3, Anda dapat menggunakan alat pengembang browser atau layanan SSL Labs. Tangkapan layar di bawah ini menunjukkan tab keamanan Chrome.

Cara Mengaktifkan TLS 1.3 di Nginx pada Fedora 29

Cara Mengaktifkan TLS 1.3 di Nginx pada Fedora 29

Itu saja. Anda telah berhasil mengaktifkan TLS 1.3 di Nginx di server Fedora 29 Anda. Versi final TLS 1.3 ditetapkan pada Agustus 2018, jadi tidak ada waktu yang lebih baik untuk mulai mengadopsi teknologi baru ini.


Tags: #Linux Guides #Security #Web Servers

Leave a Comment

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

6 Hal yang Sangat Menggila dari Nintendo Switch

6 Hal yang Sangat Menggila dari Nintendo Switch

Banyak dari Anda tahu Switch keluar pada Maret 2017 dan fitur-fitur barunya. Bagi yang belum tahu, kami sudah menyiapkan daftar fitur yang membuat 'Switch' menjadi 'gadget yang wajib dimiliki'.

Janji Teknologi Yang Masih Belum Ditepati

Janji Teknologi Yang Masih Belum Ditepati

Apakah Anda menunggu raksasa teknologi untuk memenuhi janji mereka? periksa apa yang belum terkirim.

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Baca blog untuk mengetahui berbagai lapisan dalam Arsitektur Big Data dan fungsinya dengan cara yang paling sederhana.

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Baca ini untuk mengetahui bagaimana Kecerdasan Buatan menjadi populer di antara perusahaan skala kecil dan bagaimana hal itu meningkatkan kemungkinan untuk membuat mereka tumbuh dan memberi keunggulan pada pesaing mereka.

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA telah berkembang cukup sulit bagi pengguna untuk dipecahkan dalam beberapa tahun terakhir. Apakah itu akan tetap efektif dalam deteksi spam dan bot di masa mendatang?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Saat Sains Berkembang dengan kecepatan tinggi, mengambil alih banyak upaya kita, risiko menundukkan diri kita pada Singularitas yang tidak dapat dijelaskan juga meningkat. Baca, apa arti singularitas bagi kita.

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Apa itu telemedicine, perawatan kesehatan jarak jauh dan dampaknya terhadap generasi mendatang? Apakah itu tempat yang bagus atau tidak dalam situasi pandemi? Baca blog untuk menemukan tampilan!

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Anda mungkin pernah mendengar bahwa peretas menghasilkan banyak uang, tetapi pernahkah Anda bertanya-tanya bagaimana cara mereka mendapatkan uang sebanyak itu? mari berdiskusi.

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Baru-baru ini Apple merilis macOS Catalina 10.15.4 pembaruan suplemen untuk memperbaiki masalah tetapi tampaknya pembaruan menyebabkan lebih banyak masalah yang mengarah ke bricking mesin mac. Baca artikel ini untuk mempelajari lebih lanjut