Fedora 29의 Nginx에서 TLS 1.3을 활성화하는 방법

• 소개
• 요구 사항
• 시작하기 전에
• Acme.sh 클라이언트를 설치하고 Let 's Encrypt에서 TLS 인증서를 얻습니다.
• Nginx 설치
• Nginx 구성

소개

TLS 1.3은 2018 년 RFC 8446 에서 제안 된 표준으로 게시 된 TLS (Transport Layer Security) 프로토콜의 버전입니다 . 이전 제품보다 보안 및 성능 향상 기능을 제공합니다.

이 안내서는 Fedora 29에서 Nginx 웹 서버를 사용하여 TLS 1.3을 활성화하는 방법을 보여줍니다.

요구 사항

• Nginx 버전 1.13.0이상
• OpenSSL 버전 1.1.1이상
• Fedora 29를 실행하는 Vultr Cloud Compute (VC2) 인스턴스
• 유효한 도메인 이름과 제대로 구성 A/ AAAA/ CNAME도메인에 대한 DNS 레코드.
• 유효한 TLS 인증서 Let 's Encrypt에서 가져옵니다.

시작하기 전에

Fedora 버전을 확인하십시오.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

액세스 권한이 있는 새 non-root사용자 계정을 sudo만들고 전환하십시오.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

참고 : 대체 johndoe사용자 이름과 함께.

시간대를 설정하십시오.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

시스템이 최신인지 확인하십시오.

sudo dnf check-upgrade || sudo dnf upgrade -y

필요한 패키지를 설치하십시오.

sudo dnf install -y socat git

SELinux 및 방화벽을 비활성화하십시오.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Acme.sh 클라이언트를 설치하고 Let 's Encrypt에서 TLS 인증서를 얻습니다.

이 가이드에서는 Acme.sh 클라이언트를 사용하여 Let 's Encrypt에서 SSL 인증서를 얻습니다. 가장 익숙한 클라이언트를 사용할 수 있습니다.

Acme.sh를 다운로드하여 설치 하십시오 .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

버전을 확인하십시오.

/etc/letsencrypt/acme.sh --version
# v2.8.1

도메인의 RSA 및 ECDSA 인증서를 얻습니다.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

참고 : 교체 example.com도메인 이름으로 명령에.

이전 명령을 실행하면 다음 위치에서 인증서 및 키에 액세스 할 수 있습니다.

• RSA : /etc/letsencrypt/example.com.
• ECC / ECDSA : /etc/letsencrypt/example.com_ecc.

Nginx 설치

Nginx는 버전 1.13.0에서 TLS 1.3에 대한 지원을 추가했습니다. Fedora 29는 기본적으로 TLS 1.3을 지원하는 Nginx 및 OpenSSL과 함께 제공되므로 사용자 정의 버전을 구축 할 필요가 없습니다.

Nginx를 설치하십시오.

sudo dnf install -y nginx

버전을 확인하십시오.

nginx -v
# nginx version: nginx/1.14.2

Nginx가 컴파일 된 OpenSSL 버전을 확인하십시오.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Nginx를 시작하고 활성화하십시오.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Nginx 구성

Nginx를 성공적으로 설치 했으므로 서버에서 TLS 1.3 사용을 시작하도록 적절한 구성으로 구성 할 준비가되었습니다.

sudo vim /etc/nginx/conf.d/example.com.conf명령을 실행하고 다음 구성으로 파일을 채우십시오.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

파일을 저장하고 :+ W+로 종료하십시오 Q.

지시문 의 새 TLSv1.3매개 변수를 확인하십시오 ssl_protocols. 이 매개 변수는 Nginx에서 TLS 1.3을 활성화하는 데만 필요합니다.

구성을 확인하십시오.

sudo nginx -t

Nginx를 다시로드하십시오.

sudo systemctl reload nginx.service

TLS 1.3을 확인하기 위해 브라우저 개발 도구 또는 SSL Labs 서비스를 사용할 수 있습니다. 아래 스크린 샷은 Chrome의 보안 탭을 보여줍니다.

그게 다야. Fedora 29 서버의 Nginx에서 TLS 1.3을 활성화했습니다. TLS 1.3의 최종 버전은 2018 년 8 월에 정의되었으므로이 새로운 기술을 채택하기에 더 좋은시기는 없습니다.