Cara Mengaktifkan TLS 1.3 di Nginx pada Ubuntu 18.04 LTS

• Keperluan
• Sebelum awak bermula
• Pasang klien Acme.sh dan dapatkan sijil TLS dari Let's Encrypt
• Bangun Nginx dari Sumber
• Konfigurasikan Nginx untuk TLS 1.3

TLS 1.3 adalah versi protokol Keselamatan Layer Pengangkutan (TLS) yang diterbitkan pada 2018 sebagai standard yang dicadangkan dalam RFC 8446 . Ia menawarkan peningkatan keselamatan dan prestasi berbanding pendahulunya.

Panduan ini akan menunjukkan cara untuk membolehkan TLS 1.3 menggunakan pelayan web Nginx di Ubuntu 18.04 LTS.

Keperluan

• Versi Nginx 1.13.0atau lebih besar.
• Versi OpenSSL 1.1.1atau lebih tinggi.
• Contoh Vultr Cloud Compute (VC2) yang menjalankan Ubuntu 18.04.
• Nama domain yang sah dan rekod A/ AAAA/ CNAMEDNS yang dikonfigurasi dengan betul untuk domain anda.
• Sijil TLS yang sah. Kami akan mendapat satu daripada Let's Encrypt.

Sebelum awak bermula

Semak versi Ubuntu.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Buat non-rootakaun pengguna baru dengan sudoakses dan beralih kepadanya.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

CATATAN: Ganti johndoedengan nama pengguna anda.

Sediakan zon waktu.

sudo dpkg-reconfigure tzdata

Pastikan sistem anda terkini.

sudo apt update && sudo apt upgrade -y

Pasang build-essential, socatdan gitpakej.

sudo apt install -y build-essential socat git

Pasang klien Acme.sh dan dapatkan sijil TLS dari Let's Encrypt

Muat turun dan pasang Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Semak versi.

acme.sh --version
# v2.8.0

Dapatkan sijil RSA dan ECDSA untuk domain anda.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

NOTA: Gantikan example.comarahan dengan nama domain anda.

Setelah menjalankan perintah sebelumnya, sijil dan kunci anda akan dapat diakses di:

• Untuk RSA: /etc/letsencrypt/example.comdirektori.
• Untuk ECC / ECDSA: /etc/letsencrypt/example.com_eccdirektori.

Bangun Nginx dari Sumber

Nginx menambah sokongan untuk TLS 1.3 dalam versi 1.13.0. Pada sebilangan besar pengedaran Linux, termasuk Ubuntu 18.04, Nginx dibina dengan versi OpenSSL yang lebih lama, yang tidak menyokong TLS 1.3. Oleh itu, kami memerlukan pembentukan Nginx kami sendiri yang dikaitkan dengan pembebasan OpenSSL 1.1.1, yang termasuk sokongan untuk TLS 1.3.

Muat turun versi utama kod sumber Nginx terkini dan keluarkannya.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Muat turun kod sumber OpenSSL 1.1.1 dan keluarkannya.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Padamkan semua .tar.gzfail, kerana ia tidak akan diperlukan lagi.

rm -rf *.tar.gz

Masukkan direktori sumber Nginx.

cd ~/nginx-1.15.5

Konfigurasikan, kompilasi dan pasang Nginx. Demi kesederhanaan, kami akan menyusun hanya modul penting yang diperlukan agar TLS 1.3 berfungsi. Jika anda memerlukan membina Nginx penuh, anda boleh membaca panduan Vultr ini mengenai kompilasi Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Buat kumpulan dan pengguna sistem Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Symlink /usr/lib/nginx/moduleske /etc/nginx/modulesdirektori. etc/nginx/modulesadalah tempat yang standard untuk modul Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Buat direktori cache Nginx dan tetapkan kebenaran yang betul.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Semak versi Nginx.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Buat fail unit sistem Nginx.

sudo vim /etc/systemd/system/nginx.service

Tandakan fail dengan konfigurasi berikut.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Mulakan dan aktifkan Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Buat conf.d, sites-availabledan sites-enableddirektori dalam /etc/nginxdirektori.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Jalankan sudo vim /etc/nginx/nginx.confdan tambah dua arahan berikut ke akhir fail, sebelum penutupan }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Simpan fail dan keluar dengan :+ W+ Q.

Konfigurasikan Nginx untuk TLS 1.3

Setelah berjaya membina Nginx, kami siap mengkonfigurasinya untuk mula menggunakan TLS 1.3 di pelayan kami.

Jalankan sudo vim /etc/nginx/conf.d/example.com.confdan isi fail dengan konfigurasi berikut.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Simpan fail dan keluar dengan :+ W+ Q.

Perhatikan TLSv1.3parameter ssl_protocolsarahan baru. Parameter ini diperlukan untuk mengaktifkan TLS 1.3.

Periksa konfigurasi.

sudo nginx -t

Muat semula Nginx.

sudo systemctl reload nginx.service

Untuk mengesahkan TLS 1.3, anda boleh menggunakan alat penyemak imbas atau perkhidmatan Lab SSL. Petikan di bawah menunjukkan tab keselamatan Chrome yang menunjukkan bahawa TLS 1.3 berfungsi.

Tahniah! Anda telah berjaya mendayakan TLS 1.3 pada pelayan web Ubuntu 18.04 anda.