Hoe TLS 1.3 in Nginx op Fedora 29 in te schakelen

Invoering

TLS 1.3 is een versie van het Transport Layer Security (TLS) -protocol dat in 2018 werd gepubliceerd als voorgestelde standaard in RFC 8446 . Het biedt beveiliging en prestatieverbeteringen ten opzichte van zijn voorgangers.

Deze gids laat zien hoe je TLS 1.3 kunt inschakelen met de Nginx webserver op Fedora 29.

Vereisten

  • Nginx-versie 1.13.0of hoger.
  • OpenSSL-versie 1.1.1of hoger.
  • Vultr Cloud Compute (VC2) -instantie met Fedora 29.
  • Een geldige domeinnaam en correct geconfigureerde A/ AAAA/ CNAMEDNS-records voor uw domein.
  • Een geldig TLS-certificaat. We zullen er een krijgen van Let's Encrypt.

Voordat je begint

Controleer de Fedora-versie.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Maak een nieuw non-rootgebruikersaccount aan met sudotoegang en schakel ernaar.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

OPMERKING: vervang johndoedoor uw gebruikersnaam.

Stel de tijdzone in.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Zorg ervoor dat uw systeem up-to-date is.

sudo dnf check-upgrade || sudo dnf upgrade -y

Installeer de benodigde pakketten.

sudo dnf install -y socat git

Schakel SELinux en Firewall uit.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Installeer de Acme.sh-client en verkrijg het TLS-certificaat van Let's Encrypt

In deze handleiding gebruiken we de Acme.sh-client om SSL-certificaten van Let's Encrypt te verkrijgen. U kunt een client gebruiken die u het meest kent.

Download en installeer Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

Controleer de versie.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Verkrijg RSA- en ECDSA-certificaten voor uw domein.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

OPMERKING: vervang example.comde opdrachten door uw domeinnaam.

Na het uitvoeren van de vorige opdrachten, zijn uw certificaten en sleutels toegankelijk op:

  • RSA: /etc/letsencrypt/example.com.
  • ECC / ECDSA: /etc/letsencrypt/example.com_ecc.

Installeer Nginx

Nginx heeft ondersteuning voor TLS 1.3 toegevoegd in versie 1.13.0. Fedora 29 wordt geleverd met Nginx en OpenSSL die out-of-the-box TLS 1.3 ondersteunen, dus het is niet nodig om een ​​aangepaste versie te bouwen.

Installeer Nginx.

sudo dnf install -y nginx

Controleer de versie.

nginx -v
# nginx version: nginx/1.14.2

Controleer de OpenSSL-versie waartegen Nginx is samengesteld.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Start en schakel Nginx in.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Configureer Nginx

Nu we Nginx met succes hebben geïnstalleerd, zijn we klaar om het te configureren met de juiste configuratie om TLS 1.3 op onze server te gaan gebruiken.

Voer de sudo vim /etc/nginx/conf.d/example.com.confopdracht uit en vul het bestand met de volgende configuratie.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Sla het bestand op en sluit af met :+ W+ Q.

Let op de nieuwe TLSv1.3parameter van de ssl_protocolsrichtlijn. Deze parameter is alleen nodig om TLS 1.3 op Nginx in te schakelen.

Controleer de configuratie.

sudo nginx -t

Herlaad Nginx.

sudo systemctl reload nginx.service

Om TLS 1.3 te verifiëren, kunt u browserontwikkelingshulpmiddelen of SSL Labs-service gebruiken. De onderstaande screenshots tonen het beveiligingstabblad van Chrome.

Hoe TLS 1.3 in Nginx op Fedora 29 in te schakelen

Hoe TLS 1.3 in Nginx op Fedora 29 in te schakelen

Dat is alles. Je hebt TLS 1.3 in Nginx met succes ingeschakeld op je Fedora 29 server. De definitieve versie van TLS 1.3 werd gedefinieerd in augustus 2018, dus er is geen beter moment om deze nieuwe technologie te gaan gebruiken.



Leave a Comment

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek

ReactOS: is dit de toekomst van Windows?

ReactOS: is dit de toekomst van Windows?

ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.

Blijf verbonden via WhatsApp Desktop-app 24 * 7

Blijf verbonden via WhatsApp Desktop-app 24 * 7

WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

Wat is een logboekbestandssysteem en hoe werkt het?

Wat is een logboekbestandssysteem en hoe werkt het?

Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.