Strona główna » » Jak włączyć TLS 1.3 w Apache na CentOS 8

Jak włączyć TLS 1.3 w Apache na CentOS 8

TLS 1.3 to wersja protokołu Transport Layer Security (TLS), która została opublikowana w 2018 roku jako proponowany standard w RFC 8446. Oferuje ulepszenia w zakresie bezpieczeństwa i wydajności w stosunku do swoich poprzedników.

Ten przewodnik pokaże, jak włączyć TLS 1.3 za pomocą serwera Apache na CentOS 8.

Wymagania

  • Instancja Vultr Cloud Compute (VC2) z systemem CentOS 8.
  • Prawidłowa nazwa domeny i poprawnie skonfigurowane rekordy A/ AAAA/ CNAMEDNS dla Twojej domeny.
  • Ważny certyfikat TLS. Dostaniemy jeden od Let's Encrypt.
  • Wersja Apache 2.4.36lub nowsza.
  • Wersja OpenSSL 1.1.1lub nowsza.

Zanim zaczniesz

Sprawdź wersję CentOS.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Utwórz nowe non-rootkonto użytkownika z sudodostępem i przejdź do niego.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

UWAGA: Zamień na johndoeswoją nazwę użytkownika.

Ustaw strefę czasową.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Upewnij się, że twój system jest aktualny.

sudo yum update

Zainstaluj potrzebne pakiety.

sudo yum install -y socat git

Wyłącz SELinux i Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Zainstaluj acme.shklienta i uzyskaj certyfikat TLS od Let's Encrypt

Zainstaluj acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Sprawdź wersję.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Uzyskaj certyfikaty RSA i ECDSA dla swojej domeny.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

UWAGA: Zastąp example.comw poleceniach nazwę swojej domeny.

Utwórz rozsądne katalogi do przechowywania certyfikatów i kluczy. Użyjemy /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Zainstaluj i skopiuj certyfikaty do / etc / letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Po uruchomieniu powyższych poleceń certyfikaty i klucze będą znajdować się w następujących lokalizacjach:

  • RSA :/etc/letsencrypt/example.com
  • ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Zainstaluj Apache

Apache dodał obsługę TLS 1.3 w wersji 2.4.36. System CentOS 8 jest dostarczany z Apache i OpenSSL, które obsługują TLS 1.3 po wyjęciu z pudełka, więc nie ma potrzeby budowania niestandardowej wersji.

Pobierz i zainstaluj najnowszą wersję Apache 2.4 i jej modułu dla SSL za pośrednictwem yummenedżera pakietów.

sudo yum install -y httpd mod_ssl

Sprawdź wersję.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Uruchom i włącz Apache.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Skonfiguruj Apache dla TLS 1.3

Po pomyślnym zainstalowaniu Apache jesteśmy gotowi skonfigurować go, aby zaczął używać TLS 1.3 na naszym serwerze.

Uruchom sudo vim /etc/httpd/conf.d/example.com.confi zapełnij plik następującą konfiguracją podstawową.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Zapisz plik i wyjdź za pomocą :+ W+ Q.

Sprawdź konfigurację.

sudo apachectl configtest

Załaduj ponownie Apache, aby aktywować nową konfigurację. 

sudo systemctl reload httpd.service

Otwórz witrynę za pomocą protokołu HTTPS w przeglądarce internetowej. Aby zweryfikować TLS 1.3, możesz użyć narzędzi programistycznych przeglądarki lub usługi SSL Labs. Poniższe zrzuty ekranu pokazują kartę bezpieczeństwa Chrome z działającym TLS 1.3.

Jak włączyć TLS 1.3 w Apache na CentOS 8

Jak włączyć TLS 1.3 w Apache na CentOS 8

Udało ci się włączyć TLS 1.3 w Apache na serwerze CentOS 8. Ostateczna wersja TLS 1.3 została zdefiniowana w sierpniu 2018 r., Więc nie ma lepszego czasu na rozpoczęcie wdrażania tej nowej technologii.

Zostaw komentarz

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.