Jak włączyć TLS 1.3 w Nginx na Debianie 9

• Wprowadzenie
• Wymagania
• Zanim zaczniesz
• Zainstaluj klienta Acme.sh i uzyskaj certyfikat TLS od Let's Encrypt
• Zbuduj Nginx ze źródła
• Skonfiguruj Nginx dla TLS 1.3

Wprowadzenie

TLS 1.3 to wersja protokołu Transport Layer Security (TLS) opublikowana w 2018 roku jako proponowany standard w RFC 8446 . Oferuje ulepszenia w zakresie bezpieczeństwa i wydajności w porównaniu do swoich poprzedników.

W tym przewodniku wyjaśniono, jak włączyć TLS 1.3 za pomocą serwera WWW Nginx w Debianie 9.

Wymagania

• Wersja Nginx 1.13.0lub nowsza.
• Wersja OpenSSL 1.1.1lub nowsza.
• Instancja Vultr Cloud Compute (VC2) z systemem Debian 9 x64 (stretch).
• Prawidłowa nazwa domeny i poprawnie skonfigurowane rekordy A/ AAAA/ CNAMEDNS dla Twojej domeny.
• Ważny certyfikat TLS. Dostaniemy jeden od Let's Encrypt.

Zanim zaczniesz

Sprawdź wersję Debiana.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Upewnij się, że twój system jest aktualny.

apt update && apt upgrade -y

Zainstaluj niezbędne pakiety.

apt install -y git unzip curl sudo socat build-essential

Utwórz nowe konto użytkownika innego niż root z sudodostępem i przejdź do niego.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

UWAGA: Zamień na johndoeswoją nazwę użytkownika.

Ustaw strefę czasową.

sudo dpkg-reconfigure tzdata

Zainstaluj klienta Acme.sh i uzyskaj certyfikat TLS od Let's Encrypt

Pobrać i zainstalować Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Sprawdź wersję.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Uzyskaj certyfikaty RSA i ECDSA dla swojej domeny.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

UWAGA: Zamień example.comna nazwę swojej domeny.

Po uruchomieniu poprzednich poleceń certyfikaty i klucze są dostępne w następujących lokalizacjach:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Zbuduj Nginx ze źródła

Nginx dodał obsługę TLS 1.3 w wersji 1.13.0. W większości dystrybucji Linuksa, w tym Debian 9, Nginx jest budowany ze starszą wersją OpenSSL, która nie obsługuje TLS 1.3. W związku z tym potrzebujemy naszej własnej kompilacji Nginx połączonej z wersją OpenSSL 1.1.1, która obejmuje obsługę TLS 1.3.

Pobierz najnowszą główną wersję kodu źródłowego Nginx i rozpakuj go.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Pobierz kod źródłowy OpenSSL 1.1.1c i rozpakuj go.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Usuń wszystkie .tar.gzpliki, ponieważ nie są już potrzebne.

rm -rf *.tar.gz

Wejdź do katalogu źródłowego Nginx.

cd ~/nginx-1.17.0

Skonfiguruj, skompiluj i zainstaluj Nginx. Dla uproszczenia skompilujemy tylko niezbędne moduły, które są wymagane do działania TLS 1.3. Jeśli potrzebujesz pełnej wersji Nginx, możesz przeczytać ten przewodnik Vultr o kompilacji Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Utwórz grupę systemową i użytkownika Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Symlink /usr/lib/nginx/modulesdo /etc/nginx/modules. Ten ostatni jest standardowym miejscem dla modułów Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Utwórz katalogi pamięci podręcznej Nginx i ustaw odpowiednie uprawnienia.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Sprawdź wersję Nginx.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Utwórz plik jednostki systemowej Nginx.

sudo vim /etc/systemd/system/nginx.service

Wypełnij plik następującą konfiguracją.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Uruchom i włącz Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Tworzenie conf.d, sites-availablei sites-enabledkatalogi w /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Uruchom sudo vim /etc/nginx/nginx.confi dodaj następujące dwie dyrektywy na końcu pliku, tuż przed zamknięciem }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Zapisz plik i wyjdź za pomocą :+ W+ Q.

Skonfiguruj Nginx dla TLS 1.3

Teraz, gdy udało nam się zbudować Nginx, jesteśmy gotowi skonfigurować go tak, aby zaczął używać TLS 1.3 na naszym serwerze.

Uruchom sudo vim /etc/nginx/conf.d/example.com.confi wypełnij plik następującą konfiguracją.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Zapisz plik i wyjdź za pomocą :+ W+ Q.

Zwróć uwagę na nowy TLSv1.3parametr ssl_protocolsdyrektywy. Ten parametr jest niezbędny do włączenia TLS 1.3.

Sprawdź konfigurację.

sudo nginx -t

Załaduj ponownie Nginx.

sudo systemctl reload nginx.service

Aby zweryfikować TLS 1.3, możesz użyć narzędzi programistycznych przeglądarki lub usługi SSL Labs. Poniższe zrzuty ekranu pokazują kartę zabezpieczeń Chrome, która wskazuje, że TLS 1.3 działa.

Gratulacje! Udało ci się włączyć TLS 1.3 na serwerze Debian 9.