Cum se activează TLS 1.3 în Nginx pe Fedora 29

• Introducere
• cerinţe
• Înainte de a începe
• Instalați clientul Acme.sh și obțineți certificatul TLS de la Let's Encrypt
• Instalați Nginx
• Configurați Nginx

Introducere

TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446 . Oferă îmbunătățiri de securitate și performanță față de predecesorii săi.

Acest ghid va demonstra cum să activați TLS 1.3 folosind serverul web Nginx pe Fedora 29.

cerinţe

• Versiunea Nginx 1.13.0sau mai mare.
• Versiunea OpenSSL 1.1.1sau mai mare.
• Vultr Cloud Compute (VC2) instanță care rulează Fedora 29.
• Un nume de domeniu valid și înregistrări A/ AAAA/ CNAMEDNS configurate corespunzător pentru domeniul dvs.
• Un certificat TLS valid. Vom primi unul de la Let's Encrypt.

Înainte de a începe

Verificați versiunea Fedora.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Creați un non-rootcont de utilizator nou cu sudoacces și treceți la acesta.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

NOTĂ: Înlocuiți johndoecu numele de utilizator.

Setați fusul orar.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Asigurați-vă că sistemul dvs. este actualizat.

sudo dnf check-upgrade || sudo dnf upgrade -y

Instalați pachetele necesare.

sudo dnf install -y socat git

Dezactivează SELinux și Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Instalați clientul Acme.sh și obțineți certificatul TLS de la Let's Encrypt

În acest ghid, vom folosi clientul Acme.sh pentru a obține certificate SSL de la Let's Encrypt. Puteți utiliza un client cu care sunteți mai familiari.

Descărcați și instalați Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

Verificați versiunea.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Obțineți certificate RSA și ECDSA pentru domeniul dvs.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

NOTĂ: Înlocuiți example.comcomenzile cu numele dvs. de domeniu.

După executarea comenzilor anterioare, certificatele și cheile dvs. vor fi accesibile la:

• RSA : /etc/letsencrypt/example.com.
• ECC / ECDSA: /etc/letsencrypt/example.com_ecc.

Instalați Nginx

Nginx a adăugat suport pentru TLS 1.3 în versiunea 1.13.0. Fedora 29 vine cu Nginx și OpenSSL care acceptă TLS 1.3 din cutie, astfel încât nu este necesară crearea unei versiuni personalizate.

Instalați Nginx.

sudo dnf install -y nginx

Verificați versiunea.

nginx -v
# nginx version: nginx/1.14.2

Verificați versiunea OpenSSL cu care a fost compilată Nginx.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Porniți și activați Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Configurați Nginx

Acum că am instalat cu succes Nginx, suntem gata să-l configurăm cu configurația corespunzătoare pentru a începe să folosim TLS 1.3 pe serverul nostru.

Rulați sudo vim /etc/nginx/conf.d/example.com.confcomanda și populați fișierul cu următoarea configurație.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Salvați fișierul și ieșiți cu :+ W+ Q.

Observați noul TLSv1.3parametru al ssl_protocolsdirectivei. Acest parametru este necesar doar pentru a activa TLS 1.3 pe Nginx.

Verificați configurația.

sudo nginx -t

Reîncărcați Nginx.

sudo systemctl reload nginx.service

Pentru a verifica TLS 1.3, puteți utiliza instrumente de browser browser sau serviciu SSL Labs. Imaginile de mai jos arată fila de securitate Chrome.

Asta e tot. Ați activat cu succes TLS 1.3 în Nginx pe serverul dvs. Fedora 29. Versiunea finală a TLS 1.3 a fost definită în august 2018, deci nu există un moment mai bun pentru a începe adoptarea acestei noi tehnologii.