Cum se activează TLS 1.3 în Nginx pe Ubuntu 18.04 LTS

• cerinţe
• Înainte de a începe
• Instalați clientul Acme.sh și obțineți certificatul TLS de la Let's Encrypt
• Construiți Nginx din sursă
• Configurați Nginx pentru TLS 1.3

TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446 . Oferă îmbunătățiri de securitate și performanță față de predecesorii săi.

Acest ghid va demonstra cum să activați TLS 1.3 folosind serverul web Nginx pe Ubuntu 18.04 LTS.

cerinţe

• Versiunea Nginx 1.13.0sau mai mare.
• Versiunea OpenSSL 1.1.1sau mai mare.
• Vultr Cloud Compute (VC2) instanță care rulează Ubuntu 18.04.
• Un nume de domeniu valid și înregistrări A/ AAAA/ CNAMEDNS configurate corespunzător pentru domeniul dvs.
• Un certificat TLS valid. Vom primi unul de la Let's Encrypt.

Înainte de a începe

Verificați versiunea Ubuntu.

lsb_release -ds
# Ubuntu 18.04.1 LTS

Creați un non-rootcont de utilizator nou cu sudoacces și treceți la acesta.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

NOTĂ: Înlocuiți johndoecu numele de utilizator.

Setați fusul orar.

sudo dpkg-reconfigure tzdata

Asigurați-vă că sistemul dvs. este actualizat.

sudo apt update && sudo apt upgrade -y

Instalați build-essential, socatși gitpachete.

sudo apt install -y build-essential socat git

Instalați clientul Acme.sh și obțineți certificatul TLS de la Let's Encrypt

Descărcați și instalați Acme.sh .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Verificați versiunea.

acme.sh --version
# v2.8.0

Obțineți certificate RSA și ECDSA pentru domeniul dvs.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

NOTĂ: Înlocuiți example.comcomenzile cu numele dvs. de domeniu.

După executarea comenzilor anterioare, certificatele și cheile dvs. vor fi accesibile la:

• Pentru RSA: /etc/letsencrypt/example.comdirector.
• Pentru ECC / ECDSA: /etc/letsencrypt/example.com_eccdirector.

Construiți Nginx din sursă

Nginx a adăugat suport pentru TLS 1.3 în versiunea 1.13.0. La majoritatea distribuțiilor Linux, inclusiv Ubuntu 18.04, Nginx este construit cu versiunea mai veche OpenSSL, care nu acceptă TLS 1.3. În consecință, avem nevoie de propria noastră construcție personalizată Nginx legată de versiunea OpenSSL 1.1.1, care include suport pentru TLS 1.3.

Descărcați cea mai recentă versiune principală a codului sursă Nginx și extrageți-l.

wget https://nginx.org/download/nginx-1.15.5.tar.gz && tar zxvf nginx-1.15.5.tar.gz

Descărcați codul sursă OpenSSL 1.1.1 și extrageți-l.

# OpenSSL version 1.1.1
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz && tar xzvf openssl-1.1.1.tar.gz

Ștergeți toate .tar.gzfișierele, deoarece nu vor mai fi necesare.

rm -rf *.tar.gz

Introduceți directorul sursă Nginx.

cd ~/nginx-1.15.5

Configurați, compilați și instalați Nginx. Pentru simplitate, vom compila doar module esențiale care sunt necesare pentru TLS 1.3 să funcționeze. Dacă aveți nevoie de o compilare completă Nginx, puteți citi acest ghid Vultr despre compilarea Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Ubuntu \
            --builddir=nginx-1.15.5 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1 \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Creați grup de sistem Nginx și utilizator.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Legătură text /usr/lib/nginx/modulescătre /etc/nginx/modulesdirector. etc/nginx/moduleseste un loc standard pentru modulele Nginx.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Creați directoare de cache Nginx și setați permisiunile corespunzătoare.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Verificați versiunea Nginx.

sudo nginx -V

# nginx version: nginx/1.15.5 (Ubuntu)
# built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)
# built with OpenSSL 1.1.1  11 Sep 2018
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Creați fișierul unității de sistem Nginx.

sudo vim /etc/systemd/system/nginx.service

Populați fișierul cu următoarea configurație.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Porniți și activați Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Creați conf.d, sites-availableși sites-enableddirectoare în /etc/nginxdirectorul.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Rulați sudo vim /etc/nginx/nginx.confși adăugați următoarele două directive la sfârșitul fișierului, chiar înainte de închidere }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Salvați fișierul și ieșiți cu :+ W+ Q.

Configurați Nginx pentru TLS 1.3

Acum că am construit cu succes Nginx, suntem gata să-l configurăm pentru a începe să folosească TLS 1.3 pe serverul nostru.

Rulați sudo vim /etc/nginx/conf.d/example.com.confși populați fișierul cu următoarea configurație.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;

  ssl_prefer_server_ciphers on;

  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
}

Salvați fișierul și ieșiți cu :+ W+ Q.

Observați noul TLSv1.3parametru al ssl_protocolsdirectivei. Acest parametru este necesar pentru a activa TLS 1.3.

Verificați configurația.

sudo nginx -t

Reîncărcați Nginx.

sudo systemctl reload nginx.service

Pentru a verifica TLS 1.3, puteți utiliza instrumente de browser browser sau serviciu SSL Labs. Imaginile de mai jos arată fila de securitate Chrome care arată că TLS 1.3 funcționează.

Felicitări! Ați activat cu succes TLS 1.3 pe serverul dvs. web Ubuntu 18.04.