Как включить TLS 1.3 в Apache на Debian 10

• Требования
• Прежде чем вы начнете
• Установите клиент acme.sh и получите сертификат TLS от Let's Encrypt
• Установите Apache
• Настройте Apache для TLS 1.3

TLS 1.3 - это версия протокола безопасности транспортного уровня (TLS), который был опубликован в 2018 году в качестве предлагаемого стандарта в RFC 8446. Он обеспечивает повышение безопасности и производительности по сравнению со своими предшественниками.

В этом руководстве будет показано, как включить TLS 1.3 с помощью веб-сервера Apache в Debian 10.

Требования

• Экземпляр Vultr Cloud Compute (VC2) под управлением Debian 10 (Buster).
• Действительное имя домена и правильно настроенные A/ AAAA/ CNAMEDNS записи для вашего домена.
• Действительный сертификат TLS. Мы получим один от Let's Encrypt.
• Версия Apache 2.4.36или выше.
• Версия OpenSSL 1.1.1или выше.

Прежде чем вы начнете

Проверьте версию Debian.

lsb_release -ds
# Debian GNU/Linux 10 (buster)

Создайте новую non-rootучетную запись пользователя с sudoдоступом и переключитесь на нее.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

ПРИМЕЧАНИЕ . Замените johndoeна свое имя пользователя .

Установите часовой пояс.

sudo dpkg-reconfigure tzdata

Убедитесь, что ваша система обновлена.

sudo apt update && sudo apt upgrade -y

Установите необходимые пакеты.

sudo apt install -y zip unzip curl wget git socat

Установите acme.shклиент и получите сертификат TLS от Let's Encrypt

Установите acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Проверьте версию.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Получите сертификаты RSA и ECDSA для вашего домена.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМЕЧАНИЕ. Замените example.comв командах имя вашего домена.

Создайте разумные каталоги для хранения ваших сертификатов и ключей. Мы будем использовать /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Установите и скопируйте сертификаты в / etc / letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

После выполнения вышеуказанных команд ваши сертификаты и ключи будут находиться в следующих местах:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Установите Apache

В Apache добавлена ​​поддержка TLS 1.3 в версии 2.4.36. Система Debian 10 поставляется с Apache и OpenSSL, которые поддерживают TLS 1.3 из коробки, поэтому нет необходимости создавать пользовательскую версию.

Загрузите и установите последнюю ветку 2.4 Apache через aptменеджер пакетов.

sudo apt install -y apache2

Проверьте версию.

sudo apache2 -v
# Server version: Apache/2.4.38 (Debian)
# Server built:   2019-04-07T18:15:40

Настройте Apache для TLS 1.3

Теперь, когда мы успешно установили Apache, мы готовы настроить его, чтобы начать использовать TLS 1.3 на нашем сервере.

Сначала включите модуль SSL.

sudo a2enmod ssl

Перезапустите Apache.

sudo systemctl restart apache2

Запустите sudo vim /etc/apache2/sites-available/example.com.confи заполните файл следующей базовой конфигурацией.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Сохраните файл и выйдите.

Активируйте новый файл конфигурации, связав файл с sites-enabledкаталогом.

sudo a2ensite example.com.conf

Проверьте конфигурацию.

sudo apachectl configtest

Перезагрузите Apache.

sudo systemctl reload apache2

Откройте ваш сайт по протоколу HTTPS в вашем веб-браузере. Для проверки TLS 1.3 вы можете использовать инструменты разработчика браузера или службу SSL Labs. На скриншотах ниже показана вкладка безопасности Chrome с TLS 1.3 в действии.

Вы успешно включили TLS 1.3 в Apache на своем сервере Debian 10. Окончательная версия TLS 1.3 была определена в августе 2018 года, поэтому нет лучшего времени, чтобы начать применять эту новую технологию.