Как включить TLS 1.3 в Apache на FreeBSD 12

• Требования
• Прежде чем вы начнете
• Установите клиент acme.sh и получите сертификат TLS от Let's Encrypt
• Установите Apache
• Настройте Apache для TLS 1.3

TLS 1.3 - это версия протокола безопасности транспортного уровня (TLS), который был опубликован в 2018 году в качестве предлагаемого стандарта в RFC 8446 . Он предлагает улучшения безопасности и производительности по сравнению со своими предшест��енниками.

В этом руководстве будет показано, как включить TLS 1.3 с помощью веб-сервера Apache во FreeBSD 12.

Требования

• Экземпляр Vultr Cloud Compute (VC2) под управлением FreeBSD 12.
• Действительное имя домена и правильно настроенные A/ AAAA/ CNAMEDNS записи для вашего домена.
• Действительный сертификат TLS. Мы получим один от Let's Encrypt.
• Версия Apache 2.4.36или выше.
• Версия OpenSSL 1.1.1или выше.

Прежде чем вы начнете

Проверьте версию FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Убедитесь, что ваша система FreeBSD обновлена.

freebsd-update fetch install
pkg update && pkg upgrade -y

Установите необходимые пакеты, если их нет в вашей системе.

pkg install -y sudo vim unzip wget bash socat git

Создайте новую учетную запись пользователя с вашим предпочтительным именем пользователя (мы будем использовать johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Запустите visudoкоманду и раскомментируйте %wheel ALL=(ALL) ALLстроку, чтобы позволить членам wheelгруппы выполнить любую команду.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Теперь переключитесь на нового пользователя с помощью su.

su - johndoe

ПРИМЕЧАНИЕ. Замените johndoeна свое имя пользователя.

Установите часовой пояс.

sudo tzsetup

Установите acme.shклиент и получите сертификат TLS от Let's Encrypt

Установить acme.sh.

sudo pkg install -y acme.sh

Проверьте версию.

acme.sh --version
# v2.7.9

Получите сертификаты RSA и ECDSA для вашего домена.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

ПРИМЕЧАНИЕ. Замените example.comв командах имя вашего домена.

Создайте разумные каталоги для хранения ваших сертификатов и ключей. Мы будем использовать /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Установите и скопируйте сертификаты в /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

После выполнения вышеуказанных команд ваши сертификаты и ключи будут находиться в следующих местах:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Установите Apache

В Apache добавлена ​​поддержка TLS 1.3 в версии 2.4.36. Система FreeBSD 12 поставляется с Apache и OpenSSL, которые поддерживают TLS 1.3 из коробки, поэтому нет необходимости создавать пользовательскую версию.

Загрузите и установите последнюю ветку 2.4 Apache через pkgменеджер пакетов.

sudo pkg install -y apache24

Проверьте версию.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Запустите и включите Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Настройте Apache для TLS 1.3

Теперь, когда мы успешно установили Apache, мы готовы настроить его, чтобы начать использовать TLS 1.3 на нашем сервере.

ПРИМЕЧАНИЕ. В FreeBSD mod_sslмодуль включен по умолчанию как в пакете, так и в порту.

Запустите sudo vim /usr/local/etc/apache24/httpd.confи включите модуль SSL, раскомментировав его LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Запустите sudo vim /usr/local/etc/apache24/Includes/example.com.confи заполните файл следующей базовой конфигурацией.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Сохраните файл и выйдите с помощью :+ W+ Q.

Проверьте конфигурацию.

sudo service apache24 configtest

Перезагрузите Apache.

sudo service apache24 reload

Откройте ваш сайт по протоколу HTTPS в вашем веб-браузере. Для проверки TLS 1.3 вы можете использовать инструменты разработчика браузера или службу SSL Labs. На скриншотах ниже показана вкладка безопасности Chrome с TLS 1.3 в действии.

Вы успешно включили TLS 1.3 в Apache на своем сервере FreeBSD. Окончательная версия TLS 1.3 была определена в августе 2018 года, поэтому нет лучшего времени, чтобы начать применять эту новую технологию.