TLS 1.3 - это версия протокола безопасности транспортного уровня (TLS), который был опубликован в 2018 году в качестве предлагаемого стандарта в RFC 8446 . Он предлагает улучшения безопасности и производительности по сравнению со своими предшест��енниками.
В этом руководстве будет показано, как включить TLS 1.3 с помощью веб-сервера Apache во FreeBSD 12.
A/ AAAA/ CNAMEDNS записи для вашего домена.2.4.36или выше.1.1.1или выше.Проверьте версию FreeBSD.
uname -ro
# FreeBSD 12.0-RELEASE
Убедитесь, что ваша система FreeBSD обновлена.
freebsd-update fetch install
pkg update && pkg upgrade -y
Установите необходимые пакеты, если их нет в вашей системе.
pkg install -y sudo vim unzip wget bash socat git
Создайте новую учетную запись пользователя с вашим предпочтительным именем пользователя (мы будем использовать johndoe).
adduser
# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!
Запустите visudoкоманду и раскомментируйте %wheel ALL=(ALL) ALLстроку, чтобы позволить членам wheelгруппы выполнить любую команду.
visudo
# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL
Теперь переключитесь на нового пользователя с помощью su.
su - johndoe
ПРИМЕЧАНИЕ. Замените johndoeна свое имя пользователя.
Установите часовой пояс.
sudo tzsetup
acme.shклиент и получите сертификат TLS от Let's EncryptУстановить acme.sh.
sudo pkg install -y acme.sh
Проверьте версию.
acme.sh --version
# v2.7.9
Получите сертификаты RSA и ECDSA для вашего домена.
# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256
ПРИМЕЧАНИЕ. Замените example.comв командах имя вашего домена.
Создайте разумные каталоги для хранения ваших сертификатов и ключей. Мы будем использовать /etc/letsencrypt.
sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc
Установите и скопируйте сертификаты в /etc/letsencrypt.
# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem
После выполнения вышеуказанных команд ваши сертификаты и ключи будут находиться в следующих местах:
RSA: /etc/letsencrypt/example.comECC/ECDSA: /etc/letsencrypt/example.com_eccВ Apache добавлена поддержка TLS 1.3 в версии 2.4.36. Система FreeBSD 12 поставляется с Apache и OpenSSL, которые поддерживают TLS 1.3 из коробки, поэтому нет необходимости создавать пользовательскую версию.
Загрузите и установите последнюю ветку 2.4 Apache через pkgменеджер пакетов.
sudo pkg install -y apache24
Проверьте версию.
httpd -v
# Server version: Apache/2.4.38 (FreeBSD)
Запустите и включите Apache.
sudo sysrc apache24_enable="yes"
sudo service apache24 start
Теперь, когда мы успешно установили Apache, мы готовы настроить его, чтобы начать использовать TLS 1.3 на нашем сервере.
ПРИМЕЧАНИЕ. В FreeBSD mod_sslмодуль включен по умолчанию как в пакете, так и в порту.
Запустите sudo vim /usr/local/etc/apache24/httpd.confи включите модуль SSL, раскомментировав его LoadModule ssl_module libexec/apache24/mod_ssl.so.
#LoadModule ssl_module libexec/apache24/mod_ssl.so
Запустите sudo vim /usr/local/etc/apache24/Includes/example.com.confи заполните файл следующей базовой конфигурацией.
Listen 443
<VirtualHost *:443>
ServerName example.com
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
# RSA
SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
# ECC
SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>
Сохраните файл и выйдите с помощью :+ W+ Q.
Проверьте конфигурацию.
sudo service apache24 configtest
Перезагрузите Apache.
sudo service apache24 reload
Откройте ваш сайт по протоколу HTTPS в вашем веб-браузере. Для проверки TLS 1.3 вы можете использовать инструменты разработчика браузера или службу SSL Labs. На скриншотах ниже показана вкладка безопасности Chrome с TLS 1.3 в действии.
Вы успешно включили TLS 1.3 в Apache на своем сервере FreeBSD. Окончательная версия TLS 1.3 была определена в августе 2018 года, поэтому нет лучшего времени, чтобы начать применять эту новую технологию.
Используете другую систему? TextPattern CMS 4.6.2 - это простая, гибкая, бесплатная система управления контентом (CMS) с открытым исходным кодом, которая позволяет веб-дизайнерам
Используете другую систему? NodeBB - это программное обеспечение для форумов на базе Node.js. Он использует веб-сокеты для мгновенного взаимодействия и уведомления в режиме реального времени. УзелБ
Используете другую систему? Monica - это система управления личными отношениями с открытым исходным кодом. Думайте об этом как о CRM (популярный инструмент, используемый командами
Используете другую систему? Reader Self 3.5 - это простая и гибкая, бесплатная программа для чтения RSS с открытым исходным кодом и альтернатива Google Reader. Читатель Sel
Используете другую систему? X-Cart - чрезвычайно гибкая платформа электронной коммерции с открытым исходным кодом, обладающая множеством функций и интеграций. Исходный код X-Cart доступен
Введение WordPress является доминирующей системой управления контентом в Интернете. Он поддерживает все, от блогов до сложных сайтов с динамическим контентом
Используете другую систему? MODX Revolution - это быстрая, гибкая, масштабируемая система управления контентом (CMS) корпоративного уровня с открытым исходным кодом, написанная на PHP. Это я
Введение Это руководство демонстрирует OpenBSD как решение для электронной коммерции, использующее PrestaShop и Apache. Требуется Apache, потому что PrestaShop имеет сложный UR
Используете другую систему? WonderCMS - это быстрая и небольшая плоская файловая CMS с открытым исходным кодом, написанная на PHP. Исходный код WonderCMS размещен на Github. Это руководство будет
Стек FEMP, который сопоставим со стеком LEMP в Linux, представляет собой набор программного обеспечения с открытым исходным кодом, который обычно устанавливается вместе для включения FreeBS.
Используете другую систему? Dolibarr - это общедоступное планирование ресурсов предприятия (ERP) и управление взаимоотношениями с клиентами (CRM) для предприятий. Dolibarr
Используете другую систему? Paste 2.1 - это простое и гибкое бесплатное приложение с открытым исходным кодом для хранения кода, текста и многого другого. Это было изначально
Используете другую систему? BigTree CMS 4.2 - это быстрая и легкая бесплатная система управления контентом (CMS) корпоративного уровня с открытым исходным кодом и широким
В готовом виде серверы Vultr FreeBSD не настроены на использование пространства подкачки. Если вы хотите использовать одноразовый облачный экземпляр, вы, вероятно, не
Используете другую систему? BlogoText CMS - это простая и легкая бесплатная система управления контентом (CMS) с открытым исходным кодом и минималистским блог-движком.
В этой статье я покажу вам, как установить MariaDB на OpenBSD 6 и настроить его так, чтобы он был доступен для веб-сервера с поддержкой chroot (Apache или Nginx). Вы будете также
Используете другую систему? Subrion 4.1 CMS - это мощная и гибкая система управления контентом с открытым исходным кодом (CMS), которая обеспечивает интуитивно понятный и понятный контент.
Используете другую систему? TaskWarrior - это инструмент управления временем с открытым исходным кодом, который является улучшением приложения Todo.txt и его клонов. Из-за
Используете другую систему? DokuWiki - это вики-программа с открытым исходным кодом, написанная на PHP, для которой не требуется база данных. Хранит данные в текстовых файлах. DokuWik
Изучение 26 методов анализа больших данных: часть 1
Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.
Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.
Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.
Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.
CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?
По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.
Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!
Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.
Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше
