วิธีเปิดใช้งาน TLS 1.3 ใน Apache บน Debian 10

• ความต้องการ
• ก่อนที่จะเริ่ม
• ติดตั้งไคลเอ็นต์ acme.sh และรับใบรับรอง TLS จาก Let's Encrypt
• ติดตั้ง Apache
• กำหนดค่า Apache สำหรับ TLS 1.3

TLS 1.3 เป็นรุ่นของโปรโตคอล Transport Layer Security (TLS) ที่เผยแพร่ในปี 2018 ตามมาตรฐานที่เสนอใน RFC 8446 ซึ่งให้การปรับปรุงความปลอดภัยและประสิทธิภาพมากกว่ารุ่นก่อน

คู่มือนี้จะสาธิตวิธีการเปิดใช้งาน TLS 1.3 โดยใช้ Apache เว็บเซิร์ฟเวอร์บน Debian 10

ความต้องการ

• อินสแตนซ์ Vultr Cloud Compute (VC2) ที่เรียกใช้ Debian 10 (Buster)
• ชื่อโดเมนที่ถูกต้องและการกำหนดค่าอย่างถูกต้องA/ AAAA/ CNAMEระเบียน DNS สำหรับโดเมนของคุณ
• ใบรับรอง TLS ที่ถูกต้อง เราจะได้หนึ่งจาก Let's Encrypt
• Apache เวอร์ชัน2.4.36ขึ้นไป
• รุ่น OpenSSL 1.1.1หรือสูงกว่า

ก่อนที่จะเริ่ม

ตรวจสอบเวอร์ชั่นของเดเบียน

lsb_release -ds
# Debian GNU/Linux 10 (buster)

สร้างnon-rootบัญชีผู้ใช้ใหม่ด้วยsudoการเข้าถึงและเปลี่ยนเป็นบัญชี

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

หมายเหตุ : แทนที่johndoeด้วยชื่อผู้ใช้ของคุณ

ตั้งค่าเขตเวลา

sudo dpkg-reconfigure tzdata

ตรวจสอบให้แน่ใจว่าระบบของคุณทันสมัย

sudo apt update && sudo apt upgrade -y

ติดตั้งแพ็คเกจที่จำเป็น

sudo apt install -y zip unzip curl wget git socat

ติดตั้งacme.shไคลเอนต์และรับใบรับรอง TLS จาก Let's Encrypt

ติดตั้ง acme.sh

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

ตรวจสอบเวอร์ชั่น

/etc/letsencrypt/acme.sh --version
# v2.8.2

รับใบรับรอง RSA และ ECDSA สำหรับโดเมนของคุณ

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

หมายเหตุ: แทนที่example.comคำสั่งด้วยชื่อโดเมนของคุณ

สร้างไดเรกทอรีที่เหมาะสมในการจัดเก็บใบรับรองและคีย์ของคุณใน. /etc/letsencryptเราจะใช้

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

ติดตั้งและคัดลอกใบรับรองไปยัง / etc / letsencrypt

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

หลังจากเรียกใช้คำสั่งข้างต้นใบรับรองและคีย์ของคุณจะอยู่ในตำแหน่งต่อไปนี้:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

ติดตั้ง Apache

Apache เพิ่มการรองรับ TLS 1.3 ในรุ่น 2.4.36 ระบบ Debian 10 มาพร้อมกับ Apache และ OpenSSL ที่รองรับ TLS 1.3 ได้ทันทีดังนั้นจึงไม่จำเป็นต้องสร้างรุ่นที่กำหนดเอง

ดาวน์โหลดและติดตั้ง Apache 2.4 สาขาล่าสุดผ่านทางaptผู้จัดการแพ็คเกจ

sudo apt install -y apache2

ตรวจสอบเวอร์ชั่น

sudo apache2 -v
# Server version: Apache/2.4.38 (Debian)
# Server built:   2019-04-07T18:15:40

กำหนดค่า Apache สำหรับ TLS 1.3

ตอนนี้เราได้ติดตั้ง Apache เรียบร้อยแล้วเราก็พร้อมที่จะกำหนดค่าให้เริ่มใช้ TLS 1.3 บนเซิร์ฟเวอร์ของเรา

ก่อนอื่นให้เปิดใช้งานโมดูล SSL

sudo a2enmod ssl

รีสตาร์ท Apache

sudo systemctl restart apache2

รันsudo vim /etc/apache2/sites-available/example.com.confและเติมไฟล์ด้วยการกำหนดค่าพื้นฐานต่อไปนี้

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

บันทึกไฟล์และออก

เปิดใช้งานไฟล์การกำหนดค่าใหม่โดยเชื่อมโยงไฟล์ไปยังsites-enabledไดเรกทอรี

sudo a2ensite example.com.conf

ตรวจสอบการกำหนดค่า

sudo apachectl configtest

โหลด Apache ใหม่

sudo systemctl reload apache2

เปิดไซต์ของคุณผ่านโปรโตคอล HTTPS ในเว็บเบราว์เซอร์ของคุณ ในการตรวจสอบ TLS 1.3 คุณสามารถใช้เครื่องมือพัฒนาเบราว์เซอร์หรือบริการ SSL Labs ภาพหน้าจอด้านล่างแสดงแท็บความปลอดภัยของ Chrome ที่ใช้งาน TLS 1.3

คุณเปิดใช้งาน TLS 1.3 ได้สำเร็จใน Apache บนเซิร์ฟเวอร์ Debian 10 ของคุณ TLS 1.3 เวอร์ชันสุดท้ายถูกกำหนดในเดือนสิงหาคม 2561 ดังนั้นจึงไม่มีเวลาที่ดีกว่าในการเริ่มใช้เทคโนโลยีใหม่นี้