CentOS 8de Apachede TLS 1.3ü Etkinleştirme

• Gereksinimler
• Sen başlamadan önce
• Acme.sh istemcisini yükleyin ve Let's Encrypt'ten bir TLS sertifikası alın
• Apache Yükle
• TLS 1.3 için Apache'yi Yapılandırma

TLS 1.3, 2018 yılında RFC 8446'da önerilen bir standart olarak yayınlanan Taşıma Katmanı Güvenliği (TLS) protokolünün bir sürümüdür. Öncüllerine göre güvenlik ve performans iyileştirmeleri sunar.

Bu kılavuz CentOS 8'de Apache web sunucusunu kullanarak TLS 1.3'ün nasıl etkinleştirileceğini gösterecektir.

Gereksinimler

• CentOS 8 çalıştıran Vultr Cloud Compute (VC2) örneği.
• Geçerli bir alan adı ve alanınız için uygun şekilde yapılandırılmış A/ AAAA/ CNAMEDNS kayıtları.
• Geçerli bir TLS sertifikası. Let's Encrypt'den bir tane alacağız.
• Apache sürümü 2.4.36veya üstü.
• OpenSSL sürümü 1.1.1veya üstü.

Sen başlamadan önce

CentOS sürümünü kontrol edin.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Erişimi olan yeni bir non-rootkullanıcı hesabı oluşturun sudove bu hesaba geçin.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

NOT: Kullanıcı adınızla değiştirin johndoe.

Saat dilimini ayarlayın.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Sisteminizin güncel olduğundan emin olun.

sudo yum update

Gerekli paketleri kurun.

sudo yum install -y socat git

SELinux ve Güvenlik Duvarını devre dışı bırakın.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

acme.shİstemciyi yükleyin ve Let's Encrypt'ten bir TLS sertifikası alın

Acme.sh dosyasını yükleyin.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Versiyonu kontrol et.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Alan adınız için RSA ve ECDSA sertifikaları alın.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

NOT: Komutları alan adınızla değiştirin example.com.

Sertifikalarınızı ve anahtarlarınızı saklamak için mantıklı dizinler oluşturun. Kullanacağız /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Sertifikaları yükleyin ve / etc / letsencrypt dosyasına kopyalayın.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Yukarıdaki komutları çalıştırdıktan sonra, sertifikalarınız ve anahtarlarınız aşağıdaki konumlarda olacaktır:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Apache Yükle

Apache, 2.4.36 sürümünde TLS 1.3 için destek ekledi. CentOS 8 sistemi, TLS 1.3'ü kutudan çıkaran Apache ve OpenSSL ile birlikte geliyor, bu nedenle özel bir sürüm oluşturmaya gerek yok.

yumPaket yöneticisi aracılığıyla Apache'nin en son 2.4 sürümünü ve SSL için modülünü indirin ve yükleyin .

sudo yum install -y httpd mod_ssl

Versiyonu kontrol et.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Apache'yi başlatın ve etkinleştirin.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

TLS 1.3 için Apache'yi Yapılandırma

Artık Apache'yi başarıyla kurduğumuza göre, sunucumuzda TLS 1.3'ü kullanmaya başlaması için yapılandırmaya hazırız.

Çalıştırın sudo vim /etc/httpd/conf.d/example.com.confve dosyayı aşağıdaki temel yapılandırmayla doldurun.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Dosyayı kaydedin ve :+ W+ ile çıkın Q.

Yapılandırmayı kontrol edin.

sudo apachectl configtest

Yeni yapılandırmayı etkinleştirmek için Apache'yi yeniden yükleyin.

sudo systemctl reload httpd.service

Sitenizi web tarayıcınızda HTTPS protokolü üzerinden açın. TLS 1.3'ü doğrulamak için tarayıcı geliştirici araçlarını veya SSL Labs hizmetini kullanabilirsiniz. Aşağıdaki ekran görüntüleri, TLS 1.3'ün etkin olduğu Chrome'un güvenlik sekmesini göstermektedir.

CentS 8 sunucunuzdaki Apache'de TLS 1.3'ü başarıyla etkinleştirdiniz. TLS 1.3'ün son sürümü Ağustos 2018'de tanımlandı, bu nedenle bu yeni teknolojiyi kullanmaya başlamak için daha iyi bir zaman yok.