Fedora 29da Nginxte TLS 1.3ü Etkinleştirme

• Giriş
• Gereksinimler
• Sen başlamadan önce
• Acme.sh istemcisini kurun ve Let's Encrypt'ten TLS sertifikası alın
• Nginx'i yükle
• Nginx'i Yapılandır

Giriş

TLS 1.3, 2018'de RFC 8446'da önerilen bir standart olarak yayınlanan Taşıma Katmanı Güvenliği (TLS) protokolünün bir sürümüdür . Öncüllerine göre güvenlik ve performans iyileştirmeleri sunuyor.

Bu kılavuz, Fedora 29'daki Nginx web sunucusunu kullanarak TLS 1.3'ün nasıl etkinleştirileceğini gösterecektir.

Gereksinimler

• Nginx sürümü 1.13.0veya üstü.
• OpenSSL sürümü 1.1.1veya üstü.
• Fedora 29 çalıştıran Vultr Cloud Compute (VC2) örneği.
• Geçerli bir alan adı ve alanınız için uygun şekilde yapılandırılmış A/ AAAA/ CNAMEDNS kayıtları.
• Geçerli bir TLS sertifikası. Let's Encrypt'den bir tane alacağız.

Sen başlamadan önce

Fedora sürümünü kontrol edin.

cat /etc/fedora-release
# Fedora release 29 (Twenty Nine)

Erişimi olan yeni bir non-rootkullanıcı hesabı oluşturun sudove bu hesaba geçin.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

NOT: Kullanıcı adınızla değiştirin johndoe.

Saat dilimini ayarlayın.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Sisteminizin güncel olduğundan emin olun.

sudo dnf check-upgrade || sudo dnf upgrade -y

Gerekli paketleri kurun.

sudo dnf install -y socat git

SELinux ve Güvenlik Duvarını devre dışı bırakın.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Acme.sh istemcisini kurun ve Let's Encrypt'ten TLS sertifikası alın

Bu kılavuzda, Let's Encrypt'ten SSL sertifikaları almak için Acme.sh istemcisini kullanacağız. En tanıdığınız bir müşteri kullanabilirsiniz.

Acme.sh dosyasını indirin ve yükleyin .

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~

Versiyonu kontrol et.

/etc/letsencrypt/acme.sh --version
# v2.8.1

Alan adınız için RSA ve ECDSA sertifikaları alın.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

NOT: Komutlarda alan adınızla değiştirin example.com.

Önceki komutları çalıştırdıktan sonra sertifikalarınıza ve anahtarlarınıza şu adresten erişilebilir:

• RSA: /etc/letsencrypt/example.com.
• ECC / ECDSA: /etc/letsencrypt/example.com_ecc.

Nginx'i yükle

Nginx, 1.13.0 sürümünde TLS 1.3 desteği ekledi. Fedora 29, TLS 1.3'ü kutudan çıkaran Nginx ve OpenSSL ile birlikte geliyor, bu nedenle özel bir sürüm oluşturmaya gerek yok.

Nginx'i yükleyin.

sudo dnf install -y nginx

Versiyonu kontrol et.

nginx -v
# nginx version: nginx/1.14.2

Nginx'in derlendiği OpenSSL sürümünü kontrol edin.

nginx -V
# built with OpenSSL 1.1.1b FIPS  26 Feb 2019

Nginx'i başlatın ve etkinleştirin.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Nginx'i Yapılandır

Nginx'i başarıyla kurduğumuza göre, sunucumuzda TLS 1.3'ü kullanmaya başlamak için uygun yapılandırmayla yapılandırmaya hazırız.

sudo vim /etc/nginx/conf.d/example.com.confKomutu çalıştırın ve dosyayı aşağıdaki yapılandırmayla doldurun.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Dosyayı kaydedin ve :+ W+ ile çıkın Q.

Direktifin yeni TLSv1.3parametresine dikkat edin ssl_protocols. Bu parametre yalnızca Nginx'te TLS 1.3'ü etkinleştirmek için gereklidir.

Yapılandırmayı kontrol edin.

sudo nginx -t

Nginx'i yeniden yükleyin.

sudo systemctl reload nginx.service

TLS 1.3'ü doğrulamak için tarayıcı geliştirici araçlarını veya SSL Labs hizmetini kullanabilirsiniz. Aşağıdaki ekran görüntüleri Chrome'un güvenlik sekmesini göstermektedir.

Bu kadar. Fedora 29 sunucunuzdaki Nginx'te TLS 1.3'ü başarıyla etkinleştirdiniz. TLS 1.3'ün son sürümü Ağustos 2018'de tanımlandı, bu nedenle bu yeni teknolojiyi kullanmaya başlamak için daha iyi bir zaman yok.