Kuidas aktiveerida tlsv1.3 ninxil. Vestacp / centos või ubuntu

Selles õpetuses saate teada, kuidas activezi tlsv1.3 või nginx. Mida see tähendab TLSv 1.3, Mis aitab Ja miks vajate WebServeril CA TLS -i saab aktiveerida. Haldussüsteemiga serverite jaoks Vestacp (Centos või Ubuntu) on natuke raskem Activat TLS 1.3 Ainult CPANEL -ga serveris, kuid see pole võimatu.

sisu

Miks on TLS 1.3 parem kui TLS 1.2?

TLS (Transport Layer Security) See on a krüptograafiline protokoll mis tagab Ühenduse turvalisus arvuti ja võrgu vahel, kuhu see kuulub. TLS kasutatakse sellistes rakendustes nagu: e -kiri, käskjalg, Hääl- ja videokõned (VoIP), eriti kell HTTPS. Turvalise suhtluse tagamine kasutaja arvuti või nutitelefoni ja juurdepääsu lehe veebiserveri vahel.

TLS 1.3 pakub O suurem kiirus kliendiühendus – server ja üks pluss turvalisus kõrvaldades algoritmid. Erinevused TLSV1.2 ja TLSV1.3 vahel.

Ümber HTTPS, SSL (Secure Sockets Layer) Ütlesin ka muudes esemetes:

Kuidas aktiveerida TLS 1.3 ninxil. Server koos VestaCP / CentOS -haldusega

Enne kui näete, kuidas NGINX -is TLSV1.3 aktiveerida, peate kaaluma mõningaid miinimumnõudeid TLS 1.3.

Ningin 1.13.x või uuem versioon
Kehtiv TLS -sertifikaat
Domeeninimi aktiivne DNS -ga, mis on õigesti konfigureeritud – olla Internetis juurdepääsetav
Kehtiv TLS / SSL -sertifikaat. See võib olla Let’s Encrypt.

Vesticp installitud kaua aega tagasi on meil ainult protokoll TLS 1.2. Ma nägin paljudes õpetustes, et sellest piisab nagu sisse nginx.conf Lisame aktiveerimiseks järgmise rida TLS 1.3 jaoks:

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;
  root /var/www/example.com/public;

  ssl_certificate /path/to/your/certificate.crt;
  ssl_certificate_key /path/to/your/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;

Vale. Kui serveris Centos CU juhtimine Vestacp, Ningxit pole koostatud minimaalse versiooniga OpenSSL 1.1.1.1, ssl_protocols TLSv1.2 TLSv1.3; sisse nginx.conf .. See ei aita milleski.

[root@north ~]# nginx -V
nginx version: nginx/1.22.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled

Asar, ülaltoodud näites Nginx 1.22.0 ühildub TLS 1.3 versiooniga, kuid ei aita raamatupoodi OpenSSL 1.0.2k-fips.

TLSV1.3 NGINX -is aktiveerimiseks peate kõigepealt installima raamatupoodid lapsepõlve- ja arenduspakettide jaoks. Development Tools. Käsud CentOS 7 käsuridades:

yum install gcc gcc-c++ pcre-devel zlib-devel make unzip gd-devel perl-ExtUtils-Embed libxslt-devel openssl-devel perl-Test-Simple
yum groupinstall 'Development Tools'

1. Installige uusim versioon OpenSSL

Sel ajal on viimane versioon OpenSSL 1.1.1p, aga sellest, mida ma märkasin, on juba OpenSL 3. Leiate allikad Openssl.org.

cd /usr/src
wget https://www.openssl.org/source/openssl-1.1.1p.tar.gz
tar xvf openssl-1.1.1p.tar.gz 
mv openssl-1.1.1p openssl
cd openssl
./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl --libdir=/lib64 shared zlib-dynamic
make -j4
make test 
make install

Väga oluline joosta make test Enne raamatupoe installimist. Kui testis on ilmnenud vigu, ärge käivitage make install kuni vead parandatakse.

Järgmises etapis teeme praeguse binaarfaili varukoopia openssl Ja ma lisan symlink uuele.

mv /usr/bin/openssl /usr/bin/openssl-backup
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

Sisse /usr/local/openssl/bin teostama ldd OpenSSL sõltuvuste kontrollimiseks. Saame kontrollida ka OpenSL -i versiooni. Käsk openssl version.

[root@north bin]# ldd openssl
	linux-vdso.so.1 =>  (0x00007ffd20bd7000)
	libssl.so.1.1 => /lib64/libssl.so.1.1 (0x00007fab09b62000)
	libcrypto.so.1.1 => /lib64/libcrypto.so.1.1 (0x00007fab09675000)
	libdl.so.2 => /lib64/libdl.so.2 (0x00007fab09471000)
	libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fab09255000)
	libc.so.6 => /lib64/libc.so.6 (0x00007fab08e87000)
	/lib64/ld-linux-x86-64.so.2 (0x00007fab09df5000)
[root@north bin]# openssl version
OpenSSL 1.1.1p  21 Jun 2022

Sel ajal on meil uusim versioon installitud OpenSSL mis toetab TLSv1.3. Saame versioone kontrollida TLS / SSL toetavad raamatukoguhoidjad OpenSSL tellimuse järgi:

[root@north bin]# openssl ciphers -v | awk '{print $2}' | sort | uniq
SSLv3
TLSv1
TLSv1.2
TLSv1.3
[root@north bin]#

See ei tähenda, et veebisaidid korraldaksid halduri abiga VestaCP Neil on kohe TLS 1.3.

Kuigi oleme installinud OpenSSL 1.1.1p, Nginx on koostatud vana versiooniga OpenSSL 1.0.2k-fips.

[root@north bin]# nginx -V
nginx version: nginx/1.22.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'
[root@north bin]# openssl version
OpenSSL 1.1.1p  21 Jun 2022
[root@north bin]#

2. VestaCP

Selles etapis peame uuesti arvestama OpenSSL Nginxi versioon on juba installitud süsteemis CentOS / VestaCP. Nagu ma eespool ütlesin, on minu puhul see umbes nginx/1.22.0. Olles veebiserverist, millel on VestaCP Haldussüsteem, enne kui me uuesti kompileerimise alustame, on hea NGINX -failide varundamine.

Varundamine nginx vool süsteemis VestaCP

Arhiiv ja hoidke kuskil direktorid serveris “/etc/nginx” ja “/usr/local/vesta/nginx“.

Jooksma nginx -V ja salvestage olemasolevad moodulid.

configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

Kuidas aktiveerida nginxis tlsv1.3 — Tema tlsv1.3 leht nginx cum

Kuidas saada ninx ülesgrage OpenSL / CentOS 7

Kordan. Kui teil on Vestacp, Laadige alla juba installitud Nginxi versioon. Kõik arhiivid koos nginxi versioonidega, mille leiate nende peal nginx.org.

cd /usr/src
wget https://nginx.org/download/nginx-1.22.0.tar.gz 
tar xvf nginx-1.22.0.tar.gz
cd nginx-1.22.0

Me komplimeerime NGINX -moodulid uuesti:

./configure --prefix=/etc/nginx \
--sbin-path=/usr/sbin/nginx \ 
--modules-path=/usr/lib64/nginx/modules \ 
--conf-path=/etc/nginx/nginx.conf \ 
--error-log-path=/var/log/nginx/error.log  \
--http-log-path=/var/log/nginx/access.log  \
--pid-path=/var/run/nginx.pid  \
--lock-path=/var/run/nginx.lock  \
--http-client-body-temp-path=/var/cache/nginx/client_temp  \
--http-proxy-temp-path=/var/cache/nginx/proxy_temp  \
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp  \
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp  \
--http-scgi-temp-path=/var/cache/nginx/scgi_temp  \
--user=nginx  \
--group=nginx  \
--with-compat  \
--with-file-aio  \
--with-threads  \
--with-http_addition_module  \
--with-http_auth_request_module  \
--with-http_dav_module  \
--with-http_flv_module  \
--with-http_gunzip_module  \
--with-http_gzip_static_module  \
--with-http_mp4_module  \
--with-http_random_index_module  \
--with-http_realip_module  \
--with-http_secure_link_module  \
--with-http_slice_module  \
--with-http_ssl_module  \
--with-http_stub_status_module  \
--with-http_sub_module  \
--with-http_v2_module  \
--with-mail  \
--with-mail_ssl_module  \
--with-stream  \
--with-stream_realip_module  \
--with-stream_ssl_module  \
--with-stream_ssl_preread_module  \
--with-openssl=/usr/src/openssl  \
--with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong  \
--param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC'  \
--with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

make -j4
make install

Nüüd on Ningx installinud ja kompileerinud koos uusima versiooniga OpenSSL võimeline toetama TLSV1.3.

[root@north bin]# nginx -V
nginx version: nginx/1.22.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.1.1p  21 Jun 2022
TLS SNI support enabled

*Kui Nginx oli serverisse juba installitud, peate selle desinstallima. Komponeerimine ei toimi Ninxi versiooniuuenduses.

Kuidas aktiveerida TLSV1.3 väljade jaoks vestacp -is

Failis /etc/nginx/nginx.conf Lisame järgmised read:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';

Domeenide tasemel muutsin mallides midagi VestaCP ja HTTP/2 aktiveerimine. Nii et kui lisate uue domeeni (näide.com), on Actypt Activeeritud, on mul järgmine SSL -konfiguratsioonifail:

cat /home/vestacpuser/conf/web/example.com.nginx.ssl.conf 

server {
    listen      IP.IP.IP.IP:443 ssl http2;
    server_name example.com www.example.com;
    root        /home/vestacpuser/web/example.com/public_html;
    index       index.php index.html index.htm;
    access_log  /var/log/nginx/domains/example.com.log combined;
    access_log  /var/log/nginx/domains/example.com.bytes bytes;
    error_log   /var/log/nginx/domains/example.com.error.log error;

    ssl_certificate      /home/vestacpuser/conf/web/ssl.example.com.pem;
    ssl_certificate_key  /home/vestacpuser/conf/web/ssl.example.com.key;

....

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';

Enne Nginxi taaskäivitamist on hea enne selle konfiguratsiooni testimist.

[root@north web]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@north web]# systemctl restart nginx

Loodan, et see õpetus on teile kasulik ja kui teil ei õnnestu, jätke probleemi üksikasjad kommentaaridesse.