TLS 1.3是传输层安全性(TLS)协议的最新版本,它基于现有的1.2规范和适当的IETF标准:RFC 8446.它提供了比其前代产品更强的安全性和更高的性能改进。
在本文中,我们将向您展示获取有效TLS证书的分步指南,并在Apache或Nginx Web服务器上托管的域上启用最新的TLS 1.3版本协议。
要求:
Apache 2.4.37或更高版本。
Nginx版本1.13.0或更高版本。
OpenSSL 1.1.1或更高版本。
具有正确配置的DNS记录的有效域名。
有效的TLS证书。
从Let's Encrypt安装TLS证书
要从Let's Encrypt获取免费的SSL证书,您需要在Linux系统上安装Acme.sh客户端以及一些所需的软件包,如图所示。
# apt install -y socat git [在 Debian/Ubuntu 上]
# dnf install -y socat git [在 RHEL/CentOS/Fedora 上]
# mkdir /etc/letsencrypt
# git clone https://github.com/Neilpang/acme.sh.git
# cd acme.sh
# ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
# cd ~
# /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256
注意:使用您的真实域名替换上述命令中的example.com。
安装SSL证书后,您可以继续在您的域上启用TLS 1.3,如下所述。
在Nginx上启用TLS 1.3
正如我在上面的要求中提到的那样,从Nginx 1.13版本开始支持TLS 1.3。 如果您运行的是较旧的Nginx版本,则需要先升级到最新版本。
# apt install nginx
# yum install nginx
检查编译Nginx的Nginx版本和OpenSSL版本(确保nginx版本至少为1.14,openssl版本为1.1.1)。
# nginx -V
样例输出
nginx version: nginx/1.14.1
built by gcc 8.2.1 20180905 (Red Hat 8.2.1-3) (GCC)
built with OpenSSL 1.1.1 FIPS 11 Sep 2018
TLS SNI support enabled
....
现在启动,启用并验证nginx安装。
# systemctl start nginx.service
# systemctl enable nginx.service
# systemctl status nginx.service
现在使用您喜欢的编辑器打开nginx vhost配置/etc/nginx/conf.d/example.com.conf文件。
# vi /etc/nginx/conf.d/example.com.conf
并找到ssl_protocols指令并在行尾添加TLSv1.3,如下所示
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com;
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
}
最后,验证配置并重新加载Nginx。
# nginx -t
# systemctl reload nginx.service
从Apache 2.4.37开始,您可以利用TLS 1.3。 如果您运行的是旧版本的Apache,则需要先升级到最新版本。
# apt install apache2
# yum install httpd
安装后,您可以验证Apache和编译Apache的OpenSSL版本。
# httpd -V
# openssl version
现在启动,启用并验证nginx安装。
-------------- 在Debian/Ubuntu 上--------------
# systemctl start apache2.service
# systemctl enable apache2.service
# systemctl status apache2.service
-------------- 在 RHEL/CentOS/Fedora上 --------------
# systemctl start httpd.service
# systemctl enable httpd.service
# systemctl status httpd.service
现在使用您喜欢的编辑器打开Apache虚拟主机配置文件。
# vi /etc/httpd/conf.d/vhost.conf
或者
# vi /etc/apache2/apache2.conf
并找到ssl_protocols指令并在行尾添加TLSv1.3,如下所示。
<VirtualHost *:443>
SSLEngine On
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;