V tomto tutoriálu vám ukážeme, jak povolit TLS 1.3 na Apache a Nginx. Pro ty z vás, kteří to nevěděli, TLS 1.3 zvyšuje zabezpečení vašich webových serverů pomocí nejnovějšího zabezpečení protokoly. Nejnovější TLS 1.3 je podporován všemi hlavními prohlížeči, takže nedojde k žádným problémům s kompatibilitou. Použitím TLS 1.3 poskytuje lepší zabezpečení a nejvyšší rychlost než všechny předchozí verze TLS.
Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete svůj web na vlastním VPS. Instalace je poměrně jednoduchá a předpokládá, že běží v účtu root, pokud ne, možná budete muset přidat 'sudo
‘ k příkazům pro získání oprávnění root. Ukážu vám krok za krokem aktivaci zabezpečení transportní vrstvy (TLS) na webových serverech Apache a Nginx.
Předpoklady
- Server s jedním z následujících operačních systémů:Ubuntu nebo CentOS Linux.
- Abyste předešli případným problémům, doporučujeme použít novou instalaci operačního systému.
non-root sudo user
nebo přístup kroot user
. Doporučujeme jednat jakonon-root sudo user
, protože však můžete poškodit svůj systém, pokud nebudete při jednání jako root opatrní.
Povolte TLS 1.3 na Apache a Nginx
Krok 1. Povolte TLS 1.3 na webovém serveru Apache a Nginx.
- Povolte TLS 1.3 na Nginx.
Chcete-li povolit TLS 1.3 v Nginx, budete muset splnit následující požadavky:
- Verze Nginx
1.13.0
nebo vyšší vytvořené proti OpenSSL 1.1.1 nebo vyšší. - Platný certifikát TLS nebo certifikát s vlastním podpisem. Můžete získat zdarma jeden od Let’s Encrypt.
Nyní přejděte na nginx.conf
soubor a editaci konfiguračního souboru Nginx po vyhledání daných direktiv:
nano /etc/nginx/nginx.conf
Najděte dané řádky uvnitř bloku serveru:
ssl_protocols TLSv1.1 TLSv1.2;
Je třeba jej nahradit danými řádky:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
Nakonec restartujte svůj Nginx:
sudo systemctl restart nginx
- Povolte TLS 1.3 na Apache.
Nyní nacházíme soubor ssl.conf
soubor a začněte jej upravovat, vyhledejte níže uvedené směrnice:
nano /etc/httpd/conf.d/ssl.conf
Stačí najít dané řádky v konfiguračních souborech:
SSLProtocol -all +TLSv1.2
Úplně upravte daný řádek, jak je uvedeno níže:
SSLProtocol -all +TLSv1.2 +TLSv1.3
Potom restartujte webový server Apache, abyste použili změny:
systemctl restart httpd.service
Krok 2. Ověřte, zda váš server používá TLS 1.3.
Jakmile na svém webovém serveru úspěšně povolíte TLS 1.3, měli byste vždy zkontrolovat, zda je správně nastavená konfigurace. Chceme představit několik nástrojů světové třídy které auditují váš server a poskytují přesnou zprávu.
- SSL Labs:SSL Lab je jednou z bezplatných online služeb, která provádí hlubokou analýzu konfigurací SSL libovolných webových serverů na internetu a sdílí mezery v konfiguraci. Tuto službu může využít každý kamarád k vyřešení problému zachyceného ve zprávě o analýze.
- DigiCert:DigiCertis další populární online služba, která nabízí podobné služby jako SSL Labs.
Blahopřejeme! Úspěšně jste povolili TLS 1.3. Děkujeme, že jste použili tento návod k povolení Povolit TLS 1.3 ve vašem systému Linux.