அப்பாச்சி மற்றும் என்ஜின்க்ஸில் டி.எல்.எஸ் 1.3 ஐ எவ்வாறு இயக்குவது
டி.எல்.எஸ் 1.3 என்பது போக்குவரத்து அடுக்கு பாதுகாப்பு (டி.எல்.எஸ்) நெறிமுறையின் சமீபத்திய பதிப்பாகும், இது தற்போதுள்ள 1.2 விவரக்குறிப்புகளை முறையான ஐ.இ.டி.எஃப் தரத்துடன் அடிப்படையாகக் கொண்டது: ஆர்.எஃப்.சி 8446. இது அதன் முன்னோடிகளை விட வலுவான பாதுகாப்பு மற்றும் அதிக செயல்திறன் மேம்பாடுகளை வழங்குகிறது.
இந்த கட்டுரையில், செல்லுபடியாகும் TLS சான்றிதழைப் பெறுவதற்கான ஒரு படிப்படியான வழிகாட்டியை நாங்கள் உங்களுக்குக் காண்பிப்போம், மேலும் அப்பாச்சி அல்லது Nginx வலை சேவையகங்களில் ஹோஸ்ட் செய்யப்பட்ட உங்கள் டொமைனில் சமீபத்திய TLS 1.3 பதிப்பு நெறிமுறையை இயக்குவோம்.
- அப்பாச்சி பதிப்பு 2.4.37 அல்லது அதற்கு மேற்பட்டது.
- Nginx பதிப்பு 1.13.0 அல்லது அதற்கு மேற்பட்டது.
- OpenSSL பதிப்பு 1.1.1 அல்லது அதற்கு மேற்பட்டது.
- சரியாக உள்ளமைக்கப்பட்ட டிஎன்எஸ் பதிவுகளுடன் செல்லுபடியாகும் டொமைன் பெயர்.
- செல்லுபடியாகும் TLS சான்றிதழ்.
Lets Encrypt இலிருந்து TLS சான்றிதழை நிறுவவும்
Lets Encrypt இலிருந்து இலவச SSL சான்றிதழைப் பெற, நீங்கள் Acme.sh கிளையண்டையும், லினக்ஸ் கணினியில் தேவையான சில தொகுப்புகளையும் நிறுவ வேண்டும்.
# apt install -y socat git [On Debian/Ubuntu] # dnf install -y socat git [On RHEL/CentOS/Fedora] # mkdir /etc/letsencrypt # git clone https://github.com/Neilpang/acme.sh.git # cd acme.sh # ./acme.sh --install --home /etc/letsencrypt --accountemail [email # cd ~ # /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048 # /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256
குறிப்பு: மேலே உள்ள கட்டளையில் example.com ஐ உங்கள் உண்மையான டொமைன் பெயருடன் மாற்றவும்.
நீங்கள் SSL சான்றிதழை நிறுவியவுடன், கீழே விவரிக்கப்பட்டுள்ளபடி உங்கள் களத்தில் TLS 1.3 ஐ இயக்க மேலும் தொடரலாம்.
Nginx இல் TLS 1.3 ஐ இயக்கவும்
மேலே உள்ள தேவைகளில் நான் குறிப்பிட்டுள்ளபடி, அந்த TLS 1.3 Nginx 1.13 பதிப்பிலிருந்து தொடங்கி ஆதரிக்கப்படுகிறது. நீங்கள் பழைய Nginx பதிப்பை இயக்குகிறீர்கள் என்றால், முதலில் நீங்கள் சமீபத்திய பதிப்பிற்கு மேம்படுத்த வேண்டும்.
# apt install nginx # yum install nginx
Nginx பதிப்பு மற்றும் Nginx தொகுக்கப்பட்ட OpenSSL பதிப்பைச் சரிபார்க்கவும் (nginx பதிப்பு குறைந்தது 1.14 மற்றும் openssl பதிப்பு 1.1.1 என்பதை உறுதிப்படுத்தவும்).
# nginx -V
nginx version: nginx/1.14.1 built by gcc 8.2.1 20180905 (Red Hat 8.2.1-3) (GCC) built with OpenSSL 1.1.1 FIPS 11 Sep 2018 TLS SNI support enabled ....
இப்போது nginx நிறுவலைத் தொடங்கவும், இயக்கவும் மற்றும் சரிபார்க்கவும்.
# systemctl start nginx.service # systemctl enable nginx.service # systemctl status nginx.service
இப்போது உங்களுக்கு பிடித்த எடிட்டரைப் பயன்படுத்தி nginx vhost உள்ளமைவு /etc/nginx/conf.d/example.com.conf கோப்பைத் திறக்கவும்.
# vi /etc/nginx/conf.d/example.com.conf
ssl_protocols உத்தரவைக் கண்டுபிடித்து, கீழே காட்டப்பட்டுள்ளபடி வரியின் முடிவில் TLSv1.3 ஐச் சேர்க்கவும்
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com;
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
}
இறுதியாக, உள்ளமைவைச் சரிபார்த்து, Nginx ஐ மீண்டும் ஏற்றவும்.
# nginx -t # systemctl reload nginx.service
அப்பாச்சியில் TLS 1.3 ஐ இயக்கவும்
அப்பாச்சி 2.4.37 இலிருந்து தொடங்கி, நீங்கள் டி.எல்.எஸ் 1.3 ஐப் பயன்படுத்திக் கொள்ளலாம். நீங்கள் அப்பாச்சியின் பழைய பதிப்பை இயக்குகிறீர்கள் என்றால், முதலில் நீங்கள் சமீபத்திய பதிப்பிற்கு மேம்படுத்த வேண்டும்.
# apt install apache2 # yum install httpd
நிறுவப்பட்டதும், அப்பாச்சி தொகுக்கப்பட்ட அப்பாச்சி மற்றும் ஓபன்எஸ்எஸ்எல் பதிப்பை நீங்கள் சரிபார்க்கலாம்.
# httpd -V # openssl version
இப்போது nginx நிறுவலைத் தொடங்கவும், இயக்கவும் மற்றும் சரிபார்க்கவும்.
-------------- On Debian/Ubuntu -------------- # systemctl start apache2.service # systemctl enable apache2.service # systemctl status apache2.service -------------- On RHEL/CentOS/Fedora -------------- # systemctl start httpd.service # systemctl enable httpd.service # systemctl status httpd.service
இப்போது உங்களுக்கு பிடித்த எடிட்டரைப் பயன்படுத்தி அப்பாச்சி மெய்நிகர் ஹோஸ்ட் உள்ளமைவு கோப்பைத் திறக்கவும்.
# vi /etc/httpd/conf.d/vhost.conf OR # vi /etc/apache2/apache2.conf
ssl_protocols உத்தரவைக் கண்டறிந்து, கீழே காட்டப்பட்டுள்ளபடி வரியின் முடிவில் TLSv1.3 ஐச் சேர்க்கவும்.
<VirtualHost *:443>
SSLEngine On
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
ServerAdmin [email
ServerName www.example.com
ServerAlias example.com
#DocumentRoot /data/httpd/htdocs/example.com/
DocumentRoot /data/httpd/htdocs/example_hueman/
# Log file locations
LogLevel warn
ErrorLog /var/log/httpd/example.com/httpserror.log
CustomLog "|/usr/sbin/rotatelogs /var/log/httpd/example.com/httpsaccess.log.%Y-%m-%d 86400" combined
</VirtualHost>
இறுதியாக, உள்ளமைவைச் சரிபார்த்து அப்பாச்சியை மீண்டும் ஏற்றவும்.
-------------- On Debian/Ubuntu -------------- # apache2 -t # systemctl reload apache2.service -------------- On RHEL/CentOS/Fedora -------------- # httpd -t # systemctl reload httpd.service
தளம் TLS 1.3 ஐ பயன்படுத்துகிறது என்பதை சரிபார்க்கவும்
ஒரு வலை சேவையகம் மூலம் நீங்கள் கட்டமைக்கப்பட்டதும், Chrome 70+ பதிப்பில் குரோம் உலாவி மேம்பாட்டுக் கருவிகளைப் பயன்படுத்தி உங்கள் தளம் TLS 1.3 நெறிமுறைக்கு மேல் கைகுலுக்கிறதா என்பதை நீங்கள் சரிபார்க்கலாம்.
அவ்வளவுதான். அப்பாச்சி அல்லது என்ஜினக்ஸ் வலை சேவையகங்களில் ஹோஸ்ட் செய்யப்பட்ட உங்கள் டொமைனில் TLS 1.3 நெறிமுறையை வெற்றிகரமாக இயக்கியுள்ளீர்கள். இந்த கட்டுரையைப் பற்றி ஏதேனும் கேள்விகள் இருந்தால், கீழேயுள்ள கருத்துப் பிரிவில் கேட்க தயங்க.