Nginx支持TLS1.3部署详解
早就听说有TLS1.3了,一直心痒痒,想折腾折腾试试。以前浏览器支持的不多,网上也没太多人试过,不太敢趟雷。现在有一些大型网站网站已经弄上了TLS1.3,也有不少博主给自己的博客升级了TLS1.3了,留下了宝贵的经验。我也忍不住了,今天就来折腾一下看看。Openssl 1.1.1 LTS已经发布,更新一下TLS1.3正式版。
软件版本
◦Nginx: nginx-1.15.4
◦OpenSSL: openssl-1.1.1(LTS)
教程
安装依赖
sudo apt update
sudo apt install -y build-essential libpcre3 libpcre3-dev zlib1g-dev liblua5.1-dev libluajit-5.1-dev libgeoip-dev google-perftools libgoogle-perftools-dev
下载并解压所需软件
wget https://nginx.org/download/nginx-1.15.4.tar.gz
tar zxf nginx-1.15.4.tar.gz
wget https://www.openssl.org/source/openssl-1.1.1.tar.gz
tar zxf openssl-1.1.1.tar.gz
OpenSSL打补丁
pushd openssl-1.1.1
#打TLS1.3 Draft 23, 26, 28, Final补丁
curl https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-equal-1.1.1_ciphers.patch | patch -p1
#打ignore Strict-SNI log补丁
curl https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-ignore_log_strict-sni.patch | patch -p1
popd
Nginx补丁
pushd nginx-1.15.4
#打SPDY, HTTP2 HPACK, Dynamic TLS Record, Fix Http2 Push Error, PRIORITIZE_CHACHA补丁
curl https://raw.githubusercontent.com/kn007/patch/43f2d869b209756b442cfbfa861d653d993f16fe/nginx.patch | patch -p1
curl https://raw.githubusercontent.com/kn007/patch/c59592bc1269ba666b3bb471243c5212b50fd608/nginx_auto_using_PRIORITIZE_CHACHA.patch | patch -p1
#打Strict-SNI补丁
curl https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/nginx_strict-sni.patch | patch -p1
popd
编译安装Nginx
如果原本编译安装过Nginx,可以输入nginx -V,查看以前的configure配置。在后面加上所需参数进行编译。
关键参数:
◦添加--with-openssl=../openssl-1.1.1来指定OpenSSL路径
◦HTTP2 HPACK需要加入--with-http_v2_hpack_enc参数。
◦SPDY需要加入--with-http_spdy_module
注意将--with-openssl参数改为自己的OpenSSL文件夹地址。
我的完整configure命令如下,请类比进行。
cd nginx-1.15.4
./configure \
--user=www \
--group=www \
--prefix=/usr/local/nginx \
--with-http_stub_status_module \
--with-threads \
--with-file-aio \
--with-pcre-jit \
--with-http_ssl_module \
--with-http_v2_module \
--with-http_gzip_static_module \
--with-http_sub_module \
--with-http_flv_module \
--with-http_mp4_module \
--with-http_gunzip_module \
--with-http_realip_module \
--with-http_addition_module \
--with-stream \
--with-stream_ssl_module \
--with-stream_ssl_preread_module \
--with-stream_realip_module \
--with-http_slice_module \
--with-http_geoip_module \
--with-google_perftools_module \
--with-openssl=../openssl-1.1.1 \
--with-http_v2_hpack_enc \
--with-http_spdy_module
configure完成后,输入以下语句开始编译。
make
编译完成后,如果没有报错,输入以下内容进行安装。
make install
配置Nginx虚拟主机
将以下内容加入你的conf文件的相应位置,替换掉原本的相应内容。由于安全性升级的考虑,我删除了TLS1和TLS1.1。除此以外,TLS1.3的新加密套件只能在TLS1.3中使用,旧的加密套件不能用于TLS1.3。似乎所有虚拟主机都要配置才能使用TLS1.3。
ssl_early_data on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers [TLS13+AESGCM+AES128|TLS13+AESGCM+AES256|TLS13+CHACHA20]:[EECDH+ECDSA+AESGCM+AES128|EECDH+ECDSA+CHACHA20]:EECDH+ECDSA+AESGCM+AES256:EECDH+ECDSA+AES128+SHA:EECDH+ECDSA+AES256+SHA:[EECDH+aRSA+AESGCM+AES128|EECDH+aRSA+CHACHA20]:EECDH+aRSA+AESGCM+AES256:EECDH+aRSA+AES128+SHA:EECDH+aRSA+AES256+SHA:RSA+AES128+SHA:RSA+AES256+SHA:RSA+3DES;
ssl_ecdh_curve X25519:P-256:P-384;
ssl_prefer_server_ciphers on;
最后使用nginx -t测试nginx配置的正确性。
成功
重启Nginx,你会发现你的网站已经是TLS1.3连接了。
一点问题
我原本使用的是Nginx 1.14.0,现在升级到了1.15.4,配置文件可能会报以下警告。当然,由于只是警告,并不会影响运行,只是我强迫症受不了。
nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /usr/local/nginx/conf/vhost/www.iszy.me.conf:22
这是由于在主线版本v1.15.0以后,弃用了ssl标识。官方原话是这样的:
The “ssl” directive is deprecated; the “ssl” parameter of the “listen” directive should be used instead.
解决方案很简单,只需要删除配置文件中的ssl on语句,采用listen语句替代,如listen 443 ssl。原本就使用listen 443 ssl语句的就更简单了,直接删除ssl on语句即可。
后话
好了,到这里,教程算是结束了。OpenSSL 1.1.1 LTS已经正式发布了,TLS1.3也已经正式公布。现阶段,Nginx、Apache等主流web服务器还没有官方支持,还需要通过打补丁的方式进行支持。期待TLS1.3全面铺开后对网络隐私和抗审查作出的贡献。