Différences

Ci-dessous, les différences entre deux révisions de la page.

--- kb:linux:nginx:nginx_avec_tlsv1.3_sous_debian [2019/03/11 15:46] – créée beu
+++ kb:linux:nginx:nginx_avec_tlsv1.3_sous_debian [2019/03/11 16:22] – beu
@@ Ligne 23: / Ligne 23: @@
 </code>
+==== Installation de OpenSSL depuis le dépot de Sury ====
+OpenSSL 1.1.1 n'est pas dans les dépots officiel de Debian, mais dans le dépot d'un certain [[https://deb.sury.org/|Sury]] (Maintener de Debian depuis l'année 2000), au coté notamment de PHP 7.3 par exemple.
+Pour configurer son dépôt il faut commencer par installer apt-transport-https :
+<code bash>
+# apt -y install apt-transport-https
+</code>
+puis récupérer la clé publique du dépôt :
+<code bash>
+# wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
+</code>
+ajouter le dépot :
+<code bash >
+# echo "deb https://packages.sury.org/php/ stretch main" > /etc/apt/sources.list.d/php.list
+</code>
+Mettre a jour les dépots et mettre a jour le système :
+<code bash>
+# apt update && apt dist-upgrade -y
+</code>
+==== Configuration de Nginx ====
+Il vous faudra configurer Nginx comme ceci afin d'activer le TLSv1.3 ainsi que les bonnes pratiques :
+<code config nginx.conf [enable_line_numbers="true", start_line_numbers_at="30"]>
+        ##
+        # SSL Settings
+        ##
+        ssl_protocols TLSv1.2 TLSv1.3;
+        ssl_prefer_server_ciphers on;
+        ssl_ecdh_curve secp384r1:prime256v1;
+        ssl_ciphers  ECDHE-ECDSA-AES128-GCM-SHA512:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305-D:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
+        ssl_session_timeout  10m;
+        ssl_session_cache shared:SSL:9m;
+        ssl_session_tickets off;
+        ssl_stapling on;
+        ssl_stapling_verify on;
+</code>
+et pour finir redémarrer nginx
+<code bash>
+# systemctl restart nginx
+</code>