Outils pour utilisateurs

Outils du site


kb:linux:nginx:nginx_avec_tlsv1.3_sous_debian_stretch

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision
Révision précédente
kb:linux:nginx:nginx_avec_tlsv1.3_sous_debian [2019/03/11 15:46] – créée beukb:linux:nginx:nginx_avec_tlsv1.3_sous_debian [2019/09/23 20:03] (Version actuelle) beu
Ligne 1: Ligne 1:
-======= Nginx avec TLSv1.3 sous Debian ======+======= Nginx avec TLSv1.3 sous Debian Stretch======
  
 Pour cela, il va vous falloir Nginx 1.13 ou plus, et OpenSSL 1.1.1 ou plus. Pour cela, il va vous falloir Nginx 1.13 ou plus, et OpenSSL 1.1.1 ou plus.
Ligne 23: Ligne 23:
 </code> </code>
  
 +==== Installation de OpenSSL depuis le dépot de Sury ====
  
 +OpenSSL 1.1.1 n'est pas dans les dépots officiel de Debian, mais dans le dépot d'un certain [[https://deb.sury.org/|Sury]] (Maintener de Debian depuis l'année 2000), au coté notamment de PHP 7.3 par exemple.
 +
 +Pour configurer son dépôt il faut commencer par installer apt-transport-https :
 +
 +<code bash>
 +# apt -y install apt-transport-https
 +</code>
 +
 +puis récupérer la clé publique du dépôt :
 +
 +<code bash>
 +# wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
 +</code>
 +
 +ajouter le dépot :
 +
 +<code bash >
 +# echo "deb https://packages.sury.org/php/ stretch main" > /etc/apt/sources.list.d/php.list
 +</code>
 +
 +Mettre a jour les dépots et mettre a jour le système :
 +
 +<code bash>
 +# apt update && apt dist-upgrade -y
 +</code>
 +
 +==== Configuration de Nginx ====
 +
 +Il vous faudra configurer Nginx comme ceci afin d'activer le TLSv1.3 ainsi que les bonnes pratiques : 
 +
 +
 +<code config nginx.conf [enable_line_numbers="true", start_line_numbers_at="30"]>
 +        ##
 +        # SSL Settings
 +        ##
 +
 +        ssl_protocols TLSv1.2 TLSv1.3;
 +        ssl_prefer_server_ciphers on;
 +        ssl_ecdh_curve secp384r1:prime256v1;
 +        ssl_ciphers  ECDHE-ECDSA-AES128-GCM-SHA512:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305-D:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
 +        ssl_session_timeout  10m;
 +        ssl_session_cache shared:SSL:9m;
 +        ssl_session_tickets off;
 +        ssl_stapling on;
 +        ssl_stapling_verify on;
 +</code>
 +
 +et pour finir redémarrer nginx
 +
 +<code bash>
 +# systemctl restart nginx
 +</code>
kb/linux/nginx/nginx_avec_tlsv1.3_sous_debian_stretch.1552319193.txt.gz · Dernière modification : 2019/03/11 15:46 de beu