현재 Redhat 7.7 프로덕션 웹서버에서 NGINX를 실행 중이므로 답을 알 것 같지만 다시 확인하고 싶었습니다. 문제는 TLS1.3을 작동시키려고 한다는 것입니다.
아래는 내 세션의 일부입니다.
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM;
ssl_ecdh_curve secp384r1;
내 NGINX 버전은nginx -V
nginx version: nginx/1.16.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
세 번째 줄을 주목해 보면 알 수 있습니다 built with OpenSSL 1.0.2k-fips 26 Jan 2017
. 나는 그것이 문제라고 믿기 시작했습니다.
yum에 따르면 최신 버전의 openssl을 설치했습니다.
따라서 openssl 1.1.1d - 최신 버전 - (2019년 9월 10일, 5개월 전)이 필요하고 소스에서 openssl 및 NGINX를 다시 컴파일해야 합니다.
표준 Redhat yum 저장소에서 다시 컴파일하지 않고 이를 수행할 수 있는 방법이 있습니까? "openssl 1.1.1" 및 openssl 1.1.1로 컴파일된 NGINX 버전이 언제 표준 Redhat Repo에 포함될지 아는 사람이 있습니까?
답변1
것 같다TLS 1.3은 RHEL 8에서 공식적으로 제공됩니다..
다른 사람이 이미 이 작업을 수행하지 않은 한, RHEL 7에서 실행하려면 앞서 언급한 대로 openssl
다시 컴파일해야 합니다.nginx
당신이 사용할 수있는공식 Nginx Docker 컨테이너내 기억으로는 한동안 TLS 1.3용으로 구축되어 왔습니다.
답변2
패키지 설치는 다음을 통해 수행할 수 있습니다.NGINX-MOD(단, 이는 구독 소프트웨어입니다.)
최신 OpenSSL과 다양한 Cloudflare 성능 패치로 컴파일된 안정적인 NGINX 패키지입니다.
동일한 저장소에서 ModSecurity 모듈, Brotli 모듈 및 30개 이상의 동적 모듈을 설치할 수도 있습니다. 각 모듈에는 자체 패키지가 있으며 정기적으로 업데이트됩니다.