SXG uzantılarıyla TLS sertifikası oluşturma, SXG dosyaları oluşturmak için araçları yükleme ve nginx'i SXG dosyaları sunacak şekilde yapılandırma.
İmzalanmış HTTP Takası (SXG), kullanıcıların içerik üreticileri içerik dağıtımcılarından ayırt etmesini kolaylaştıran yeni bir web teknolojisidir. Bu kılavuzda SXG'nin nasıl ayarlanacağı gösterilmektedir.
Tarayıcılar arası destek
Google Chrome, Samsung Internet ve Microsoft Edge gibi Chromium tabanlı tarayıcılar SXG'yi destekler. Daha güncel bilgi için Kaynak İmzalı HTTP Takasları'nın mutabakat ve standartlaştırma bölümüne bakın.
Ön koşullar
SXG'yi web sitenizde uygulamak için şunları yapmanız gerekir:
- DNS girişleri de dahil olmak üzere alanınız üzerinde denetim sahibi olun.
- Sertifikaları alın. SXG, özel bir sertifika verilmesini gerektirir. Özellikle, TLS anahtarınızı veya sertifikanızı yeniden kullanamazsınız.
- HTTPS üzerinden SXG oluşturup sunabilen bir HTTP sunucusuna sahip olmalısınız.
Varsayımlar
Bu kılavuzda, aşağıdakilerin olduğu varsayılmaktadır:
- OpenSSL 1.1.1 ortamına sahip olmak. Bu kılavuz, amd64 ISA üzerinde Ubuntu 18.04 LTS ile yazılmıştır.
- Yürütülebilir dosyaları yüklemek için
sudo
çalıştırma yeteneğine sahip olun. nginx
'yi HTTP sunucusu olarak kullanın.- Şu anda bu uzantıları destekleyen tek sağlayıcı göründüğünden, SXG ile ilgili uzantılar içeren sertifikalar oluşturmak için DigiCert'i kullanıyorsanız.
Ayrıca, bu makaledeki örnek komutlarda alan adınızın website.test
olduğu varsayılır. Bu nedenle website.test
kısmını gerçek alan adınızla değiştirmeniz gerekir.
1. Adım: SXG sertifikanızı alın
SXG oluşturmak için CanSignHttpExchanges
uzantısına sahip bir TLS sertifikasının yanı sıra belirli bir anahtar türüne ihtiyacınız vardır.
DigiCert, bu uzantıyla sertifikalar sağlar.
Bir sertifikanın verilmesi için bir CSR dosyasına ihtiyacınız vardır, bu nedenle aşağıdaki komutlarla bu dosyayı oluşturun:
openssl ecparam -genkey -name prime256v1 -out mySxg.key
openssl req -new -key mySxg.key -nodes -out mySxg.csr -subj "/O=Test/C=US/CN=website.test"
Aşağıdakine benzer bir CSR dosyası alırsınız:
-----BEGIN CERTIFICATE REQUEST-----
MIHuMIGVAgEAMDMxDTALBgNVBAoMBFRlc3QxCzAJBgNVBAYTAlVTMRUwEwYDVQQD
DAx3ZWJzaXRlLnRlc3QwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAAS7IVaeMvid
S5UO7BspzSe5eqT5Qk6X6dCggUiV/vyqQaFDjA/ALyTofgXpbCaksorPaDhdA+f9
APdHWkTbbdv1oAAwCgYIKoZIzj0EAwIDSAAwRQIhAIb7n7Kcc6Y6pU3vFr8SDNkB
kEadlVKNA24SVZ/hn3fjAiAS2tWXhYdJX6xjf2+DL/smB36MKbXg7VWy0K1tWmFi
Sg==
-----END CERTIFICATE REQUEST-----
Aşağıdakilerden emin olun:
- Geçerlilik süresi 90 günü geçmez.
- Ek Sertifika Seçenekleri altında bulunan CanSignHttpExchanges uzantısını sertifikaya ekle onay kutusu etkindir.
Sertifikanız bu koşullarla eşleşmezse tarayıcılar ve dağıtımcılar güvenlik nedeniyle SXG'nizi reddeder.
Bu kılavuzda, DigiCert'den aldığınız sertifikanın dosya adının mySxg.pem
olduğu varsayılmaktadır.
2. Adım: libsxg
uygulamasını yükleyin
SXG biçimi karmaşıktır ve araç kullanmadan üretilmesi zordur. SXG oluşturmak için aşağıdaki seçeneklerden birini kullanabilirsiniz:
- Go'da yazılan gen-signedexchange aracı.
- C'de yazılmış
libsxg
kitaplığı.
Bu rehber libsxg
dilini kullanmaktadır.
1. Seçenek: libsxg
ürününü Debian paketinden yükleme
OpenSSL (libssl-dev
) sürümü eşleştiği sürece paketi her zamanki Debian yöntemini kullanarak yükleyebilirsiniz.
sudo apt install -y libssl-dev
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg0_0.2-1_amd64.deb
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg-dev_0.2-1_amd64.deb
sudo dpkg -i libsxg0_0.2-1_amd64.deb
sudo dpkg -i libsxg-dev_0.2-1_amd64.deb
2. Seçenek: libsxg
öğesini manuel olarak oluşturma
.deb
dosyalarıyla uyumlu bir ortam kullanmıyorsanız libsxg
dosyasını kendiniz oluşturabilirsiniz.
Ön koşul olarak git
, cmake
, openssl
ve gcc
uygulamalarını yüklemeniz gerekir.
git clone https://github.com/google/libsxg
mkdir libsxg/build
cd libsxg/build
cmake .. -DRUN_TEST=false -DCMAKE_BUILD_TYPE=Release
make
sudo make install
3. Adım: nginx
eklentisini yükleyin
nginx
eklentisi, SXG'yi sunmadan önce statik olarak oluşturmak yerine dinamik olarak oluşturmanıza olanak tanır.
1. Seçenek: Eklentiyi Debian paketinden yükleme
nginx
için SXG modülü GitHub'da dağıtılmıştır.
Debian tabanlı sistemlerde, ikili program paketi olarak yükleyebilirsiniz:
sudo apt install -y nginx=1.15.9-0
wget https://github.com/google/nginx-sxg-module/releases/download/v0.1/libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb
sudo dpkg -i libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb
2. Seçenek: Eklentiyi manuel olarak oluşturma
nginx
modülünün derlenmesi için nginx
kaynak kodu gerekir.
Aşağıdaki komutları kullanarak tarball'u alıp SXG dinamik modülüyle birlikte oluşturabilirsiniz:
git clone https://github.com/google/nginx-sxg-module
wget https://nginx.org/download/nginx-1.17.5.tar.gz
tar xvf nginx-1.17.5.tar.gz
cd nginx-1.17.5
./configure --prefix=/opt/nginx --add-dynamic-module=../nginx-sxg-module --without-http_rewrite_module --with-http_ssl_module
make
sudo make install
nginx
yapılandırması son derece esnektir.
Sisteminizde herhangi bir yere nginx
yükleyin, ardından ilgili module/config/log/pidfile
yolunu belirtin.
Bu kılavuzda, /opt/nginx
ürününe yüklediğiniz varsayılmaktadır.
4. Adım: nginx
eklentisini SXG ile çalışacak şekilde yapılandırın
1. seçenek: Debian'dan yüklenen nginx
modülü yapılandırma
Daha önce 3. Adım, 1. Seçeneği kullandıysanız bu talimatları uygulayın.
SXG içeriği yayınlamak için HTTPS gerekir. DigiCert, Let's Encrypt ve diğer hizmetlerden SSL/TLS sertifikası alabilirsiniz. SSL için SXG sertifikası kullanamadığınızı veya SSL için SXG sertifikasını kullanamayacağınızı unutmayın. Bu nedenle, iki sertifikaya ihtiyacınız olacaktır. SSL anahtar/sertifika çiftini /path/to/ssl/
ve SXG anahtar/sertifika çiftini /path/to/sxg/
listesine eklediğiniz varsayıldığında, /etc/nginx/nginx.conf
içindeki yapılandırma dosyası aşağıdakine benzer olacaktır:
user www-data;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 768;
}
http {
include mime.types;
default_type application/octet-stream;
add_header X-Content-Type-Options nosniff;
server {
listen 443 ssl;
ssl_certificate /path/to/ssl/fullchain.pem;
ssl_certificate_key /path/to/ssl/privkey.pem;
server_name website.test;
sxg on;
sxg_certificate /path/to/sxg/mySxg.pem;
sxg_certificate_key /path/to/sxg/mySxg.key;
sxg_cert_url https://website.test/certs/cert.cbor;
sxg_validity_url https://website.test/validity/resource.msg;
sxg_cert_path /certs/cert.cbor;
root /var/www/html;
}
}
sxg_cert_url
, sertifika zincirini bulduğundan tarayıcıların SXG'yi düzgün bir şekilde yüklemesi için gereklidir. Sertifika zinciri, cbor biçimindeki sertifika ve OCSP zımbalama bilgilerini içerir. Aynı kaynaktancert.cbor
dosyasını sunmanız gerekmediğini unutmayın. HTTPS'yi desteklediği sürece herhangi bir CDN'ler veya diğer statik dosya sunma hizmetleri aracılığıyla yayınlayabilirsiniz.sxg_validitiy_url
öğesinin, SXG-imza-başlık ile ilgili bilgileri sunması planlanmaktadır. Bir sayfa son SXG'den bu yana değiştirilmediyse SXG dosyasının tamamının indirilmesi teknik olarak gerekmez. Bu nedenle, yalnızca imza başlığı bilgilerini güncellemenin ağ trafiğini azaltması beklenir. Ancak ayrıntılar henüz uygulanmadı.
SXG hizmeti sunmaya hazır olmak için nginx
kullanmaya başlayın.
sudo systemctl start nginx.service
curl -H"Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
cat index.html.sxg
sxg1-b3...https://website.test/...(omit)
2. Seçenek: Yerleşik bir nginx
modülü yapılandırma
Daha önce 3. Adım, 2. Seçeneği kullandıysanız bu talimatları uygulayın.
/opt/nginx
altında yüklü nginx
sisteminizi aşağıdaki örneğe benzeyecek şekilde yapılandırın:
load_module "/opt/nginx/modules/ngx_http_sxg_filter_module.so";
events {
worker_connections 768;
}
http {
include mime.types;
default_type application/octet-stream;
add_header X-Content-Type-Options nosniff;
server {
listen 443 ssl;
ssl_certificate /path/to/ssl/fullchain.pem;
ssl_certificate_key /path/to/ssl/privkey.pem;
server_name example.com;
sxg on;
sxg_certificate /path/to/sxg/mySxg.pem;
sxg_certificate_key /path/to/sxg/mySxg.key;
sxg_cert_url https://website.test/certs/cert.cbor;
sxg_validity_url https://website.test/validity/resource.msg;
sxg_cert_path /certs/cert.cbor;
root /opt/nginx/html;
}
}
Ardından nginx
uygulamasını başlatın. Artık SXG'nizi alabilirsiniz.
cd /opt/nginx/sbin
sudo ./nginx
curl -H "Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
less index.html.sxg
sxg1-b3...https://website.test/...(omit)
5. Adım: Uygulamanızın arka ucunu sunun
Yukarıdaki örneklerde nginx
, kök dizinde statik dosyalar sunar, ancak nginx
öğeniz bir ön HTTP (S) sunucusu olarak çalıştığı sürece rastgele web uygulaması arka uçları(Ruby on Rails, Django veya Express gibi) için SXG yapmak üzere uygulamalarınıza yönelik yukarı akış yönergeleri kullanabilirsiniz.
upstream app {
server 127.0.0.1:8080;
}
server {
location / {
proxy_pass http://app;
}
}
6. Adım: Test etme
Sunulan SXG'lerin doğru olduğunu test etmek, hiçbir hatanın bildirilmediğinden emin olmak ve başlıklar ile gövdenin beklendiği gibi olduğunu doğrulamak için dump-İmzalı Değişim aracını kullanın.
go get -u github.com/WICG/webpackage/go/signedexchange/cmd/dump-signedexchange
export PATH=$PATH:~/go/bin
dump-signedexchange -verify -uri https://website.test/ | less
Geri bildirim gönderin
SXG üzerinde çalışan Chromium mühendisleri, webpackage-dev@chromium.org adresinden geri bildiriminizi öğrenmek için sabırsızlanıyor. Ayrıca spesifikasyon tartışmasına katılabilir veya ekibe hata bildirebilirsiniz. Geri bildiriminiz standartlaştırma sürecine çok yardımcı olacak ve uygulama sorunlarının çözülmesine yardımcı olacaktır. Teşekkürler!