Как да активирате HTTP/2 на Plesk сървър

Plesk има собствена поддръжка на HTTP/2. Процесът на внедряване изисква внимателно планиране, въпреки че внедряването на HTTP/2 на Plesk е много по-лесно в сравнение с други контролни панели. Това ръководство се отнася за различни операционни системи. Предоставените тук стъпки ще работят, стига да имате достатъчно версии на Plesk и OpenSSL. Ще опиша тези изисквания в „Стъпка 1: Проверка на изискванията“.

Трябва да имате предвид, че много браузъри ще поддържат HTTP/2 само за вашия уебсайт, ако използвате SSL сертификат. Когато не се използва SSL сертификат, съдържанието няма да се обслужва през HTTP/2. За щастие има много начини за получаване на SSL сертификат. Ако се интересувате от получаване на сертификат Let's Encrypt, вижте това ръководство за създаване на такъв в Plesk: Let's Encrypt на Plesk .

Въпреки че има голям шанс да активирате HTTP/2, без вашите потребители или посетители да го забележат (и без прекъсване), трябва да обявите тази поддръжка. В случай, че вашият SSL шифров пакет не е конфигуриран правилно, може да има престой. За щастие е много лесно да върнете промените с помощта на вградения инструмент на Plesk.

Трябва да сте абсолютно сигурни, че не е имало директни промени в конфигурационните файлове, тъй като ще презапишем някои конфигурационни файлове. Няма за какво да се притеснявате, в случай че сте направили промени изключително с помощта на поддържани методи (в персонализирани файлове).

Ако е възможно, трябва да завъртите друг облачен сървър Vultr с обикновена инсталация на Plesk и да изпълните командата(ите) по-долу. След това, въз основа на неговия успех (или неуспех), можете да предприемете стъпки за незабавно отстраняване на грешки и/или разрешаване на всички проблеми, които могат да възникнат при бъдещи внедрявания на HTTP/2 на производствени сървъри, които се използват в момента.

Активиране на HTTP/2

Стъпка 1: Проверка на изискванията

Можете да активирате поддръжката на HTTP/2 за обратния прокси, който е разгърнат Plesk. В случай, че не сте сигурни дали вашият сървър използва обратен прокси, трябва да проверите "Монитор на услугите". Ако видите и Apache, и Nginx, изброени там, е безопасно да предположим, че вашата инсталация в момента използва обратен прокси. Ако виждате само Apache или само Nginx, най-вероятно ще използвате един уеб сървър.

В ядрото има едно специфично изискване, което е абсолютно необходимо, за да работи HTTP/2, което е OpenSSL версия с поддръжка на ALPN.

Въпреки това, ако имате Plesk версия 12.5.30 или по-нова, инсталирана на CentOS / RHEL 7, Ubuntu 14.04, Debian 8 или по-нова версия, Nginx се разгръща с поддръжка на ALPN от кутията.

Ако имате по-стара версия на Plesk или операционна система, можете да надстроите някои пакети. Аз обаче не подкрепям и не документирам това. Тези версии и операционни системи са много стари и най-добрата практика е да ги актуализирате. Помислете и за рисковете за сигурността от използването на остарял софтуер.

Няма документ, който изрично да посочва кои операционни системи и версии са съвместими с HTTP/2 на Plesk; обаче, ако използвате най-новата версия (по времето, когато това ръководство е публикувано), трябва да отговаряте на изискванията. Можете спокойно да предположите, че по-старите операционни системи като CentOS / RHEL 5 няма да са съвместими.

Освен изискванията за версията на OpenSSL, имайте предвид, че Apache не е задължително да е съвместим и с HTTP/2. HTTP/2 поддръжката за Apache е налична от версия 2.4.17, но в случай, че използвате обратен прокси (което е настройката по подразбиране в Plesk), само версията на Nginx трябва да е достатъчна. Бекенд сървърът, Apache, не трябва да е съвместим. Можете да се консултирате с "Service Manager" в Plesk, за да се уверите, че използвате обратен прокси. Когато Nginx е посочен там, е безопасно да се предположи, че Apache и Nginx са инсталирани като обратна прокси настройка, където Nginx действа като преден сървър.

Следната команда показва дали Nginx е активиран или не.

/usr/local/psa/admin/bin/nginxmng -s

За OpenSSL трябва да имате поне версия 1.0.1. Можете да проверите, като използвате следната команда:

rpm -qa | grep openssl

Това ще отпечата версия, подобна на:

openssl-1.0.1e-42.el6_7.4.x86_64

Ако версията на OpenSSL не е равна или по-голяма от 1.0.1, трябва да актуализирате операционната си система. Plesk, внедрен на по-нови операционни системи, ще използва OpenSSL 1.0.1 от кутията.

Стъпка 2: Активиране на HTTP/2 в Plesk

В зависимост от използваната операционна система, активирайте HTTP/2 с помощта на http2_prefинструмента. Тази команда трябва да се изпълни като root.

Активиране на HTTP/2 на CentOS / RHEL

Изпълни: /usr/local/psa/bin/http2_pref enable

Активиране на HTTP/2 на Ubuntu / Debian

Изпълни: /opt/psa/bin/http2_pref enable

Стъпка 3: Подобрете пакета от шифри

Използването на добър шифров пакет е изключително важно за сигурността. Поддръжката на остарели протоколи ефективно ще преодолее ефекта от вашите мерки за сигурност. Уверете се, че сте коригирали наличните протоколи и наличните версии на TLS, като използвате вградения инструмент Plesk sslmng.

Например, активирането на следните шифри и TLS версии ще гарантира съвместимост с HTTP/2. Ако по-скоро не сте сигурни в шифрите и версиите, които трябва да активирате, след това се придържайте към следните настройки:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Тази команда променя /etc/nginx/conf.d/ssl.conf. Можете да промените този файл директно, но използването на изброената по-горе команда ще запази промените в актуализациите на Plesk.

За да получите „Перфектна секретност за препращане“ с помощта на друг шифров пакет, можете да опитате следните шифри:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Налични са много пакети за шифроване и трябва да изберете този, който най-добре отговаря на вашите нужди. Трябва да се консултирате с уебсайт като Cipherli.st, за да съберете шифров пакет, който отговаря на вашите нужди. Като го посочите в sslmngинструмента, шифровият пакет ще бъде използван незабавно.

За да проверите поддръжката на TLS на вашия браузър като клиент, използвайте инструмента Qualys SSL . Когато не позволявате достатъчно шифри или TLS версии, някои уебсайтове може да станат недостъпни.

Стъпка 4: Проверка на HTTP/2 съвместимост

След като активирате HTTP/2, трябва да проверите дали вашите уебсайтове и уеб сървър могат да бъдат достигнати през HTTP/2. Има много удобен уеб-базиран инструмент за това: HTTP/2 Test .

За да получите точен резултат, уверете се, че сте деактивирали всички обратни прокси сървъри, разположени пред вашия сървър. Например, ако използвате CDN, който не поддържа HTTP/2, инструментът за тестване ще покаже, че уебсайтът ви не поддържа HTTP/2, дори ако е успешно активиран на ниво сървър. Точно както обратното: ако имате обратен прокси като Cloudflare пред вашия уебсайт (който поддържа HTTP/2), инструментът винаги ще връща HTTP/2 като активиран и работещ, независимо от неговата функционалност на ниво сървър .

Ако някои браузъри отказват да заредят вашия уебсайт(ове) или да обслужват каквото и да е съдържание от вашия уеб сървър след активиране на HTTP/2, трябва да анализирате вашата SSL настройка с помощта на инструмента за SSL на Qualys .

(По избор) Възстановяване на конфигурацията на HTTP/2

Ако е необходимо, ако имате нужда от време за отстраняване на грешки, можете (временно) да деактивирате HTTP/2, просто като изпълните командата по-долу. След като искате да активирате отново HTTP/2, просто изпълнете командата за активирането му и опитайте отново да стигнете до някой от вашите уебсайтове. Няма начин да активирате или деактивирате HTTP/2 за конкретни домейни или уебсайтове; това е настройка за целия сървър.

Деактивиране на HTTP/2 на CentOS / RHEL

Изпълни: /usr/local/psa/bin/http2_pref disable

Деактивиране на HTTP/2 в Ubuntu/Debian

Изпълни: /opt/psa/bin/http2_pref disable

Отстраняване на неизправности

Имайки предвид многото компоненти на сървъра, участващи в активиране на HTTP/2, в някои случаи може да се наложи да отстраните неизправности, когато уебсайтовете не се зареждат правилно или изобщо не се зареждат след активиране на поддръжката на HTTP/2.

Забележка: уверете се, че не деактивирате поддръжката на HTTP/2 с помощта на http2_prefинструмента, когато следвате тези стъпки.

Проверете изискванията

Първо се уверете, че отговаряте на изискванията, посочени в началото на тази статия.

Пресъздайте конфигурация на Nginx

Ако отговаряте на изискванията за HTTP/2, можете да опитате да пресъздадете конфигурационните файлове на Nginx. Трябва да знаете, че това ще премахне всички персонализирани конфигурации, така че предварително създайте резервно копие на конфигурационната директория на Nginx. Тъй като конфигурационните файлове могат да се разпространяват из целия сървър, по-добре е просто да направите моментна снимка или да направите резервно копие. След това изпълнете тази команда:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Проверете отново пакета от шифри

Ако и това няма ефект, най-вероятно е виновен шифровият пакет. Изпълнете отново следната команда:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Грешка в panel.ini

Уверете се, че файлът /usr/local/psa/admin/conf/panel.iniсъдържа следното съдържание:

[webserver]
nginxHttp2 = true

Можете бързо да проверите дали файлът съдържа това, като изпълните: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Тази команда не връща ли нищо? Тогава най-вероятно файлът е само за четене, например поради chattrатрибут. Може да е добавен, когато http2_prefкомандата (за активиране на HTTP/2) е била изпълнена.

Проверете дали се използва SSL

Когато даден уебсайт не използва SSL, той ще се върне към HTTP/1.1. Само уебсайтове, които използват SSL, ще бъдат обслужвани чрез HTTP/2. Уверете се, че не налагате HTTP/2 локално във всички случаи, защото това няма да работи и не е проблем от страна на сървъра.

Други възможности

Ако и това не работи, трябва да се консултирате с експерт на Plesk, например във форумите на Plesk. В много случаи обаче горните стъпки ще отстранят повечето проблеми.

Една последна мярка, която можете да предприемете, е просто рестартиране на сървъра. В някои странни случаи това е отстранило проблемите от небето. Въпреки това, винаги трябва да можете да определите проблемите, за да предотвратите (внезапно) да се появят отново.

Това завършва моето ръководство, благодаря ви, че прочетете.