Sådan aktiveres HTTP/2 på en Plesk-server

Plesk har indbygget HTTP/2-understøttelse. Dens implementeringsproces kræver omhyggelig planlægning, selvom udrulning af HTTP/2 på Plesk er meget nemmere sammenlignet med andre kontrolpaneler. Denne vejledning gælder for en række forskellige operativsystemer. De trin, der er angivet her, vil fungere, så længe du har de tilstrækkelige Plesk- og OpenSSL-versioner. Jeg vil beskrive disse krav i "Trin 1: Kontrol af krav".

Du skal tage højde for, at mange browsere kun understøtter HTTP/2 til din hjemmeside, hvis du bruger et SSL-certifikat. Når et SSL-certifikat ikke bruges, vil indholdet ikke blive serveret over HTTP/2. Heldigvis er der mange måder at få et SSL-certifikat på. Hvis du er interesseret i at få et Let's Encrypt-certifikat, så tjek denne vejledning til oprettelse af et på Plesk: Let's Encrypt on Plesk .

Selvom der er en god chance for, at du er i stand til at aktivere HTTP/2, uden at dine brugere eller besøgende bemærker det (og uden nedetid), bør du annoncere denne vedligeholdelse. Hvis din SSL-krypteringspakke ikke er konfigureret korrekt, kan der være noget nedetid. Heldigvis er det meget nemt at fortryde ændringerne ved hjælp af Plesks indbyggede værktøj.

Du skal være helt sikker på, at der ikke er foretaget nogen direkte ændringer i konfigurationsfiler, da vi vil overskrive nogle konfigurationsfiler. Der er dog intet at bekymre sig om, hvis du udelukkende har foretaget ændringer ved hjælp af understøttede metoder (i brugerdefinerede filer).

Hvis det er muligt, bør du oprette en anden Vultr-cloudserver med en almindelig Plesk-installation og udføre kommandoen/kommandoerne nedenfor. Baseret på dens succes (eller fiasko) kan du tage skridt til øjeblikkeligt at fejlsøge og/eller løse eventuelle problemer, der måtte opstå i fremtidige HTTP/2-implementeringer på produktionsservere, der er i brug.

Aktivering af HTTP/2

Trin 1: Kontrol af krav

Ud af boksen kan du aktivere HTTP/2-understøttelse for den omvendte proxy, som Plesk blev implementeret. Hvis du ikke er sikker på, om din server bruger en omvendt proxy, bør du tjekke "Service Monitor". Hvis du ser både Apache og Nginx opført der, er det sikkert at antage, at din installation i øjeblikket bruger en omvendt proxy. Hvis du kun ser Apache eller kun Nginx, vil du højst sandsynligt bruge en enkelt webserver.

I kernen er der et specifikt krav, som er absolut nødvendigt for at HTTP/2 kan fungere, hvilket er en OpenSSL-version med ALPN-understøttelse.

Men hvis du har Plesk version 12.5.30 eller nyere installeret på CentOS / RHEL 7, Ubuntu 14.04, Debian 8 eller nyere, er Nginx implementeret med ALPN-understøttelse direkte fra kassen.

Hvis du har en ældre Plesk- eller operativsystemversion, kan du opgradere nogle pakker. Jeg støtter eller dokumenterer dog ikke dette. Disse versioner og operativsystemer er meget gamle, og bedste praksis ville være at opdatere dem. Overvej også sikkerhedsrisiciene ved at bruge forældet software.

Der er ikke noget dokument, der udtrykkeligt angiver, hvilke operativsystemer og versioner der er kompatible med HTTP/2 på Plesk; Men hvis du bruger den nyeste version (på det tidspunkt, hvor denne vejledning blev udgivet), bør du opfylde kravene. Du kan roligt antage, at ældre operativsystemer såsom CentOS / RHEL 5 ikke vil være kompatible.

Bortset fra kravene til OpenSSL-versionen, skal du bemærke, at Apache ikke nødvendigvis også behøver at være kompatibel med HTTP/2. HTTP/2-understøttelse af Apache har været tilgængelig siden version 2.4.17, men hvis du gør brug af en omvendt proxy (som er standardindstillingen i Plesk), skal kun Nginx-versionen være tilstrækkelig. Backend-serveren, Apache, behøver ikke at være kompatibel. Du kan konsultere "Service Manager" i Plesk for at sikre dig, at du bruger en omvendt proxy. Når Nginx er opført der, er det sikkert at antage, at Apache og Nginx er installeret som en omvendt proxy-opsætning, hvor Nginx fungerer som frontend-serveren.

Følgende kommando viser, om Nginx er blevet aktiveret eller ej.

/usr/local/psa/admin/bin/nginxmng -s

For OpenSSL bør du som minimum have version 1.0.1. Du kan tjekke ved at bruge følgende kommando:

rpm -qa | grep openssl

Dette vil udskrive en version, der ligner:

openssl-1.0.1e-42.el6_7.4.x86_64

Hvis OpenSSL-versionen ikke er lig med eller større end 1.0.1, bør du opdatere dit operativsystem. Plesk implementeret på nyere operativsystemer vil gøre brug af OpenSSL 1.0.1 ud af boksen.

Trin 2: Aktivering af HTTP/2 i Plesk

Afhængigt af det anvendte operativsystem skal du aktivere HTTP/2 ved hjælp af http2_prefværktøjet. Denne kommando skal udføres som root.

Aktivering af HTTP/2 på CentOS / RHEL

Udfør: /usr/local/psa/bin/http2_pref enable

Aktivering af HTTP/2 på Ubuntu / Debian

Udfør: /opt/psa/bin/http2_pref enable

Trin 3: Forbedre cipher suite

Brug af en god krypteringspakke er utrolig vigtig for sikkerheden. Understøttelse af forældede protokoller vil effektivt besejre effekten af ​​dine sikkerhedsforanstaltninger. Sørg for at justere de tilgængelige protokoller og tilgængelige TLS-versioner ved hjælp af det indbyggede Plesk-værktøj sslmng.

For eksempel vil aktivering af følgende cifre og TLS-versioner sikre kompatibilitet med HTTP/2. Hvis du er temmelig usikker på de chiffer og versioner, du skal aktivere, så hold dig til følgende indstillinger:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Denne kommando ændrer /etc/nginx/conf.d/ssl.conf. Du kan ændre denne fil direkte, men ved at bruge kommandoen ovenfor vil ændringerne vedblive på tværs af Plesk-opdateringer.

For at få "Perfekt fremad hemmeligholdelse" ved hjælp af en anden chifferpakke, kan du prøve følgende chiffer:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Der er mange krypteringssuiter tilgængelige, og du bør vælge den, der passer bedst til dine behov. Du bør konsultere et websted som Cipherli.st for at samle en krypteringspakke, der passer til dine behov. Ved at angive det i sslmngværktøjet, vil chifferpakken blive brugt med det samme.

For at kontrollere TLS-understøttelsen af ​​din browser som klient, skal du bruge Qualys SSL-værktøjet . Når du ikke tillader tilstrækkelige cifre eller TLS-versioner, kan nogle websteder blive utilgængelige.

Trin 4: Kontrol af HTTP/2-kompatibilitet

Efter at have aktiveret HTTP/2, bør du kontrollere, om dine websteder og webservere kan nås over HTTP/2. Der er et meget praktisk webbaseret værktøj til dette: HTTP/2 Test .

For at få et nøjagtigt resultat, skal du sørge for, at du har deaktiveret alle omvendte proxyer, der er placeret foran din server. For eksempel, hvis du bruger et CDN, der ikke understøtter HTTP/2, vil testværktøjet returnere, at dit websted ikke understøtter HTTP/2, selvom det er blevet aktiveret på serverniveau. Ligesom omvendt: hvis du har en omvendt proxy såsom Cloudflare foran dit websted (som understøtter HTTP/2), vil værktøjet altid returnere HTTP/2 som værende aktiveret og fungerende, uanset dets funktionalitet på serverniveau .

Hvis nogle browsere nægter at indlæse din(e) hjemmeside(r) eller vise noget indhold fra din webserver efter at have aktiveret HTTP/2, bør du analysere din SSL-opsætning ved hjælp af Qualys' SSL-værktøj .

(Valgfrit) Gendan HTTP/2-konfiguration

Hvis det er nødvendigt, hvis du har brug for tid til at fejlfinde, kan du (midlertidigt) deaktivere HTTP/2 ved blot at udføre kommandoen nedenfor. Når du vil genaktivere HTTP/2, skal du blot udføre kommandoen for at aktivere den og prøve igen at nå et af dine websteder. Der er ingen måde at aktivere eller deaktivere HTTP/2 for specifikke domæner eller websteder; det er en server-dækkende indstilling.

Deaktivering af HTTP/2 på CentOS / RHEL

Udfør: /usr/local/psa/bin/http2_pref disable

Deaktivering af HTTP/2 på Ubuntu / Debian

Udfør: /opt/psa/bin/http2_pref disable

Fejlfinding

I betragtning af de mange komponenter på en server, der er involveret i at aktivere HTTP/2, kan det i nogle tilfælde være nødvendigt at foretage fejlfinding, når websteder ikke indlæses korrekt eller slet ikke efter aktivering af HTTP/2-understøttelse.

Bemærk: Sørg for ikke at deaktivere HTTP/2-understøttelse ved hjælp af http2_prefværktøjet, når du følger disse trin.

Tjek krav

Først skal du sikre dig, at du opfylder kravene, der er beskrevet i begyndelsen af ​​denne artikel.

Genskab Nginx-konfiguration

Hvis du opfylder kravene til HTTP/2, kan du forsøge at genskabe Nginx-konfigurationsfilerne. Du skal vide, at dette vil fjerne alle brugerdefinerede konfigurationer, så opret en sikkerhedskopi af Nginx-konfigurationsmappen på forhånd. Da konfigurationsfilerne kan spredes over hele serveren, er det bedre blot at lave et snapshot eller tage en sikkerhedskopi. Udfør derefter denne kommando:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Tjek krypteringspakken igen

Hvis det heller ikke har nogen effekt, er det højst sandsynligt, at chifferpakken er skyld i det. Udfør følgende kommando igen:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Fejl i panel.ini

Sørg for, at filen /usr/local/psa/admin/conf/panel.iniindeholder følgende indhold:

[webserver]
nginxHttp2 = true

Du kan hurtigt tjekke om filen indeholder dette ved at udføre: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Returnerer denne kommando intet? Så er filen højst sandsynligt skrivebeskyttet, for eksempel på grund af en chattrattribut. Det kan være blevet tilføjet, da http2_prefkommandoen (for at aktivere HTTP/2) blev udført.

Tjek om SSL er brugt

Når en hjemmeside ikke bruger SSL, vil den falde tilbage til HTTP/1.1. Kun websteder, der bruger SSL, vil blive serveret ved hjælp af HTTP/2. Sørg for, at du ikke håndhæver HTTP/2 lokalt i alle tilfælde, for det virker ikke og er ikke et problem på serversiden.

Andre muligheder

Skulle dette heller ikke virke, bør du konsultere en Plesk-ekspert, for eksempel på Plesks fora. I mange tilfælde vil ovenstående trin dog løse de fleste problemer.

En sidste foranstaltning, du kan tage, er simpelthen at genstarte serveren. I nogle mærkelige tilfælde har dette løst problemer ud af det blå. Du bør dog altid være i stand til at lokalisere problemer for at forhindre dem i (pludselig) at ske igen.

Det afslutter min guide, tak fordi du læste med.