HTTP/2 lubamine Pleski serveris

Pleskil on loomulik HTTP/2 tugi. Selle juurutamisprotsess nõuab hoolikat planeerimist, kuigi HTTP/2 juurutamine Pleskis on teiste juhtpaneelidega võrreldes palju lihtsam. See juhend kehtib erinevate operatsioonisüsteemide kohta. Siin esitatud sammud toimivad seni, kuni teil on piisavalt Pleski ja OpenSSL-i versioone. Kirjeldan neid nõudeid jaotises "1. samm: nõuete kontrollimine".

Peaksite arvestama, et paljud brauserid toetavad teie veebisaidi jaoks HTTP/2 ainult siis, kui kasutate SSL-sertifikaati. Kui SSL-sertifikaati ei kasutata, ei edastata sisu HTTP/2 kaudu. Õnneks on SSL-sertifikaadi hankimiseks palju võimalusi. Kui olete huvitatud Let's Encrypti sertifikaadi hankimisest, vaadake seda juhendit selle loomiseks Pleskis: Let's Encrypt on Plesk .

Kuigi on suur võimalus, et saate HTTP/2 lubada ilma, et kasutajad või külastajad seda märkaksid (ja ilma seisakuta), peaksite sellest hooldusest teatama. Kui teie SSL-i šifrikomplekt pole õigesti konfigureeritud, võib esineda seisakuid. Õnneks on Pleski sisseehitatud tööriista abil muudatusi väga lihtne tagasi võtta.

Peaksite olema täiesti kindel, et konfiguratsioonifailides ei ole tehtud otseseid muudatusi, kuna me kirjutame mõned konfiguratsioonifailid üle. Pole põhjust muretseda, kui olete muudatusi teinud ainult toetatud meetodite abil (kohandatud failides).

Võimaluse korral peaksite keerutama teise Vultri pilveserveri, millel on tavaline Pleski installimine, ja täitma alloleva(d) käsu(d). Seejärel saate selle edu (või ebaõnnestumise) põhjal astuda samme, et koheselt siluda ja/või lahendada kõik probleemid, mis võivad tekkida tulevaste HTTP/2 juurutuste käigus praegu kasutatavates tootmisserverites.

HTTP/2 lubamine

1. samm: kontrollige nõudeid

Juba kasutusvalmis saate lubada HTTP/2 toe pöördpuhverserverile, mille Plesk juurutati. Kui te pole kindel, kas teie server kasutab pöördpuhverserverit, peaksite kontrollima "Service Monitor". Kui näete seal loetletud nii Apache kui ka Nginx, võib eeldada, et teie installimine kasutab praegu pöördpuhverserverit. Kui näete ainult Apache'i või ainult Nginxi, kasutate tõenäoliselt ühte veebiserverit.

Tuumikus on üks konkreetne nõue, mis on HTTP/2 toimimiseks hädavajalik, see on ALPN-i toega OpenSSL-versioon.

Kui aga CentOS / RHEL 7, Ubuntu 14.04, Debian 8 või uuemasse versiooni on installitud Pleski versioon 12.5.30 või uuem, juurutatakse Nginx koos ALPN-i toega.

Kui teil on vanem Pleski või operatsioonisüsteemi versioon, võite mõnda paketti uuendada. Kuid ma ei toeta ega dokumenteeri seda. Need versioonid ja operatsioonisüsteemid on väga vanad ning parim tava oleks neid värskendada. Kaaluge ka aegunud tarkvara kasutamisega kaasnevaid turvariske.

Puudub dokument, milles oleks selgesõnaliselt öeldud, millised operatsioonisüsteemid ja versioonid ühilduvad HTTP/2-ga Pleskis; aga kui kasutate uusimat versiooni (selle juhendi avaldamise ajal), peaksite nõuetele vastama. Võite julgelt eeldada, et vanemad operatsioonisüsteemid, nagu CentOS / RHEL 5, ei ühildu.

Lisaks OpenSSL-i versiooninõuetele pange tähele, et Apache ei pea tingimata ühilduma ka HTTP/2-ga. Apache HTTP/2 tugi on olnud saadaval alates versioonist 2.4.17, kuid kui kasutate pöördpuhverserverit (mis on Pleski vaikeseade), peab piisama ainult Nginxi versioonist. Taustaserver Apache ei pea olema ühilduv. Pleski teenusehalduriga saate kontrollida, kas kasutate pöördpuhverserverit. Kui Nginx on seal loetletud, on ohutu eeldada, et Apache ja Nginx on installitud pöördpuhverserveri seadistusena, kus Nginx toimib esiserverina.

Järgmine käsk näitab, kas Nginx on aktiveeritud või mitte.

/usr/local/psa/admin/bin/nginxmng -s

OpenSSL-i jaoks peaks teil olema vähemalt versioon 1.0.1. Saate kontrollida järgmise käsuga:

rpm -qa | grep openssl

See prindib versiooniga sarnase versiooni:

openssl-1.0.1e-42.el6_7.4.x86_64

Kui OpenSSL-i versioon ei ole 1.0.1 või suurem, peaksite oma operatsioonisüsteemi värskendama. Uuemates operatsioonisüsteemides juurutatud Plesk kasutab OpenSSL 1.0.1 juba karbist välja.

2. samm: HTTP/2 lubamine Pleskis

Sõltuvalt kasutatavast operatsioonisüsteemist lubage http2_preftööriista abil HTTP/2 . Seda käsku tuleks käivitada administraatorina.

HTTP/2 lubamine CentOS-is / RHEL-is

Käivita: /usr/local/psa/bin/http2_pref enable

HTTP/2 lubamine Ubuntu / Debiani jaoks

Käivita: /opt/psa/bin/http2_pref enable

3. samm: täiustage šifrikomplekti

Hea šifrikomplekti kasutamine on turvalisuse jaoks väga oluline. Aegunud protokollide toetamine kaotab teie turvameetmete mõju tõhusalt. Reguleerige kindlasti saadaolevaid protokolle ja saadaolevaid TLS-i versioone sisseehitatud Pleski tööriista abil sslmng.

Näiteks järgmiste šifrite ja TLS-i versioonide lubamine tagab ühilduvuse HTTP/2-ga. Kui te pole kindel, milliseid šifreid ja versioone peaksite lubama, siis järgige järgmisi sätteid:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

See käsk muudab /etc/nginx/conf.d/ssl.conf. Saate seda faili otse muuta, kuid ülaltoodud käsu kasutamine säilitab muudatused Pleski värskendustes.

Täiusliku edasisaladuse saamiseks teise šifrikomplekti abil võite proovida järgmisi šifreid:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Saadaval on palju šifrikomplekte ja peaksite valima selle, mis vastab teie vajadustele kõige paremini. Teie vajadustele vastava šifrikomplekti kogumiseks peaksite tutvuma veebisaidiga, näiteks Cipherli.st . Kui määrate selle sslmngtööriistas, kasutatakse šifrikomplekti koheselt.

Oma brauseri TLS-i toe kontrollimiseks kliendina kasutage Qualys SSL-i tööriista . Kui te ei luba piisavalt šifreid või TLS-i versioone, võivad mõned veebisaidid muutuda kättesaamatuks.

4. samm: kontrollige HTTP/2 ühilduvust

Pärast HTTP/2 lubamist peaksite kontrollima, kas teie veebisaitidele ja veebiserverile pääseb juurde HTTP/2 kaudu. Selleks on väga mugav veebipõhine tööriist: HTTP/2 Test .

Täpse tulemuse saamiseks veenduge, et oleksite keelanud kõik serveri ees asuvad pöördpuhverserverid. Näiteks kui kasutate CDN-i, mis ei toeta HTTP/2, annab testimistööriist vastuseks, et teie veebisait ei toeta HTTP/2, isegi kui see on serveri tasemel edukalt lubatud. Täpselt nagu ka vastupidi: kui teie veebisaidi ees on pöördpuhverserver, näiteks Cloudflare (mis toetab HTTP/2), tagastab tööriist HTTP/2 alati lubatud ja töökorras, olenemata selle funktsioonidest serveri tasemel. .

Kui mõned brauserid keelduvad pärast HTTP/2 lubamist teie veebisaiti(de) laadimast või teie veebiserverist sisu edastamast, peaksite analüüsima oma SSL-i seadistust Qualysi SSL-tööriista abil .

(Valikuline) HTTP/2 konfiguratsiooni ennistamine

Vajadusel, kui vajate silumiseks aega, saate HTTP/2 (ajutiselt) keelata, täites alloleva käsu. Kui soovite HTTP/2 uuesti lubada, käivitage lihtsalt selle aktiveerimise käsk ja proovige uuesti jõuda mõnele oma veebisaidile. Konkreetsete domeenide või veebisaitide puhul ei saa HTTP/2 lubada ega keelata. see on kogu serveri seade.

HTTP/2 keelamine CentOS-is / RHELis

Käivita: /usr/local/psa/bin/http2_pref disable

HTTP/2 keelamine Ubuntus / Debianis

Käivita: /opt/psa/bin/http2_pref disable

Veaotsing

Arvestades serveri paljusid komponente, mis on seotud HTTP/2 lubamisega, võib mõnel juhul olla vaja tõrkeotsingut, kui veebisaite ei laadita pärast HTTP/2 toe aktiveerimist õigesti või üldse mitte.

Märkus. Veenduge, et te ei keela http2_prefnende toimingute tegemisel tööriista HTTP/2 tuge .

Kontrollige nõudeid

Esiteks veenduge, et vastate selle artikli alguses kirjeldatud nõuetele.

Loo Nginxi konfiguratsioon uuesti

Kui vastate HTTP/2 nõuetele, võite proovida Nginxi konfiguratsioonifaile uuesti luua. Peaksite teadma, et see eemaldab kõik kohandatud konfiguratsioonid, seega looge eelnevalt Nginxi konfiguratsioonikataloogi varukoopia. Kuna konfiguratsioonifaile saab levitada üle kogu serveri, on parem teha lihtsalt hetktõmmis või varundada. Seejärel täitke see käsk:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Kontrollige šifrikomplekti uuesti

Kui ka sellel pole mingit mõju, on tõenäoliselt süüdi šifrikomplekt. Käivitage järgmine käsk uuesti:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Viga sisse panel.ini

Veenduge, et fail /usr/local/psa/admin/conf/panel.inisisaldab järgmist sisu:

[webserver]
nginxHttp2 = true

Saate kiiresti kontrollida, kas fail sisaldab seda, käivitades: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Kas see käsk ei tagasta midagi? Siis on fail tõenäoliselt kirjutuskaitstud, näiteks chattratribuudi tõttu . See võib olla lisatud siis, kui http2_prefkäsk (HTTP/2 lubamiseks) käivitati.

Kontrollige, kas SSL-i kasutatakse

Kui veebisait ei kasuta SSL-i, läheb see tagasi HTTP/1.1-le. HTTP/2 abil teenindatakse ainult SSL-i kasutavaid veebisaite. Veenduge, et te ei jõustaks HTTP/2 igal juhul kohapeal, sest see ei tööta ega ole serveripoolne probleem.

Muud võimalused

Kui ka see ei tööta, peaksite konsulteerima Pleski eksperdiga, näiteks Pleski foorumites. Paljudel juhtudel lahendavad ülaltoodud sammud enamiku probleemidest.

Viimane meede, mida saate võtta, on lihtsalt serveri taaskäivitamine. Mõnel kummalisel juhul on see probleeme ootamatult lahendanud. Siiski peaksite alati suutma probleeme täpselt tuvastada, et vältida nende (äkitselt) kordumist.

See lõpetab minu juhendi, tänan teid lugemise eest.