Hvernig á að virkja HTTP/2 á Plesk netþjóni

Plesk er með innfæddan HTTP/2 stuðning. Dreifingarferli þess krefst vandlegrar skipulagningar, þó að útbúa HTTP/2 á Plesk sé miklu auðveldara miðað við önnur stjórnborð. Þessi handbók á við um ýmis stýrikerfi. Skrefin sem gefin eru upp hér munu virka svo lengi sem þú hefur nægjanlegar Plesk og OpenSSL útgáfur. Ég mun lýsa þessum kröfum í "Skref 1: Athuga kröfur".

Þú ættir að hafa í huga að margir vafrar munu aðeins styðja HTTP/2 fyrir vefsíðuna þína ef þú notar SSL vottorð. Þegar SSL vottorð er ekki notað verður efnið ekki þjónað yfir HTTP/2. Sem betur fer eru margar leiðir til að fá SSL vottorð. Ef þú hefur áhuga á að fá Let's Encrypt vottorð, skoðaðu þessa handbók til að búa til eitt á Plesk: Let's Encrypt on Plesk .

Jafnvel þó að það séu góðar líkur á að þú getir virkjað HTTP/2 án þess að notendur þínir eða gestir taki eftir því (og án þess að niður í miðbæ) þá ættirðu að tilkynna þetta viðhald. Ef SSL dulmálssvítan þín hefur ekki verið rétt stillt gæti verið einhver niður í miðbæ. Sem betur fer er mjög auðvelt að snúa breytingunum til baka með því að nota innbyggt tól Plesk.

Þú ættir að vera alveg viss um að engar beinar breytingar hafa verið gerðar á stillingarskrám, þar sem við munum skrifa yfir sumar stillingarskrár. Það er samt ekkert að hafa áhyggjur af ef þú hefur eingöngu gert breytingar með studdum aðferðum (í sérsniðnum skrám).

Ef mögulegt er, ættir þú að snúa upp öðrum Vultr skýjaþjóni með látlausri Plesk uppsetningu og framkvæma skipunina/skipanirnar hér að neðan. Síðan, byggt á velgengni þess (eða bilun), geturðu gert ráðstafanir til að kemba og/eða leysa vandamál sem gætu komið upp í framtíðinni HTTP/2 dreifing á framleiðsluþjónum sem eru í notkun.

Virkjar HTTP/2

Skref 1: Athugaðu kröfur

Út af kassanum geturðu virkjað HTTP/2 stuðning fyrir andstæða umboðið sem Plesk var notað. Ef þú ert ekki viss um hvort þjónninn þinn notar öfugt umboð, ættir þ�� að athuga „Þjónustuskjárinn“. Ef þú sérð bæði Apache og Nginx skráð þar, þá er óhætt að gera ráð fyrir að uppsetningin þín sé að nota öfugt umboð. Ef þú sérð aðeins Apache eða aðeins Nginx, muntu líklegast nota einn vefþjón.

Í kjarnanum er ein sérstök krafa sem er algjörlega nauðsynleg til að HTTP/2 virki, sem er OpenSSL útgáfa með ALPN stuðningi.

Hins vegar, ef þú ert með Plesk útgáfu 12.5.30 eða nýrri uppsett á CentOS / RHEL 7, Ubuntu 14.04, Debian 8 eða nýrri, er Nginx notað með ALPN stuðningi beint úr kassanum.

Ef þú ert með eldri útgáfu af Plesk eða stýrikerfi gætirðu uppfært nokkra pakka. Hins vegar styð ég þetta ekki eða skjalfesti þetta. Þessar útgáfur og stýrikerfi eru mjög gamlar og best væri að uppfæra þær. Hugleiddu líka öryggisáhættuna af því að nota gamaldags hugbúnað.

Það er ekkert skjal sem segir beinlínis hvaða stýrikerfi og útgáfur eru samhæfar við HTTP/2 á Plesk; Hins vegar, ef þú notar nýjustu útgáfuna (á þeim tíma sem þessi handbók var birt), ættir þú að uppfylla kröfurnar. Þú getur örugglega gert ráð fyrir að eldri stýrikerfi eins og CentOS / RHEL 5 muni ekki vera samhæft.

Fyrir utan OpenSSL útgáfukröfurnar, athugaðu að Apache þarf ekki endilega að vera samhæft við HTTP/2 líka. HTTP/2 stuðningur fyrir Apache hefur verið fáanlegur frá útgáfu 2.4.17, en ef þú notar öfugt umboð (sem er sjálfgefin stilling í Plesk) þarf aðeins Nginx útgáfan að duga. Bakendaþjónninn, Apache, þyrfti ekki að vera samhæfur. Þú getur ráðfært þig við „Þjónustustjórann“ í Plesk til að ganga úr skugga um að þú sért að nota öfugt umboð. Þegar Nginx er skráð þar er óhætt að gera ráð fyrir að Apache og Nginx séu sett upp sem öfug proxy-uppsetning þar sem Nginx virkar sem framendaþjónn.

Eftirfarandi skipun sýnir hvort Nginx hefur verið virkjað eða ekki.

/usr/local/psa/admin/bin/nginxmng -s

Fyrir OpenSSL ættir þú að vera með útgáfu 1.0.1 að minnsta kosti. Þú getur athugað með því að nota eftirfarandi skipun:

rpm -qa | grep openssl

Þetta mun prenta útgáfu svipað og:

openssl-1.0.1e-42.el6_7.4.x86_64

Ef OpenSSL útgáfan er ekki jöfn eða stærri en 1.0.1, ættir þú að uppfæra stýrikerfið þitt. Plesk sem er notað á nýrri stýrikerfum mun nýta OpenSSL 1.0.1 strax.

Skref 2: Virkja HTTP/2 í Plesk

Það fer eftir stýrikerfinu sem notað er, virkjaðu HTTP/2 með því að nota http2_preftólið. Þessi skipun ætti að vera keyrð sem rót.

Virkjar HTTP/2 á CentOS / RHEL

Framkvæma: /usr/local/psa/bin/http2_pref enable

Virkja HTTP/2 á Ubuntu / Debian

Framkvæma: /opt/psa/bin/http2_pref enable

Skref 3: Bættu dulmálssvítuna

Að nota góða dulmálssvítu er ótrúlega mikilvægt fyrir öryggi. Að styðja úreltar samskiptareglur mun í raun vinna bug á áhrifum öryggisráðstafana þinna. Gakktu úr skugga um að stilla tiltækar samskiptareglur og tiltækar TLS útgáfur með því að nota innbyggða Plesk tólið sslmng.

Til dæmis, að virkja eftirfarandi dulmál og TLS útgáfur mun tryggja eindrægni við HTTP/2. Ef þú ert frekar óviss um dulmál og útgáfur sem þú ættir að virkja skaltu halda þig við eftirfarandi stillingar:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Þessi skipun breytir /etc/nginx/conf.d/ssl.conf. Þú getur breytt þessari skrá beint, en með því að nota skipunina sem taldar eru upp hér að ofan munu breytingar verða viðvarandi fyrir Plesk uppfærslur.

Til þess að fá „Fullkomið áframhaldandi leynd“ með því að nota aðra dulmálssvítu geturðu prófað eftirfarandi dulmál:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Það eru margar dulmálssvítur í boði og þú ættir að velja þá sem hentar þínum þörfum best. Þú ættir að hafa samband við vefsíðu eins og Cipherli.st til að safna dulmálssvítu sem hentar þínum þörfum. Með því að tilgreina það í sslmngtólinu verður dulmálssvítan notuð samstundis.

Til að athuga TLS stuðning vafrans þíns sem viðskiptavinar skaltu nota Qualys SSL tólið . Þegar þú leyfir ekki nægjanlega dulmál eða TLS útgáfur gætu sumar vefsíður orðið óaðgengilegar.

Skref 4: Athugaðu HTTP/2 samhæfni

Eftir að hafa virkjað HTTP/2 ættirðu að athuga hvort hægt sé að ná í vefsíðurnar þínar og vefþjóninn í gegnum HTTP/2. Það er mjög handhægt veftól fyrir þetta: HTTP/2 próf .

Til að fá nákvæma niðurstöðu skaltu ganga úr skugga um að þú hafir slökkt á öllum öfugum umboðum sem staðsettir eru fyrir framan netþjóninn þinn. Til dæmis, ef þú ert að nota CDN sem styður ekki HTTP/2, mun prófunartólið skila að vefsíðan þín styður ekki HTTP/2 jafnvel þó að það hafi verið virkt á þjónsstigi. Rétt eins og á hinn veginn: ef þú ert með öfugt umboð eins og Cloudflare fyrir framan vefsíðuna þína (sem styður HTTP/2) mun tólið alltaf skila HTTP/2 sem virkt og virka, óháð virkni þess á miðlarastigi .

Ef sumir vafrar neita að hlaða vefsíðu(r) þinni eða þjóna einhverju efni frá vefþjóninum þínum eftir að hafa virkjað HTTP/2, ættir þú að greina SSL uppsetninguna þína með því að nota SSL tól Qualys .

(Valfrjálst) Að snúa HTTP/2 stillingum til baka

Ef þörf krefur, ef þú þarft tíma til að kemba, geturðu (tímabundið) slökkt á HTTP/2 einfaldlega með því að framkvæma skipunina hér að neðan. Þegar þú vilt virkja HTTP/2 aftur skaltu einfaldlega framkvæma skipunina til að virkja hana og reyna aftur að ná til einhverra vefsíðna þinna. Það er engin leið til að virkja eða slökkva á HTTP/2 fyrir ákveðin lén eða vefsíður; það er stilling á netþjóni.

Slökkva á HTTP/2 á CentOS / RHEL

Framkvæma: /usr/local/psa/bin/http2_pref disable

Slökkva á HTTP/2 á Ubuntu / Debian

Framkvæma: /opt/psa/bin/http2_pref disable

Bilanagreining

Með hliðsjón af mörgum hlutum netþjóns sem taka þátt í að virkja HTTP/2 gætirðu þurft að leysa þegar vefsíður hlaðast ekki rétt eða alls ekki eftir að hafa virkjað HTTP/2 stuðning.

Athugið: Gakktu úr skugga um að slökkva ekki á HTTP/2 stuðningi með því að nota http2_preftólið þegar þú fylgir þessum skrefum.

Athugaðu kröfur

Fyrst skaltu ganga úr skugga um að þú uppfyllir kröfurnar sem lýst er í upphafi þessarar greinar.

Endurskapa Nginx stillingar

Ef þú uppfyllir kröfurnar fyrir HTTP/2 geturðu reynt að endurskapa Nginx stillingarskrárnar. Þú ættir að vita að þetta mun fjarlægja allar sérsniðnar stillingar, svo búðu til öryggisafrit af Nginx stillingarskránni fyrirfram. Þar sem hægt er að dreifa stillingarskrám um netþjóninn er betra að taka einfaldlega skyndimynd eða taka öryggisafrit. Síðan skaltu framkvæma þessa skipun:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Athugaðu dulmálssvítuna aftur

Ef það hefur engin áhrif heldur, er líklega dulmálssvítunni um að kenna. Framkvæmdu eftirfarandi skipun aftur:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Villa í panel.ini

Gakktu úr skugga um að skráin /usr/local/psa/admin/conf/panel.iniinnihaldi eftirfarandi efni:

[webserver]
nginxHttp2 = true

Þú gætir athugað hvort skráin inniheldur þetta fljótt með því að keyra: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Skilar þessi skipun engu? Þá er líklegast að skráin sé skrifvarinn, til dæmis vegna chattreiginleika. Það gæti hafa verið bætt við þegar http2_prefskipunin (til að virkja HTTP/2) var keyrð.

Athugaðu hvort SSL sé notað

Þegar vefsíða notar ekki SSL mun hún falla aftur í HTTP/1.1. Aðeins vefsíður sem nota SSL verða þjónaðar með HTTP/2. Gakktu úr skugga um að þú sért ekki að framfylgja HTTP/2 á staðnum í öllum tilfellum, því það mun ekki virka og er ekki vandamál á þjóninum.

Aðrir valkostir

Ef þetta virkar ekki heldur, ættir þú að ráðfæra þig við Plesk sérfræðing, til dæmis á Plesk spjallborðunum. Í mörgum tilfellum munu ofangreind skref þó laga flest vandamál.

Ein síðasta ráðstöfunin sem þú getur gert er einfaldlega að endurræsa netþjóninn. Í sumum undarlegum tilvikum hefur þetta lagað vandamál út í bláinn. Hins vegar ættir þú alltaf að geta fundið vandamál til að koma í veg fyrir að þau endurtaki sig (skyndilega).

Þar með lýkur leiðarvísinum mínum, takk fyrir að lesa.