Kaip įjungti HTTP/2 Plesk serveryje

„Plesk“ turi vietinį HTTP/2 palaikymą. Jo diegimo procesas reikalauja kruopštaus planavimo, nors HTTP/2 įdiegimas Plesk yra daug lengvesnis, palyginti su kitais valdymo skydais. Šis vadovas taikomas įvairioms operacinėms sistemoms. Čia pateikti veiksmai veiks tol, kol turėsite pakankamai Plesk ir OpenSSL versijų. Šiuos reikalavimus aprašysiu skyriuje „1 veiksmas: reikalavimų tikrinimas“.

Turėtumėte atsižvelgti į tai, kad daugelis naršyklių palaikys HTTP/2 tik jūsų svetainėje, jei naudosite SSL sertifikatą. Kai SSL sertifikatas nenaudojamas, turinys nebus teikiamas per HTTP/2. Laimei, yra daug būdų gauti SSL sertifikatą. Jei norite gauti „Let's Encrypt“ sertifikatą, peržiūrėkite šį vadovą, kaip sukurti jį „Plesk: Let's Encrypt on Plesk“ .

Net jei yra didelė tikimybė, kad galėsite įjungti HTTP/2 naudotojams ar lankytojams to nepastebėjus (ir be prastovos), turėtumėte pranešti apie šią priežiūrą. Jei jūsų SSL šifrų rinkinys nebuvo tinkamai sukonfigūruotas, gali atsirasti prastovų. Laimei, labai lengva grąžinti pakeitimus naudojant „Plesk“ integruotą įrankį.

Turėtumėte būti visiškai tikri, kad konfigūracijos failuose nebuvo atlikta tiesioginių pakeitimų, nes kai kuriuos konfigūracijos failus perrašysime. Tačiau nėra ko jaudintis, jei atlikote pakeitimus tik naudodami palaikomus metodus (tinkintiniuose failuose).

Jei įmanoma, turėtumėte sukurti kitą Vultr debesies serverį su paprastu Plesk diegimu ir vykdyti toliau pateiktą (-as) komandą (-as). Tada, atsižvelgdami į jo sėkmę (arba nesėkmę), galite imtis veiksmų, kad nedelsiant derintumėte ir (arba) išspręstumėte visas problemas, kurios gali kilti ateityje diegiant HTTP/2 šiuo metu naudojamuose gamybos serveriuose.

Įjungiamas HTTP/2

1 veiksmas: patikrinkite reikalavimus

Iš pradžių galite įjungti HTTP/2 palaikymą atvirkštiniam tarpiniam serveriui, kuris buvo įdiegtas „Plesk“. Jei nesate tikri, ar jūsų serveris naudoja atvirkštinį tarpinį serverį, turėtumėte patikrinti „Paslaugų stebėjimas“. Jei ten matote ir „Apache“, ir „Nginx“, galima manyti, kad jūsų diegimas šiuo metu naudoja atvirkštinį tarpinį serverį. Jei matote tik Apache arba tik Nginx, greičiausiai naudosite vieną žiniatinklio serverį.

Pagrinde yra vienas konkretus reikalavimas, kuris yra būtinas, kad HTTP/2 veiktų, tai yra OpenSSL versija su ALPN palaikymu.

Tačiau jei CentOS / RHEL 7, Ubuntu 14.04, Debian 8 ar naujesnėje versijoje įdiegta 12.5.30 ar naujesnė Plesk versija, Nginx yra įdiegtas su ALPN palaikymu.

Jei turite senesnę Plesk arba operacinės sistemos versiją, galite atnaujinti kai kuriuos paketus. Tačiau aš to nepalaikau ir nedokumentuoju. Šios versijos ir operacinės sistemos yra labai senos, todėl geriausia būtų jas atnaujinti. Taip pat apsvarstykite pasenusios programinės įrangos naudojimo riziką saugumui.

Nėra dokumento, kuriame būtų aiškiai nurodyta, kurios operacinės sistemos ir versijos yra suderinamos su HTTP/2 Plesk; tačiau jei naudojate naujausią versiją (šio vadovo paskelbimo metu), turėtumėte atitikti reikalavimus. Galite drąsiai manyti, kad senesnės operacinės sistemos, tokios kaip CentOS / RHEL 5, nebus suderinamos.

Be OpenSSL versijos reikalavimų, atkreipkite dėmesį, kad Apache nebūtinai turi būti suderinamas su HTTP/2. HTTP/2 „Apache“ palaikymas pasiekiamas nuo 2.4.17 versijos, bet jei naudojate atvirkštinį tarpinį serverį (tai yra numatytasis „Plesk“ nustatymas), turi pakakti tik „Nginx“ versijos. Užpakalinis serveris „Apache“ neturėtų būti suderinamas. Norėdami įsitikinti, kad naudojate atvirkštinį tarpinį serverį, galite kreiptis į Plesk „Paslaugų tvarkyklę“. Kai „Nginx“ yra čia, galima manyti, kad „Apache“ ir „Nginx“ yra įdiegti kaip atvirkštinio tarpinio serverio sąranka, kur „Nginx“ veikia kaip priekinis serveris.

Ši komanda parodo, ar „Nginx“ buvo suaktyvinta, ar ne.

/usr/local/psa/admin/bin/nginxmng -s

Jei naudojate OpenSSL, turite turėti bent 1.0.1 versiją. Galite patikrinti naudodami šią komandą:

rpm -qa | grep openssl

Bus išspausdinta versija, panaši į:

openssl-1.0.1e-42.el6_7.4.x86_64

Jei OpenSSL versija nėra lygi arba didesnė nei 1.0.1, turėtumėte atnaujinti operacinę sistemą. Naujesnėse operacinėse sistemose įdiegtas „Plesk“ iš karto naudos „OpenSSL 1.0.1“.

2 veiksmas: HTTP/2 įgalinimas Plesk

Atsižvelgiant į naudojamą operacinę sistemą, įgalinkite HTTP/2 naudodami http2_prefįrankį. Ši komanda turėtų būti vykdoma kaip root.

HTTP/2 įgalinimas CentOS / RHEL

Vykdyti: /usr/local/psa/bin/http2_pref enable

HTTP/2 įgalinimas Ubuntu / Debian

Vykdyti: /opt/psa/bin/http2_pref enable

3 veiksmas: patobulinkite šifrų rinkinį

Gero šifravimo rinkinio naudojimas yra nepaprastai svarbus saugumui. Pasenusių protokolų palaikymas veiksmingai panaikins jūsų saugumo priemonių poveikį. Būtinai sureguliuokite galimus protokolus ir galimas TLS versijas naudodami integruotą Plesk įrankį sslmng.

Pavyzdžiui, įjungus šiuos šifrus ir TLS versijas, bus užtikrintas suderinamumas su HTTP/2. Jei nesate tikri, kokius šifrus ir versijas turėtumėte įjungti, laikykitės šių nustatymų:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Ši komanda keičia /etc/nginx/conf.d/ssl.conf. Galite tiesiogiai modifikuoti šį failą, tačiau naudodami aukščiau pateiktą komandą, Plesk naujinimų pakeitimai išliks.

Norėdami gauti „Tobulą persiuntimo paslaptį“ naudodami kitą šifrų rinkinį, galite išbandyti šiuos šifrus:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Yra daug šifravimo rinkinių, todėl turėtumėte pasirinkti tą, kuris geriausiai atitinka jūsų poreikius. Turėtumėte apsilankyti svetainėje, pvz., Cipherli.st , kad surinktumėte jūsų poreikius atitinkantį šifrų rinkinį. Nurodę jį sslmngįrankyje, šifravimo rinkinys bus naudojamas akimirksniu.

Norėdami patikrinti savo naršyklės kaip kliento TLS palaikymą, naudokite Qualys SSL įrankį . Kai neleidžiate pakankamai šifrų ar TLS versijų, kai kurios svetainės gali tapti nepasiekiamos.

4 veiksmas: patikrinkite HTTP/2 suderinamumą

Įjungę HTTP/2, turėtumėte patikrinti, ar jūsų svetaines ir žiniatinklio serverį galima pasiekti per HTTP/2. Tam yra labai patogus žiniatinklio įrankis: HTTP/2 testas .

Norėdami gauti tikslų rezultatą, įsitikinkite, kad išjungėte visus atvirkštinius tarpinius serverius, esančius priešais jūsų serverį. Pavyzdžiui, jei naudojate CDN, kuris nepalaiko HTTP/2, testavimo įrankis parodys, kad jūsų svetainė nepalaiko HTTP/2, net jei ji sėkmingai įjungta serverio lygiu. Kaip ir atvirkščiai: jei prieš savo svetainę turite atvirkštinį tarpinį serverį, pvz., „Cloudflare“ (kuri palaiko HTTP/2), įrankis visada grąžins HTTP/2 kaip įjungtą ir veikiantį, nepaisant jo funkcionalumo serverio lygiu. .

Jei kai kurios naršyklės atsisako įkelti jūsų svetainę (-es) arba teikti bet kokį turinį iš jūsų žiniatinklio serverio įjungus HTTP/2, turėtumėte išanalizuoti SSL sąranką naudodami Qualys SSL įrankį .

(Pasirenkama) Grąžinama HTTP/2 konfigūracija

Jei reikia, jei reikia laiko derinti, galite (laikinai) išjungti HTTP/2 tiesiog vykdydami toliau pateiktą komandą. Kai norėsite iš naujo įjungti HTTP/2, tiesiog vykdykite komandą, kad ją suaktyvintumėte, ir bandykite dar kartą pasiekti bet kurią iš savo svetainių. Jokiu būdu negalima įjungti arba išjungti HTTP/2 konkrečiuose domenuose ar svetainėse; tai viso serverio nustatymas.

HTTP/2 išjungimas CentOS / RHEL

Vykdyti: /usr/local/psa/bin/http2_pref disable

HTTP/2 išjungimas Ubuntu / Debian

Vykdyti: /opt/psa/bin/http2_pref disable

Problemų sprendimas

Atsižvelgiant į daugelį serverio komponentų, susijusių su HTTP/2 įgalinimu, kai kuriais atvejais gali tekti šalinti triktis, kai suaktyvinus HTTP/2 palaikymą svetainės įkeliamos netinkamai arba visai neįkeliamos.

Pastaba:http2_pref atlikdami šiuos veiksmus įsitikinkite, kad neišjungėte HTTP/2 palaikymo naudodami įrankį.

Patikrinkite reikalavimus

Pirmiausia įsitikinkite, kad atitinkate šio straipsnio pradžioje nurodytus reikalavimus.

Iš naujo sukurkite Nginx konfigūraciją

Jei atitinkate HTTP/2 reikalavimus, galite pabandyti iš naujo sukurti Nginx konfigūracijos failus. Turėtumėte žinoti, kad tai pašalins visas pasirinktines konfigūracijas, todėl iš anksto sukurkite Nginx konfigūracijos katalogo atsarginę kopiją. Kadangi konfigūracijos failus galima paskleisti visame serveryje, geriau tiesiog padaryti momentinę kopiją arba atsarginę kopiją. Tada vykdykite šią komandą:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Dar kartą patikrinkite šifrų rinkinį

Jei tai taip pat neturi jokio poveikio, greičiausiai dėl to kaltas šifravimo rinkinys. Dar kartą vykdykite šią komandą:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Klaida panel.ini

Įsitikinkite, kad faile /usr/local/psa/admin/conf/panel.iniyra toks turinys:

[webserver]
nginxHttp2 = true

Galite greitai patikrinti, ar faile tai yra, vykdydami: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Ar ši komanda nieko negrąžina? Tada greičiausiai failas yra tik skaitomas, pavyzdžiui, dėl chattratributo. Jis galėjo būti pridėtas, kai http2_prefbuvo vykdoma komanda (įjungti HTTP/2).

Patikrinkite, ar naudojamas SSL

Kai svetainė nenaudoja SSL, ji grįžta į HTTP/1.1. Tik tos svetainės, kuriose naudojamas SSL, bus aptarnaujamos naudojant HTTP/2. Įsitikinkite, kad visais atvejais nenaudojate HTTP/2 vietoje, nes tai neveiks ir nėra serverio problema.

Kiti variantai

Jei tai taip pat nepadės, turėtumėte pasikonsultuoti su Plesk ekspertu, pavyzdžiui, Plesk forumuose. Tačiau daugeliu atvejų aukščiau pateikti veiksmai išspręs daugumą problemų.

Paskutinė priemonė, kurios galite imtis, yra tiesiog perkrauti serverį. Kai kuriais keistais atvejais tai išsprendė problemas netikėtai. Tačiau visada turėtumėte sugebėti tiksliai nustatyti problemas, kad jos (staiga) nepasikartotų.

Tai baigia mano vadovą, ačiū, kad skaitėte.