Kā iespējot HTTP/2 Plesk serverī

Plesk ir vietējais HTTP/2 atbalsts. Tās izvietošanas process prasa rūpīgu plānošanu, lai gan HTTP/2 ieviešana vietnē Plesk ir daudz vienkāršāka salīdzinājumā ar citiem vadības paneļiem. Šī rokasgrāmata attiecas uz dažādām operētājsistēmām. Šeit sniegtās darbības darbosies tik ilgi, kamēr jums būs pietiekami daudz Plesk un OpenSSL versiju. Šīs prasības aprakstīšu sadaļā "1. darbība: prasību pārbaude".

Ņemiet vērā, ka daudzas pārlūkprogrammas jūsu vietnei atbalstīs HTTP/2 tikai tad, ja izmantojat SSL sertifikātu. Ja SSL sertifikāts netiek izmantots, saturs netiks apkalpots, izmantojot HTTP/2. Par laimi, ir daudz veidu, kā iegūt SSL sertifikātu. Ja vēlaties iegūt Let's Encrypt sertifikātu, skatiet šo rokasgrāmatu par tā izveidi vietnē Plesk: Let's Encrypt on Plesk .

Lai gan pastāv liela iespēja, ka varēsit iespējot HTTP/2, lietotājiem vai apmeklētājiem to nepamanot (un bez dīkstāves), jums ir jāpaziņo par šo apkopi. Ja jūsu SSL šifru komplekts nav pareizi konfigurēts, var rasties dīkstāve. Par laimi, ir ļoti viegli atsaukt izmaiņas, izmantojot Plesk iebūvēto rīku.

Jums jābūt pilnīgi pārliecinātam, ka konfigurācijas failos nav veiktas nekādas tiešas izmaiņas, jo mēs pārrakstīsim dažus konfigurācijas failus. Tomēr nav par ko uztraukties, ja izmaiņas esat veicis tikai, izmantojot atbalstītās metodes (pielāgotajos failos).

Ja iespējams, jums vajadzētu izveidot citu Vultr mākoņserveri ar vienkāršu Plesk instalāciju un izpildīt tālāk norādīto(-ās) komandu(-as). Pēc tam, pamatojoties uz tā panākumiem (vai neveiksmēm), varat veikt darbības, lai nekavējoties atkļūdotu un/vai atrisinātu visas problēmas, kas varētu rasties turpmākajā HTTP/2 izvietošanā pašlaik izmantotajos ražošanas serveros.

HTTP/2 iespējošana

1. darbība. Prasību pārbaude

Sākotnēji varat iespējot HTTP/2 atbalstu reversajam starpniekserveram, kas tika izvietots Plesk. Ja neesat pārliecināts, vai jūsu serveris izmanto apgriezto starpniekserveri, pārbaudiet "Service Monitor". Ja tur redzat gan Apache, gan Nginx, var droši pieņemt, ka jūsu instalācija pašlaik izmanto apgriezto starpniekserveri. Ja redzat tikai Apache vai tikai Nginx, visticamāk, jūs izmantosit vienu tīmekļa serveri.

Pamatā ir viena īpaša prasība, kas ir absolūti nepieciešama, lai HTTP/2 darbotos, un tā ir OpenSSL versija ar ALPN atbalstu.

Tomēr, ja jums ir instalēta Plesk versija 12.5.30 vai jaunāka versija CentOS/RHEL 7, Ubuntu 14.04, Debian 8 vai jaunākā versijā, Nginx tiek izvietots ar ALPN atbalstu.

Ja jums ir vecāka Plesk vai operētājsistēmas versija, varat jaunināt dažas pakotnes. Taču es to neatbalstu un nedokumentēju. Šīs versijas un operētājsistēmas ir ļoti vecas, un labākā prakse būtu tās atjaunināt. Apsveriet arī novecojušas programmatūras izmantošanas drošības riskus.

Nav neviena dokumenta, kurā būtu skaidri norādīts, kuras operētājsistēmas un versijas ir saderīgas ar HTTP/2 vietnē Plesk; tomēr, ja izmantojat jaunāko versiju (šīs rokasgrāmatas publicēšanas laikā), jums ir jāatbilst prasībām. Varat droši pieņemt, ka vecākas operētājsistēmas, piemēram, CentOS / RHEL 5, nebūs saderīgas.

Papildus OpenSSL versijas prasībām, ņemiet vērā, ka Apache nav obligāti jābūt saderīgam arī ar HTTP/2. HTTP/2 atbalsts Apache ir pieejams kopš versijas 2.4.17, taču, ja izmantojat reverso starpniekserveri (kas ir noklusējuma iestatījums programmā Plesk), pietiek tikai ar Nginx versiju. Aizmugursistēmas serverim Apache nav jābūt saderīgam. Lai pārliecinātos, vai izmantojat apgriezto starpniekserveri, varat sazināties ar Pleskas pakalpojumu pārvaldnieku. Ja Nginx ir norādīts tur, var droši pieņemt, ka Apache un Nginx ir instalēti kā apgrieztā starpniekservera iestatīšana, kur Nginx darbojas kā priekšgala serveris.

Šī komanda parāda, vai Nginx ir aktivizēts.

/usr/local/psa/admin/bin/nginxmng -s

OpenSSL gadījumā jums ir jābūt vismaz versijai 1.0.1. Jūs varat pārbaudīt, izmantojot šādu komandu:

rpm -qa | grep openssl

Tiks izdrukāta versija, kas līdzīga:

openssl-1.0.1e-42.el6_7.4.x86_64

Ja OpenSSL versija nav vienāda ar vai lielāka par 1.0.1, jums ir jāatjaunina operētājsistēma. Plesk, kas izvietots jaunākās operētājsistēmās, jau sākotnēji izmantos OpenSSL 1.0.1.

2. darbība: HTTP/2 iespējošana pakalpojumā Plesk

Atkarībā no izmantotās operētājsistēmas, izmantojot http2_prefrīku , iespējojiet HTTP/2 . Šī komanda jāizpilda kā root.

HTTP/2 iespējošana vietnē CentOS/RHEL

Izpildīt: /usr/local/psa/bin/http2_pref enable

HTTP/2 iespējošana Ubuntu/Debian

Izpildīt: /opt/psa/bin/http2_pref enable

3. darbība. Uzlabojiet šifru komplektu

Laba šifra komplekta izmantošana ir neticami svarīga drošībai. Novecojušu protokolu atbalstīšana efektīvi uzveiks jūsu drošības pasākumu ietekmi. Noteikti pielāgojiet pieejamos protokolus un pieejamās TLS versijas, izmantojot iebūvēto rīku Plesk sslmng.

Piemēram, iespējojot tālāk norādītos šifrus un TLS versijas, tiks nodrošināta saderība ar HTTP/2. Ja neesat pārliecināts par šifriem un versijām, kas jāiespējo, pieturieties pie tālāk norādītajiem iestatījumiem.

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Šī komanda maina /etc/nginx/conf.d/ssl.conf. Varat modificēt šo failu tieši, taču, izmantojot iepriekš minēto komandu, Plesk atjauninājumos tiks saglabātas izmaiņas.

Lai iegūtu "Perfect forward Secretcy", izmantojot citu šifru komplektu, varat izmēģināt šādus šifrus:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Ir pieejami daudzi šifrēšanas komplekti, un jums vajadzētu izvēlēties to, kas vislabāk atbilst jūsu vajadzībām. Apmeklējiet vietni, piemēram, Cipherli.st , lai izveidotu jūsu vajadzībām atbilstošu šifru komplektu. Norādot to sslmngrīkā, šifrēšanas komplekts tiks izmantots uzreiz.

Lai pārbaudītu savas pārlūkprogrammas kā klienta TLS atbalstu, izmantojiet Qualys SSL rīku . Ja neatļaujat pietiekami daudz šifru vai TLS versiju, dažas vietnes var kļūt nesasniedzamas.

4. darbība: pārbaudiet HTTP/2 saderību

Pēc HTTP/2 iespējošanas pārbaudiet, vai jūsu vietnes un tīmekļa serveri var sasniegt, izmantojot HTTP/2. Šim nolūkam ir ļoti ērts tīmekļa rīks: HTTP/2 tests .

Lai iegūtu precīzu rezultātu, pārliecinieties, vai esat atspējojis visus reversos starpniekserverus, kas atrodas jūsu servera priekšā. Piemēram, ja izmantojat CDN, kas neatbalsta HTTP/2, testēšanas rīks parādīs, ka jūsu vietne neatbalsta HTTP/2, pat ja tā ir veiksmīgi iespējota servera līmenī. Tāpat kā otrādi: ja jūsu vietnes priekšā ir reversais starpniekserveris, piemēram, Cloudflare (kas atbalsta HTTP/2), rīks vienmēr atgriezīs HTTP/2 kā iespējotu un darbojošos neatkarīgi no tā funkcionalitātes servera līmenī. .

Ja dažas pārlūkprogrammas atsakās ielādēt jūsu vietni(-es) vai apkalpot saturu no jūsu tīmekļa servera pēc HTTP/2 iespējošanas, analizējiet savu SSL iestatījumu, izmantojot Qualys SSL rīku .

(Neobligāti) HTTP/2 konfigurācijas atjaunošana

Ja nepieciešams, ja nepieciešams laiks atkļūdošanai, varat (īslaicīgi) atspējot HTTP/2, vienkārši izpildot tālāk norādīto komandu. Kad vēlaties atkārtoti iespējot HTTP/2, vienkārši izpildiet komandu, lai to aktivizētu, un vēlreiz mēģiniet sasniegt kādu no savām vietnēm. Nav iespējams iespējot vai atspējot HTTP/2 konkrētiem domēniem vai vietnēm; tas ir servera mēroga iestatījums.

HTTP/2 atspējošana vietnē CentOS/RHEL

Izpildīt: /usr/local/psa/bin/http2_pref disable

HTTP/2 atspējošana Ubuntu/Debian

Izpildīt: /opt/psa/bin/http2_pref disable

Problēmu novēršana

Ņemot vērā daudzos servera komponentus, kas ir iesaistīti HTTP/2 iespējošanā, dažos gadījumos, iespējams, būs jāveic problēmu novēršana, ja vietnes pēc HTTP/2 atbalsta aktivizēšanas netiek ielādētas pareizi vai netiek ielādētas vispār.

Piezīme.http2_pref Veicot šīs darbības, noteikti neatspējojiet HTTP/2 atbalstu, izmantojot rīku.

Pārbaudiet prasības

Vispirms pārliecinieties, vai atbilstat šī raksta sākumā izklāstītajām prasībām.

Atkārtoti izveidojiet Nginx konfigurāciju

Ja atbilstat HTTP/2 prasībām, varat mēģināt atkārtoti izveidot Nginx konfigurācijas failus. Jums jāzina, ka tas noņems visas pielāgotās konfigurācijas, tāpēc iepriekš izveidojiet Nginx konfigurācijas direktorija dublējumu. Tā kā konfigurācijas failus var izplatīt visā serverī, labāk ir vienkārši izveidot momentuzņēmumu vai izveidot dublējumu. Pēc tam izpildiet šo komandu:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Atkārtoti pārbaudiet šifru komplektu

Ja arī tam nav nekādas ietekmes, visticamāk, pie vainas ir šifru komplekts. Vēlreiz izpildiet šādu komandu:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Kļūda panel.ini

Pārliecinieties, vai failā /usr/local/psa/admin/conf/panel.iniir šāds saturs:

[webserver]
nginxHttp2 = true

Varat ātri pārbaudīt, vai failā tas ir, izpildot: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Vai šī komanda neko neatgriež? Tad, visticamāk, fails ir tikai lasāms, piemēram, chattratribūta dēļ. Iespējams, tas tika pievienots, kad http2_preftika izpildīta komanda (lai iespējotu HTTP/2).

Pārbaudiet, vai tiek izmantots SSL

Ja vietne neizmanto SSL, tā tiks izmantota atpakaļ uz HTTP/1.1. Izmantojot HTTP/2, tiks apkalpotas tikai vietnes, kurās tiek izmantots SSL. Pārliecinieties, vai HTTP/2 nelietojat lokāli visos gadījumos, jo tas nedarbosies un nav servera puses problēma.

Citas iespējas

Ja arī tas nedarbojas, jums jākonsultējas ar Plesk ekspertu, piemēram, Plesk forumos. Tomēr daudzos gadījumos iepriekš minētās darbības novērsīs lielāko daļu problēmu.

Pēdējais pasākums, ko varat veikt, ir vienkārši pārstartēt serveri. Dažos dīvainos gadījumos tas ir novērsis problēmas no zila gaisa. Tomēr jums vienmēr vajadzētu būt iespējai precīzi noteikt problēmas, lai tās (pēkšņas) neatkārtotos.

Tas noslēdz manu ceļvedi, paldies, ka izlasījāt.