Kako omogočiti HTTP/2 na strežniku Plesk

Plesk ima domačo podporo za HTTP/2. Njegov postopek uvajanja zahteva skrbno načrtovanje, čeprav je uvajanje HTTP/2 na Plesk veliko lažje v primerjavi z drugimi nadzornimi ploščami. Ta priročnik velja za različne operacijske sisteme. Navedeni koraki bodo delovali, dokler imate zadostne različice Plesk in OpenSSL. Te zahteve bom opisal v "1. koraku: Preverjanje zahtev".

Upoštevati morate, da bo veliko brskalnikov podpiralo HTTP/2 za vaše spletno mesto samo, če uporabljate potrdilo SSL. Če certifikat SSL ni uporabljen, vsebina ne bo servirana prek HTTP/2. Na srečo obstaja veliko načinov za pridobitev SSL certifikata. Če vas zanima pridobitev certifikata Let's Encrypt, si oglejte ta vodnik za ustvarjanje potrdila v Plesku: Let's Encrypt on Plesk .

Čeprav obstaja velika verjetnost, da lahko omogočite HTTP/2, ne da bi to opazili vaši uporabniki ali obiskovalci (in brez izpada), morate to vzdrževanje najaviti. V primeru, da vaša zbirka šifriranja SSL ni bila pravilno konfigurirana, lahko pride do izpada. Na srečo je zelo enostavno razveljaviti spremembe z vgrajenim orodjem Plesk.

Morate biti popolnoma prepričani, da konfiguracijskih datotek ni bilo neposrednih sprememb, saj bomo nekatere konfiguracijske datoteke prepisali. Ni vam treba skrbeti, če ste spremembe izvedli izključno s podprtimi metodami (v datotekah po meri).

Če je mogoče, zavrtite drug strežnik v oblaku Vultr z navadno namestitvijo Plesk in izvedite spodnji ukaz(-e). Nato lahko na podlagi njegovega uspeha (ali neuspeha) sprejmete ukrepe za takojšnje odpravljanje napak in/ali rešitev kakršnih koli težav, ki bi se lahko pojavile pri prihodnjih razmestitvah HTTP/2 na proizvodnih strežnikih, ki so trenutno v uporabi.

Omogočanje HTTP/2

1. korak: Preverjanje zahtev

Takoj iz škatle lahko omogočite podporo HTTP/2 za obratni proxy, ki je bil nameščen Plesk. Če niste prepričani, ali vaš strežnik uporablja povratni proxy, preverite "Service Monitor". Če vidite, da sta tam navedena Apache in Nginx, je varno domnevati, da vaša namestitev trenutno uporablja povratni proxy. Če vidite samo Apache ali samo Nginx, boste najverjetneje uporabljali en sam spletni strežnik.

V jedru obstaja ena posebna zahteva, ki je absolutno potrebna za delovanje HTTP/2, in sicer različica OpenSSL s podporo za ALPN.

Če pa imate v CentOS / RHEL 7, Ubuntu 14.04, Debian 8 ali novejšo različico Plesk 12.5.30 ali novejšo, je Nginx nameščen s podporo za ALPN.

Če imate starejšo različico Pleska ali operacijskega sistema, lahko nadgradite nekatere pakete. Vendar tega ne podpiram ali dokumentiram. Te različice in operacijski sistemi so zelo stare in najboljša praksa bi bila, da jih posodobite. Upoštevajte tudi varnostna tveganja uporabe zastarele programske opreme.

Ni dokumenta, ki bi izrecno navajal, kateri operacijski sistemi in različice so združljivi s HTTP/2 na Plesku; če pa uporabljate najnovejšo različico (v času objave tega priročnika), bi morali izpolnjevati zahteve. Lahko varno domnevate, da starejši operacijski sistemi, kot je CentOS / RHEL 5, ne bodo združljivi.

Poleg zahtev za različico OpenSSL upoštevajte, da ni nujno, da je Apache združljiv tudi s HTTP/2. Podpora HTTP/2 za Apache je na voljo od različice 2.4.17, vendar v primeru, da uporabljate povratni proxy (ki je privzeta nastavitev v Plesku), mora zadostovati samo različica Nginx. Zaledni strežnik, Apache, ne bi moral biti združljiv. Lahko se obrnete na »Upravitelj storitev« v Plesku, da se prepričate, ali uporabljate povratni proxy. Ko je tam naveden Nginx, je varno domnevati, da sta Apache in Nginx nameščena kot nastavitev povratnega proxyja, kjer Nginx deluje kot strežnik frontend.

Naslednji ukaz prikazuje, ali je bil Nginx aktiviran ali ne.

/usr/local/psa/admin/bin/nginxmng -s

Za OpenSSL morate imeti vsaj različico 1.0.1. Preverite lahko z naslednjim ukazom:

rpm -qa | grep openssl

To bo natisnilo različico, podobno:

openssl-1.0.1e-42.el6_7.4.x86_64

Če različica OpenSSL ni enaka ali večja od 1.0.1, posodobite svoj operacijski sistem. Plesk, ki je nameščen v novejših operacijskih sistemih, bo uporabljal OpenSSL 1.0.1 iz škatle.

2. korak: Omogočanje HTTP/2 v Plesku

Odvisno od uporabljenega operacijskega sistema omogočite HTTP/2 z http2_preforodjem. Ta ukaz je treba izvesti kot root.

Omogočanje HTTP/2 na CentOS / RHEL

Izvedi: /usr/local/psa/bin/http2_pref enable

Omogočanje HTTP/2 v Ubuntu / Debian

Izvedi: /opt/psa/bin/http2_pref enable

3. korak: Izboljšajte zbirko šifriranja

Uporaba dobrega paketa šifriranja je izjemno pomembna za varnost. Podpora zastarelih protokolov bo učinkovito premagala učinek vaših varnostnih ukrepov. Prepričajte se, da boste z vgrajenim orodjem Plesk prilagodili razpoložljive protokole in razpoložljive različice TLS sslmng.

Če na primer omogočite naslednje šifre in različice TLS, boste zagotovili združljivost s HTTP/2. Če niste prepričani o šifrah in različicah, ki bi jih morali omogočiti, se držite naslednjih nastavitev:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Ta ukaz spreminja /etc/nginx/conf.d/ssl.conf. To datoteko lahko spremenite neposredno, vendar bo uporaba zgoraj navedenega ukaza ohranila spremembe v posodobitvah Plesk.

Če želite dobiti "popolno tajnost naprej" z uporabo drugega šifrirnega paketa, lahko poskusite z naslednjimi šiframi:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Na voljo je veliko zbirk šifriranja in izberite tistega, ki najbolje ustreza vašim potrebam. Obrnite se na spletno mesto, kot je Cipherli.st , da zberete zbirko šifr, ki ustreza vašim potrebam. Če ga določite v sslmngorodju, bo zbirka šifriranja uporabljena takoj.

Če želite preveriti podporo TLS vašega brskalnika kot odjemalca, uporabite orodje Qualys SSL . Če ne dovolite zadostnih šifr ali različic TLS, lahko nekatera spletna mesta postanejo nedosegljiva.

4. korak: Preverjanje združljivosti HTTP/2

Ko omogočite HTTP/2, preverite, ali je do vaših spletnih mest in spletnega strežnika mogoče doseči prek HTTP/2. Za to obstaja zelo priročno spletno orodje: HTTP/2 Test .

Če želite dobiti natančen rezultat, se prepričajte, da ste onemogočili vse povratne proxyje, ki se nahajajo pred vašim strežnikom. Če na primer uporabljate CDN, ki ne podpira HTTP/2, bo orodje za testiranje vrnilo, da vaše spletno mesto ne podpira HTTP/2, tudi če je uspešno omogočeno na ravni strežnika. Tako kot obratno: če imate pred vašim spletnim mestom povratni proxy, kot je Cloudflare (ki podpira HTTP/2), bo orodje vedno vrnilo HTTP/2 kot omogočen in delujoč, ne glede na njegovo funkcionalnost na ravni strežnika. .

Če nekateri brskalniki zavračajo nalaganje vaših spletnih mest ali prikazovanje katere koli vsebine z vašega spletnega strežnika, potem ko omogočite HTTP/2, analizirajte svojo nastavitev SSL z orodjem Qualys SSL .

(Izbirno) Ponastavitev konfiguracije HTTP/2

Če je potrebno, če potrebujete čas za odpravljanje napak, lahko (začasno) onemogočite HTTP/2 preprosto tako, da izvedete spodnji ukaz. Ko želite znova omogočiti HTTP/2, preprosto izvedite ukaz za njegovo aktivacijo in znova poskusite doseči katero koli od svojih spletnih mest. HTTP/2 ni mogoče omogočiti ali onemogočiti za določene domene ali spletna mesta; to je nastavitev za celoten strežnik.

Onemogočanje HTTP/2 na CentOS / RHEL

Izvedi: /usr/local/psa/bin/http2_pref disable

Onemogočanje HTTP/2 v Ubuntu/Debian

Izvedi: /opt/psa/bin/http2_pref disable

Odpravljanje težav

Glede na številne komponente strežnika, ki sodelujejo pri omogočanju HTTP/2, boste v nekaterih primerih morda morali odpraviti težave, ko se spletna mesta po aktiviranju podpore HTTP/2 ne nalagajo pravilno ali sploh ne.

Opomba:http2_pref pri sledenju teh korakov ne onemogočite podpore HTTP/2 z orodjem.

Preverite zahteve

Najprej se prepričajte, da izpolnjujete zahteve, navedene na začetku tega članka.

Ponovno ustvarite konfiguracijo Nginxa

Če izpolnjujete zahteve za HTTP/2, lahko poskusite znova ustvariti konfiguracijske datoteke Nginx. Vedeti morate, da boste s tem odstranili vse konfiguracije po meri, zato vnaprej ustvarite varnostno kopijo konfiguracijskega imenika Nginx. Ker se konfiguracijske datoteke lahko razširijo po celotnem strežniku, je bolje, da preprosto naredite posnetek ali varnostno kopijo. Nato izvedite ta ukaz:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Ponovno preveri zbirko šifriranja

Če tudi to ne vpliva, je najverjetneje kriva zbirka šifriranja. Ponovno izvedite naslednji ukaz:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Napaka v panel.ini

Prepričajte se, da datoteka /usr/local/psa/admin/conf/panel.inivsebuje naslednjo vsebino:

[webserver]
nginxHttp2 = true

Lahko hitro preverite, ali datoteka to vsebuje, tako da izvedete: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Ali ta ukaz ne vrne ničesar? Potem je najverjetneje datoteka samo za branje, na primer zaradi chattratributa. Morda je bil dodan, ko je http2_prefbil izveden ukaz (za omogočanje HTTP/2).

Preverite, ali je uporabljen SSL

Če spletno mesto ne uporablja SSL, se vrne na HTTP/1.1. Samo spletna mesta, ki uporabljajo SSL, bodo na voljo prek HTTP/2. Prepričajte se, da HTTP/2 ne uveljavljate lokalno v vseh primerih, ker to ne bo delovalo in ni težava na strani strežnika.

Druge možnosti

Če tudi to ne deluje, se posvetujte s strokovnjakom za Plesk, na primer na forumih Plesk. V mnogih primerih bodo zgornji koraki odpravili večino težav.

Zadnji ukrep, ki ga lahko sprejmete, je preprosto ponovni zagon strežnika. V nekaterih nenavadnih primerih je to odpravilo težave iz jasnega. Vendar pa bi morali biti vedno sposobni natančno določiti težave, da preprečite, da bi se (nenadoma) ponovile.

S tem zaključujem moj vodnik, hvala za branje.