Povoľte HTTP/2 v Nginx na Ubuntu 16.04

HTTP/2 je nová verzia dnes už zastaraného protokolu HTTP/1.1, ktorý bol štandardizovaný už v roku 1999. Odvtedy sa na webe veľa zmenilo. Naše aplikácie sú zložitejšie ako v minulosti, takže aby sme sa s tým vyrovnali, bola potrebná zmena základného transportného protokolu. Najdôležitejšia vec na HTTP/2 je, že zrýchli vašu webovú stránku pre koncových používateľov.

Stručne povedané, HTTP/2 pridáva 5 kľúčových funkcií:

• Jediné, trvalé pripojenie
• Multiplexovanie
• Kompresia hlavičky
• Uprednostňovanie zdrojov
• Zabezpečuje transportnú vrstvu (platí len pre prehliadače)

Vysvetlenie všetkých týchto funkcií je mimo rozsahu tohto návodu, ale ak sa chcete hlbšie ponoriť do tejto témy, môžem vám odporučiť úryvok z knihy High Performance Browser Networking – HTTP/2 úryvok .

V tejto príručke nainštalujeme najnovšiu stabilnú verziu Nginx na Ubuntu 16.04 (Xenial), vygenerujeme certifikát SSL s vlastným podpisom, povolíme protokol HTTP/2 v Nginx a nainštalujeme textový prehliadač, ktorý elinksbude fungovať ako klient HTTP.

Nainštalujte Nginx

Ak chcete nainštalovať najnovšiu stabilnú verziu Nginx, musíme vydať niekoľko príkazov:

1. Musíme si stiahnuť verejný kľúč PGP Nginx používaný na podpisovanie balíkov a úložísk a pridať ho do zväzku kľúčov, ktorý používa správca balíkov na overenie pravosti balíkov stiahnutých z úložiska.

   wget https://nginx.org/keys/nginx_signing.key && apt-key add nginx_signing.key
   

2. Odstráňte kľúč PGP zo systému súborov:

   rm nginx_signing.key
   

3. Pridať nové úložisko

   printf "deb http://nginx.org/packages/ubuntu/ xenial nginx \ndeb-src http://nginx.org/packages/ubuntu/ xenial nginx \n" >> /etc/apt/sources.list.d/nginx.list
   

4. Aktualizujte svoj zoznam balíkov a nainštalujte Nginx:

   apt update && apt install nginx -y
   

5. Na overenie verzie Nginx môžeme použiť nasledovné:

   nginx -v 
   # nginx version: nginx/1.10.1
   

   Ak všetko pôjde dobre, mali by ste 1.10.xpri spustení nginx -vpríkazu vidieť vzor ako vo výstupe .

Certifikát s vlastným podpisom a HTTP/2

Although HTTP/2 spec doesn’t force browsers to implement HTTP/2 over TLS, all major browsers decided to only implement HTTP/2 over TLS, but not any TLS version, only TLS 1.2 or higher.

Chystáme sa vytvoriť example.comcertifikáty s vlastným podpisom pre fiktívnu doménu, na produkciu potrebujete platnú doménu a použite dôveryhodnú CA.

1. Vygenerovať súkromný kľúč:

   openssl genrsa -aes128 -out example.com.key 2048
   

   Po spustení tohto príkazu budete musieť zadať prístupovú frázu 2-krát. Pretože prístupové frázy sú nepríjemné, odstránime ich.

2. Odstrániť prístupovú frázu zo súkromného kľúča:

   openssl rsa -in example.com.key -out example.com.key
   

3. Vygenerovať žiadosť o podpis certifikátu (CSR):

   openssl req -new -sha256 -key example.com.key -out cert-request.csr 
   

   We are creating single-domain certificate so we need to set common-name field equal to example.com domain

4. Vytvoriť certifikát:

   openssl x509 -req -days 365 -in cert-request.csr -signkey example.com.key -out example.com.crt
   

5. Vytriediť certifikát a súkromný kľúč:

   mkdir -p /etc/ssl/testing/private && mkdir /etc/ssl/testing/certs
   mv example.com.key /etc/ssl/testing/private && mv example.com.crt /etc/ssl/testing/certs
   

6. Vytvorte virtuálne hostiteľské adresáre nginx

   mkdir /etc/nginx/sites-available && mkdir /etc/nginx/sites-enabled
   

7. Potom spustite nano /etc/nginx/nginx.confa nájdite smernicu include /etc/nginx/conf.d/*.conf;. Pod túto direktívu pridajte include /etc/nginx/sites-enabled/*;Uložiť ( CTRL+O ) a potom skončiť ( CTRL+X ).

   ##
   # Virtual Hosts
   ##
   include /etc/nginx/conf.d/*.conf;
   include /etc/nginx/sites-enabled/*;
   

8. Vytvorte súbor s názvom example.com.confvnútri /etc/nginx/sites-availableadresára pomocou tohto príkazu nano /etc/nginx/sites-available/example.com.confa skopírujte/prilepte nasledujúci kód:

   server {
       listen 80;
       listen [::]:80;
       server_name example.com;
       return 301 https://$host$request_uri;
   }
   server {
       listen 443 ssl http2;
       listen [::]:443 ssl http2;
       server_name example.com;
       root /var/www/html;
       index index.nginx-debian.html;
   
       ssl_certificate /etc/ssl/testing/certs/example.com.crt;
       ssl_certificate_key /etc/ssl/testing/private/example.com.key;
   
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
       ssl_prefer_server_ciphers on;
   }
   

   Gratulujeme, teraz máte webový server s povoleným HTTP/2 . Pridaním http2parametra do listendirektívy vo virtuálnom hostiteľovi HTTPS získate podporu HTTP/2 .

9. Vytvorte symbolický odkaz pre /etc/nginx/sites-available/example.com.confpomocou tohto príkazu:

   ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled
   

10. Syntax testovacej konfigurácie

    nginx -t
    

11. Reštartujte Nginx, aby ste použili svoje zmeny:

    systemctl restart nginx
    

12. Pridajte example.comdoménu do /etc/hostssúboru

    echo '127.0.0.1    example.com' >> /etc/hosts
    

Nainštalujte elinks

Na otestovanie vášho virtuálneho hostiteľa potrebujeme textový prehliadač – elinks.

1. Ak chcete nainštalovať elinks, použite nasledujúci príkaz:

   apt install elinks
   

2. Ak chcete otestovať example.comspustenie virtuálneho hostiteľa:

   elinks https://example.com
   

3. Ak chcete ukončiť prehliadač elinks, stlačte q na klávesnici a potom Enter .

Otestujte HTTP/2

Ak chcete zistiť, aké protokoly server inzeruje, najjednoduchším spôsobom je použiť opensslsadu nástrojov.

    openssl s_client -connect example.com:443 -nextprotoneg ''

Vo výstupe tohto príkazu by ste mali vidieť niečo takéto:

    CONNECTED(00000003)
    Protocols advertised by server: h2, http/1.1      

Ak chcete vidieť HTTP/2 v akcii, môžete použiť nástroje pre vývojárov prehliadača. Protokol HTTP/2 je označený pomocou identifikátorov h2alebo HTTP/2.0. Otvorte panel siete v nástrojoch pre vývojárov a obnovte svoju stránku.

Záver

Teraz by ste si mali byť vedomí toho, aké „jednoduché“ je povoliť HTTP/2 v konfigurácii Nginx, ale to nie je celá časť celkového obrazu. Najprv by ste sa mali zamyslieť nad povolením TLS/SSL na vašom serveri so silnými šifrovacími sadami a uistiť sa, že nepoužívate šifry na čiernej listine . Až po povolení silného TLS/SSL na vašom serveri môžete začať uvažovať o povolení HTTP/2 .