Како омогућити ХТТП/2 на Плеск серверу

Плеск има изворну подршку за ХТТП/2. Процес његовог постављања захтева пажљиво планирање, иако је увођење ХТТП/2 на Плеск много лакше у поређењу са другим контролним панелима. Овај водич се односи на различите оперативне системе. Кораци наведени овде ће функционисати све док имате довољно Плеск и ОпенССЛ верзија. Описаћу ове захтеве у „Корак 1: Провера захтева“.

Требало би да узмете у обзир да ће многи претраживачи подржавати ХТТП/2 само за вашу веб локацију ако користите ССЛ сертификат. Када се ССЛ сертификат не користи, садржај се неће сервирати преко ХТТП/2. Срећом, постоји много начина за добијање ССЛ сертификата. Ако сте заинтересовани да добијете Лет'с Енцрипт сертификат, погледајте овај водич за креирање сертификата на Плеску: Хајде да шифрујемо на Плеску .

Иако постоји велика шанса да можете да омогућите ХТТП/2, а да то ваши корисници или посетиоци не примете (и без застоја), требало би да најавите ово одржавање. У случају да ваш ССЛ пакет шифрирања није исправно конфигурисан, може доћи до застоја. Срећом, врло је лако вратити промене користећи Плеск-ов уграђени алат.

Требало би да будете потпуно сигурни да није било директних промена у конфигурационим датотекама, јер ћемо преписати неке конфигурационе датотеке. Међутим, нема разлога за бригу у случају да сте извршили промене искључиво користећи подржане методе (у прилагођеним датотекама).

Ако је могуће, требало би да покренете други Вултр сервер у облаку са обичном инсталацијом Плеск-а и извршите наредбу(е) испод. Затим, на основу његовог успеха (или неуспеха), можете предузети кораке за тренутно отклањање грешака и/или решавање свих проблема који би се могли појавити у будућим ХТТП/2 имплементацијама на производним серверима који се тренутно користе.

Омогућавање ХТТП/2

Корак 1: Провера захтева

Можете да омогућите ХТТП/2 подршку за обрнути прокси од онога који је Плеск примењен. У случају да нисте сигурни да ли ваш сервер користи обрнути прокси, требало би да проверите „Сервице Монитор“. Ако видите и Апацхе и Нгинк наведене тамо, сигурно је претпоставити да ваша инсталација тренутно користи обрнути прокси. Ако видите само Апацхе или само Нгинк, највероватније ћете користити један веб сервер.

У основи, постоји један специфичан захтев који је апсолутно неопходан да би ХТТП/2 радио, а то је ОпенССЛ верзија са подршком за АЛПН.

Међутим, ако имате Плеск верзију 12.5.30 или новију инсталирану на ЦентОС / РХЕЛ 7, Убунту 14.04, Дебиан 8 или новији, Нгинк се поставља са АЛПН подршком одмах из кутије.

Ако имате старију верзију Плеск-а или оперативног система, можете надоградити неке пакете. Међутим, ја то не подржавам нити документујем. Ове верзије и оперативни системи су веома стари и најбоља пракса би била да их ажурирате. Узмите у обзир и безбедносне ризике коришћења застарелог софтвера.

Не постоји документ који експлицитно наводи који оперативни системи и верзије су компатибилни са ХТТП/2 на Плеску; међутим, ако користите најновију верзију (у време када је овај водич објављен), требало би да испуните услове. Можете са сигурношћу претпоставити да старији оперативни системи као што је ЦентОС / РХЕЛ 5 неће бити компатибилни.

Осим захтева за ОпенССЛ верзију, имајте на уму да Апацхе не мора нужно да буде компатибилан и са ХТТП/2. ХТТП/2 подршка за Апацхе је доступна од верзије 2.4.17, али у случају да користите обрнути прокси (што је подразумевана поставка у Плеску) само верзија Нгинк-а мора бити довољна. Позадински сервер, Апацхе, не би морао да буде компатибилан. Можете да консултујете „Менаџер услуга“ у Плеску да бисте били сигурни да користите обрнути прокси. Када је Нгинк тамо наведен, сигурно је претпоставити да су Апацхе и Нгинк инсталирани као подешавање обрнутог проксија где Нгинк делује као фронтенд сервер.

Следећа команда показује да ли је Нгинк активиран или не.

/usr/local/psa/admin/bin/nginxmng -s

За ОпенССЛ, требало би да имате најмање верзију 1.0.1. Можете проверити помоћу следеће команде:

rpm -qa | grep openssl

Ово ће одштампати верзију сличну:

openssl-1.0.1e-42.el6_7.4.x86_64

Ако верзија ОпенССЛ-а није једнака или већа од 1.0.1, требало би да ажурирате свој оперативни систем. Плеск примењен на новијим оперативним системима ће користити ОпенССЛ 1.0.1 из кутије.

Корак 2: Омогућавање ХТТП/2 у Плеску

У зависности од оперативног система који се користи, омогућите ХТТП/2 помоћу http2_prefалатке. Ову наредбу треба извршити као роот.

Омогућавање ХТТП/2 на ЦентОС / РХЕЛ

Изврши: /usr/local/psa/bin/http2_pref enable

Омогућавање ХТТП/2 на Убунту / Дебиан-у

Изврши: /opt/psa/bin/http2_pref enable

Корак 3: Побољшајте пакет шифара

Коришћење доброг пакета шифровања је невероватно важно за безбедност. Подржавање застарелих протокола ће ефикасно умањити ефекат ваших безбедносних мера. Обавезно прилагодите доступне протоколе и доступне ТЛС верзије користећи уграђени Плеск алат sslmng.

На пример, омогућавање следећих шифара и ТЛС верзија ће обезбедити компатибилност са ХТТП/2. Ако нисте сигурни у шифре и верзије које би требало да омогућите, онда се држите следећих подешавања:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Ова команда мења /etc/nginx/conf.d/ssl.conf. Можете директно да измените ову датотеку, али коришћење горе наведене команде ће задржати промене у Плеск ажурирањима.

Да бисте добили „савршену тајност унапред“ користећи други пакет шифара, можете испробати следеће шифре:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

На располагању је много пакета шифри, а требало би да изаберете онај који најбоље одговара вашим потребама. Требало би да консултујете веб локацију као што је Ципхерли.ст да бисте прикупили пакет шифара који одговара вашим потребама. Ако га наведете у sslmngалату, пакет шифри ће се одмах користити.

Да бисте проверили ТЛС подршку вашег претраживача као клијента, користите алатку Куалис ССЛ . Када не дозвољавате довољно шифара или ТЛС верзија, неке веб локације могу постати недоступне.

Корак 4: Провера ХТТП/2 компатибилности

Након што омогућите ХТТП/2, требало би да проверите да ли се до ваших веб локација и веб сервера може доћи преко ХТТП/2. За ово постоји веома згодан веб-базирани алат: ХТТП/2 Тест .

Да бисте добили тачан резултат, уверите се да сте онемогућили све обрнуте прокси сервере који се налазе испред вашег сервера. На пример, ако користите ЦДН који не подржава ХТТП/2, алатка за тестирање ће показати да ваша веб локација не подржава ХТТП/2 чак и ако је успешно омогућена на нивоу сервера. Баш као и обрнуто: ако имате обрнути прокси као што је Цлоудфларе испред ваше веб локације (који подржава ХТТП/2), алат ће увек вратити ХТТП/2 као да је омогућен и да ради, без обзира на његову функционалност на нивоу сервера .

Ако неки прегледачи одбијају да учитају ваше веб-сајтове или послужују било који садржај са вашег веб сервера након што су омогућили ХТТП/2, требало би да анализирате своје ССЛ подешавање користећи Куалисов ССЛ алат .

(Опционално) Враћање ХТТП/2 конфигурације

Ако је потребно, ако вам треба времена за отклањање грешака, можете (привремено) онемогућити ХТТП/2 једноставним извршавањем наредбе испод. Када желите да поново омогућите ХТТП/2, једноставно извршите команду за његово активирање и покушајте поново да дођете до било које од својих веб локација. Не постоји начин да се омогући или онемогући ХТТП/2 за одређене домене или веб локације; то је подешавање за цео сервер.

Онемогућавање ХТТП/2 на ЦентОС / РХЕЛ

Изврши: /usr/local/psa/bin/http2_pref disable

Онемогућавање ХТТП/2 на Убунту / Дебиан-у

Изврши: /opt/psa/bin/http2_pref disable

Решавање проблема

Узимајући у обзир многе компоненте сервера укључене у омогућавање ХТТП/2, у неким случајевима ћете можда морати да решите проблеме када се веб локације не учитавају исправно или се уопште не учитавају након активације ХТТП/2 подршке.

Напомена: пазите да не онемогућите ХТТП/2 подршку користећи http2_prefалатку када пратите ове кораке.

Проверите захтеве

Прво, уверите се да испуњавате захтеве наведене на почетку овог чланка.

Поново направите Нгинк конфигурацију

Ако испуњавате захтеве за ХТТП/2, можете покушати да поново креирате Нгинк конфигурационе датотеке. Требало би да знате да ће ово уклонити све прилагођене конфигурације, па унапред направите резервну копију Нгинк конфигурационог директоријума. Како се конфигурационе датотеке могу ширити по серверу, боље је једноставно направити снимак или направити резервну копију. Затим извршите ову команду:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Поново проверите пакет шифара

Ако ни то нема ефекта, највероватније је крив пакет шифри. Поново извршите следећу команду:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Грешка у panel.ini

Уверите се да датотека /usr/local/psa/admin/conf/panel.iniсадржи следећи садржај:

[webserver]
nginxHttp2 = true

Можете брзо да проверите да ли датотека ово садржи тако што ћете извршити: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Да ли ова команда ништа не враћа? Тада је највероватније датотека само за читање, на пример због chattrатрибута. Можда је додата када је http2_prefнаредба (да се омогући ХТТП/2) извршена.

Проверите да ли се користи ССЛ

Када веб локација не користи ССЛ, вратиће се на ХТТП/1.1. Само веб-сајтови који користе ССЛ ће бити опслуживани користећи ХТТП/2. Уверите се да не примењујете ХТТП/2 локално у свим случајевима, јер то неће функционисати и није проблем на страни сервера.

Друге опције

Ако ни ово не функционише, требало би да консултујете Плеск стручњака, на пример на Плеск форумима. Међутим, у многим случајевима, горњи кораци ће решити већину проблема.

Последња мера коју можете предузети је једноставно поновно покретање сервера. У неким чудним случајевима ово је решило проблеме из ведра неба. Међутим, увек би требало да будете у могућности да прецизно одредите проблеме како бисте спречили да се (изненада) поново понове.

Овим је мој водич завршен, хвала вам на читању.