Hur man aktiverar HTTP/2 på en Plesk-server

Plesk har inbyggt HTTP/2-stöd. Dess distributionsprocess kräver noggrann planering, även om det är mycket lättare att rulla ut HTTP/2 på Plesk jämfört med andra kontrollpaneler. Den här guiden gäller en mängd olika operativsystem. Stegen som anges här kommer att fungera så länge du har tillräckliga Plesk- och OpenSSL-versioner. Jag kommer att beskriva dessa krav i "Steg 1: Kontrollera krav".

Du bör ta hänsyn till att många webbläsare endast stöder HTTP/2 för din webbplats om du använder ett SSL-certifikat. När ett SSL-certifikat inte används kommer innehållet inte att visas över HTTP/2. Lyckligtvis finns det många sätt att få ett SSL-certifikat. Om du är intresserad av att få ett Let's Encrypt-certifikat, kolla in den här guiden för att skapa ett på Plesk: Let's Encrypt on Plesk .

Även om det finns en god chans att du kan aktivera HTTP/2 utan att dina användare eller besökare märker det (och utan driftstopp), bör du meddela detta underhåll. Om din SSL-chiffersvit inte har konfigurerats korrekt kan det bli lite driftstopp. Lyckligtvis är det väldigt enkelt att återställa ändringarna med Plesks inbyggda verktyg.

Du bör vara helt säker på att det inte har gjorts några direkta ändringar i konfigurationsfilerna, eftersom vi kommer att skriva över vissa konfigurationsfiler. Det finns dock inget att oroa sig för om du uteslutande har gjort ändringar med stödda metoder (i anpassade filer).

Om möjligt bör du snurra upp en annan Vultr-molnserver med en vanlig Plesk-installation och köra kommandot/kommandona nedan. Sedan, baserat på dess framgång (eller misslyckande), kan du vidta åtgärder för att omedelbart felsöka och/eller lösa eventuella problem som kan uppstå i framtida HTTP/2-distributioner på produktionsservrar som för närvarande används.

Aktiverar HTTP/2

Steg 1: Kontrollera krav

Direkt från förpackningen kan du aktivera HTTP/2-stöd för den omvända proxyn som Plesk distribuerades. Om du inte är säker på om din server använder en omvänd proxy, bör du kontrollera "Service Monitor". Om du ser både Apache och Nginx listade där, är det säkert att anta att din installation för närvarande använder en omvänd proxy. Om du bara ser Apache eller bara Nginx, kommer du sannolikt att använda en enda webbserver.

I kärnan finns det ett specifikt krav som absolut krävs för att HTTP/2 ska fungera, vilket är en OpenSSL-version med ALPN-stöd.

Men om du har Plesk version 12.5.30 eller senare installerad på CentOS / RHEL 7, Ubuntu 14.04, Debian 8 eller senare, distribueras Nginx med ALPN-stöd direkt.

Om du har en äldre Plesk- eller operativsystemversion kan du uppgradera vissa paket. Jag stödjer eller dokumenterar dock inte detta. Dessa versioner och operativsystem är mycket gamla, och bästa praxis skulle vara att uppdatera dem. Tänk också på säkerhetsriskerna med att använda föråldrad programvara.

Det finns inget dokument som uttryckligen anger vilka operativsystem och versioner som är kompatibla med HTTP/2 på Plesk; Men om du använder den senaste versionen (vid den tidpunkt då denna guide publicerades) bör du uppfylla kraven. Du kan säkert anta att äldre operativsystem som CentOS / RHEL 5 inte kommer att vara kompatibla.

Bortsett från OpenSSL-versionskraven, notera att Apache inte nödvändigtvis också behöver vara kompatibel med HTTP/2. HTTP/2-stöd för Apache har varit tillgängligt sedan version 2.4.17, men om du använder en omvänd proxy (som är standardinställningen i Plesk) behöver bara Nginx-versionen räcka. Backend-servern, Apache, skulle inte behöva vara kompatibel. Du kan konsultera "Service Manager" i Plesk för att se till att du använder en omvänd proxy. När Nginx är listad där är det säkert att anta att Apache och Nginx är installerade som en omvänd proxy-inställning där Nginx fungerar som frontend-server.

Följande kommando visar om Nginx har aktiverats eller inte.

/usr/local/psa/admin/bin/nginxmng -s

För OpenSSL bör du ha minst version 1.0.1. Du kan kontrollera med följande kommando:

rpm -qa | grep openssl

Detta kommer att skriva ut en version som liknar:

openssl-1.0.1e-42.el6_7.4.x86_64

Om OpenSSL-versionen inte är lika med eller högre än 1.0.1 bör du uppdatera ditt operativsystem. Plesk som distribueras på nyare operativsystem kommer att använda OpenSSL 1.0.1 direkt.

Steg 2: Aktivera HTTP/2 i Plesk

Beroende på vilket operativsystem som används, aktivera HTTP/2 med hjälp av http2_prefverktyget. Detta kommando bör köras som root.

Aktiverar HTTP/2 på CentOS / RHEL

Kör: /usr/local/psa/bin/http2_pref enable

Aktiverar HTTP/2 på Ubuntu / Debian

Kör: /opt/psa/bin/http2_pref enable

Steg 3: Förbättra chiffersviten

Att använda en bra chiffersvit är otroligt viktigt för säkerheten. Att stödja föråldrade protokoll kommer effektivt att motverka effekten av dina säkerhetsåtgärder. Se till att justera tillgängliga protokoll och tillgängliga TLS-versioner med det inbyggda Plesk-verktyget sslmng.

Om du till exempel aktiverar följande chiffer och TLS-versioner säkerställer du kompatibilitet med HTTP/2. Om du är ganska osäker på vilka chiffer och versioner du bör aktivera, håll dig till följande inställningar:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Detta kommando ändrar /etc/nginx/conf.d/ssl.conf. Du kan modifiera den här filen direkt, men genom att använda kommandot som anges ovan kommer ändringarna att fortsätta över Plesk-uppdateringar.

För att få "Perfekt framåtsekretess" med en annan chiffersvit kan du prova följande chiffer:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Det finns många chiffersviter tillgängliga, och du bör välja den som passar dina behov bäst. Du bör konsultera en webbplats som Cipherli.st för att samla en chiffersvit som passar dina behov. Genom att specificera det i sslmngverktyget kommer chiffersviten att användas direkt.

För att kontrollera TLS-stödet för din webbläsare som klient, använd Qualys SSL-verktyget . När du inte tillåter tillräckligt med chiffer eller TLS-versioner kan vissa webbplatser bli oåtkomliga.

Steg 4: Kontrollera HTTP/2-kompatibilitet

Efter att ha aktiverat HTTP/2 bör du kontrollera om din webbplats och webbserver kan nås över HTTP/2. Det finns ett mycket praktiskt webbaserat verktyg för detta: HTTP/2 Test .

För att få ett korrekt resultat, se till att du har inaktiverat alla omvända proxyservrar som finns framför din server. Om du till exempel använder ett CDN som inte stöder HTTP/2, kommer testverktyget att returnera att din webbplats inte stöder HTTP/2 även om den har aktiverats på servernivå. Precis som tvärtom: om du har en omvänd proxy som Cloudflare framför din webbplats (som stöder HTTP/2) kommer verktyget alltid att returnera HTTP/2 som aktiverat och fungerande, oavsett dess funktionalitet på servernivån .

Om vissa webbläsare vägrar att ladda din webbplats(er) eller visa något innehåll från din webbserver efter att ha aktiverat HTTP/2, bör du analysera din SSL-inställning med Qualys SSL-verktyg .

(Valfritt) Återställ HTTP/2-konfiguration

Om det behövs, om du behöver tid för att felsöka, kan du (tillfälligt) inaktivera HTTP/2 genom att helt enkelt utföra kommandot nedan. När du vill återaktivera HTTP/2, kör du bara kommandot för att aktivera det och försök igen att nå någon av dina webbplatser. Det finns inget sätt att aktivera eller inaktivera HTTP/2 för specifika domäner eller webbplatser; det är en serveromfattande inställning.

Inaktiverar HTTP/2 på CentOS / RHEL

Kör: /usr/local/psa/bin/http2_pref disable

Inaktiverar HTTP/2 på Ubuntu / Debian

Kör: /opt/psa/bin/http2_pref disable

Felsökning

Med tanke på de många komponenterna på en server som är involverade i att aktivera HTTP/2, kan du i vissa fall behöva felsöka när webbplatser inte laddas korrekt eller inte alls efter att ha aktiverat HTTP/2-stöd.

Obs: se till att inte inaktivera HTTP/2-stöd med http2_prefverktyget när du följer dessa steg.

Kontrollera kraven

Se först till att du uppfyller kraven som beskrivs i början av den här artikeln.

Återskapa Nginx-konfigurationen

Om du uppfyller kraven för HTTP/2 kan du försöka återskapa Nginx-konfigurationsfilerna. Du bör veta att detta kommer att ta bort alla anpassade konfigurationer, så skapa en säkerhetskopia av Nginx-konfigurationskatalogen i förväg. Eftersom konfigurationsfilerna kan spridas över hela servern är det bättre att helt enkelt göra en ögonblicksbild eller ta en säkerhetskopia. Kör sedan detta kommando:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Kontrollera chiffersviten igen

Om det inte heller har någon effekt, är det troligtvis chiffersviten som bär skulden. Utför följande kommando igen:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Fel i panel.ini

Se till att filen /usr/local/psa/admin/conf/panel.iniinnehåller följande innehåll:

[webserver]
nginxHttp2 = true

Du kan snabbt kontrollera om filen innehåller detta genom att köra: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Returnerar detta kommando ingenting? Då är filen troligen skrivskyddad, till exempel på grund av ett chattrattribut. Det kan ha lagts till när http2_prefkommandot (för att aktivera HTTP/2) kördes.

Kontrollera om SSL används

När en webbplats inte använder SSL kommer den att falla tillbaka till HTTP/1.1. Endast webbplatser som använder SSL kommer att betjänas med HTTP/2. Se till att du inte upprätthåller HTTP/2 lokalt i alla fall, eftersom det inte fungerar och inte är ett problem på serversidan.

Andra alternativ

Skulle detta inte heller fungera bör du rådfråga en Plesk-expert, till exempel på Plesks forum. I många fall löser stegen ovan de flesta problem.

En sista åtgärd du kan vidta är att helt enkelt starta om servern. I vissa konstiga fall har detta löst problem helt i det blå. Du bör dock alltid kunna lokalisera problem för att förhindra att de (plötsligt) händer igen.

Det avslutar min guide, tack för att du läser.