Як увімкнути HTTP/2 на сервері Plesk

Plesk має вбудовану підтримку HTTP/2. Його процес розгортання вимагає ретельного планування, хоча розгортання HTTP/2 на Plesk набагато простіше в порівнянні з іншими панелями керування. Ця інструкція стосується різних операційних систем. Наведені тут кроки працюватимуть, якщо у вас є достатні версії Plesk і OpenSSL. Я опишу ці вимоги в «Крок 1: Перевірка вимог».

Вам слід враховувати, що багато браузерів підтримують HTTP/2 лише для вашого веб-сайту, якщо ви використовуєте сертифікат SSL. Якщо сертифікат SSL не використовується, вміст не обслуговуватиметься через HTTP/2. На щастя, існує багато способів отримати сертифікат SSL. Якщо ви зацікавлені в отриманні сертифіката Let's Encrypt, ознайомтеся з цим посібником зі створення сертифіката на Plesk: Let’s Encrypt на Plesk .

Незважаючи на те, що є велика ймовірність, що ви зможете ввімкнути HTTP/2 без того, щоб ваші користувачі або відвідувачі цього не помітили (і без простоїв), вам слід оголосити про це обслуговування. Якщо ваш набір шифрів SSL неправильно налаштовано, може виникнути час простою. На щастя, дуже легко повернути зміни за допомогою вбудованого інструменту Plesk.

Ви повинні бути абсолютно впевнені, що до файлів конфігурації не було внесено прямих змін, оскільки ми перезапишемо деякі файли конфігурації. Однак нема про що хвилюватися, якщо ви вносили зміни виключно за допомогою підтримуваних методів (у користувацьких файлах).

Якщо можливо, вам слід запустити інший хмарний сервер Vultr із звичайною інсталяцією Plesk і виконати команду(и) нижче. Потім, на основі його успіху (або невдачі), ви можете вжити заходів для миттєвого налагодження та/або вирішення будь-яких проблем, які можуть виникнути під час майбутніх розгортань HTTP/2 на робочих серверах, які зараз використовуються.

Увімкнення HTTP/2

Крок 1: Перевірка вимог

Ви можете ввімкнути підтримку HTTP/2 для зворотного проксі-сервера, який був розгорнутий Plesk. Якщо ви не впевнені, чи ваш сервер використовує зворотний проксі-сервер, перевірте «Монітор сервісу». Якщо ви бачите в списку як Apache, так і Nginx, можна з упевненістю припустити, що зараз ваша інсталяція використовує зворотний проксі-сервер. Якщо ви бачите лише Apache або тільки Nginx, швидше за все, ви будете використовувати один веб-сервер.

У ядрі існує одна конкретна вимога, яка абсолютно необхідна для роботи HTTP/2, а саме версія OpenSSL з підтримкою ALPN.

Однак, якщо у вас встановлено Plesk версії 12.5.30 або новішої на CentOS / RHEL 7, Ubuntu 14.04, Debian 8 або новішої версії, Nginx розгортається з підтримкою ALPN «з коробки».

Якщо у вас старіша версія Plesk або операційної системи, ви можете оновити деякі пакунки. Однак я не підтримую і не документую цього. Ці версії та операційні системи дуже старі, і найкращою практикою буде їх оновлення. Зверніть увагу на ризики безпеки використання застарілого програмного забезпечення.

Немає жодного документа, який чітко вказує, які операційні системи та версії сумісні з HTTP/2 на Plesk; однак, якщо ви використовуєте найновішу версію (на момент публікації цього посібника), ви повинні відповідати вимогам. Ви можете сміливо вважати, що старі операційні системи, такі як CentOS / RHEL 5, не будуть сумісні.

Крім вимог до версії OpenSSL, зауважте, що Apache не обов’язково повинен бути сумісним із HTTP/2. Підтримка HTTP/2 для Apache доступна з версії 2.4.17, але якщо ви використовуєте зворотний проксі (який є параметром за замовчуванням у Plesk), достатньо лише версії Nginx. Бекенд-сервер Apache не повинен бути сумісним. Ви можете звернутися до «Менеджера послуг» у Plesk, щоб переконатися, що ви використовуєте зворотний проксі-сервер. Коли Nginx вказано там, можна з упевненістю припустити, що Apache і Nginx встановлені як налаштування зворотного проксі, де Nginx виступає як сервер інтерфейсу.

Наступна команда показує, чи активовано Nginx.

/usr/local/psa/admin/bin/nginxmng -s

Для OpenSSL у вас повинна бути версія 1.0.1 принаймні. Перевірити можна за допомогою такої команди:

rpm -qa | grep openssl

Це надрукує версію, подібну до:

openssl-1.0.1e-42.el6_7.4.x86_64

Якщо версія OpenSSL не дорівнює або перевищує 1.0.1, вам слід оновити операційну систему. Plesk, розгорнутий на новіших операційних системах, використовуватиме OpenSSL 1.0.1 з коробки.

Крок 2: Увімкнення HTTP/2 у Plesk

Залежно від використовуваної операційної системи увімкніть HTTP/2 за допомогою http2_prefінструмента. Цю команду слід виконувати як root.

Увімкнення HTTP/2 на CentOS/RHEL

Виконати: /usr/local/psa/bin/http2_pref enable

Увімкнення HTTP/2 на Ubuntu/Debian

Виконати: /opt/psa/bin/http2_pref enable

Крок 3: Покращити набір шифрів

Використання хорошого набору шифрів надзвичайно важливо для безпеки. Підтримка застарілих протоколів ефективно порушить дію ваших заходів безпеки. Обов’язково налаштуйте доступні протоколи та доступні версії TLS за допомогою вбудованого інструменту Plesk sslmng.

Наприклад, увімкнення наступних шифрів і версій TLS забезпечить сумісність із HTTP/2. Якщо ви не впевнені, які шифри та версії потрібно ввімкнути, дотримуйтеся наведених нижче налаштувань:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Ця команда змінює /etc/nginx/conf.d/ssl.conf. Ви можете змінити цей файл безпосередньо, але використання наведеної вище команди збереже зміни в оновленнях Plesk.

Щоб отримати «Ідеальну пряму секретність» за допомогою іншого набору шифрів, ви можете спробувати такі шифри:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Доступно багато наборів шифрів, і вам слід вибрати той, який найкраще відповідає вашим потребам. Вам слід звернутися до такого веб-сайту, як Cipherli.st , щоб зібрати набір шифрів, який відповідає вашим потребам. Якщо вказати його в sslmngінструменті, набір шифрів буде використано миттєво.

Щоб перевірити підтримку TLS у вашому браузері як клієнті, скористайтеся інструментом Qualys SSL . Якщо ви не дозволяєте достатньо шифрів або версій TLS, деякі веб-сайти можуть стати недоступними.

Крок 4: Перевірка сумісності HTTP/2

Після ввімкнення HTTP/2 вам слід перевірити, чи можна отримати доступ до ваших веб-сайтів і веб-сервера через HTTP/2. Для цього є дуже зручний веб-інструмент: HTTP/2 Test .

Щоб отримати точний результат, переконайтеся, що ви вимкнули всі зворотні проксі, розташовані перед вашим сервером. Наприклад, якщо ви використовуєте CDN, який не підтримує HTTP/2, інструмент тестування повідомить, що ваш веб-сайт не підтримує HTTP/2, навіть якщо його успішно ввімкнено на рівні сервера. Як і навпаки: якщо у вас є зворотний проксі-сервер, такий як Cloudflare перед вашим веб-сайтом (який підтримує HTTP/2), інструмент завжди повертатиме HTTP/2 як увімкнений та працюючий, незалежно від його функціональності на рівні сервера. .

Якщо деякі браузери відмовляються завантажувати ваші веб-сайти або обслуговувати будь-який вміст із вашого веб-сервера після ввімкнення HTTP/2, вам слід проаналізувати налаштування SSL за допомогою інструмента Qualys SSL .

(Необов’язково) Повернення конфігурації HTTP/2

Якщо потрібно, якщо вам потрібен час для налагодження, ви можете (тимчасово) вимкнути HTTP/2, просто виконавши команду нижче. Як тільки ви захочете знову ввімкнути HTTP/2, просто виконайте команду для його активації та повторіть спробу відкрити будь-який із ваших веб-сайтів. Немає способу ввімкнути або вимкнути HTTP/2 для певних доменів або веб-сайтів; це налаштування для всього сервера.

Вимкнення HTTP/2 на CentOS / RHEL

Виконати: /usr/local/psa/bin/http2_pref disable

Вимкнення HTTP/2 в Ubuntu/Debian

Виконати: /opt/psa/bin/http2_pref disable

Вирішення проблем

Враховуючи багато компонентів сервера, які беруть участь у ввімкненні HTTP/2, у деяких випадках може знадобитися усунути неполадки, коли веб-сайти завантажуються неправильно або взагалі не завантажуються після активації підтримки HTTP/2.

Примітка: не вимикайте підтримку HTTP/2 за допомогою http2_prefінструмента, виконуючи ці дії.

Перевірте вимоги

По-перше, переконайтеся, що ви відповідаєте вимогам, викладеним на початку цієї статті.

Відтворіть конфігурацію Nginx

Якщо ви відповідаєте вимогам для HTTP/2, ви можете спробувати відтворити файли конфігурації Nginx. Ви повинні знати, що це призведе до видалення будь-яких користувацьких конфігурацій, тому створіть резервну копію каталогу конфігурації Nginx заздалегідь. Оскільки файли конфігурації можуть бути поширені по всьому серверу, краще просто зробити знімок або зробити резервну копію. Потім виконайте цю команду:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Повторно перевірте набір шифрів

Якщо це також не має ніякого ефекту, швидше за все, винен набір шифрів. Виконайте таку команду ще раз:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Помилка в panel.ini

Переконайтеся, що файл /usr/local/psa/admin/conf/panel.iniмістить такий вміст:

[webserver]
nginxHttp2 = true

Ви можете швидко перевірити, чи файл містить це, виконавши: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Ця команда нічого не повертає? Тоді, швидше за все, файл доступний лише для читання, наприклад, через chattrатрибут. Можливо, він був доданий під час виконання http2_prefкоманди (щоб увімкнути HTTP/2).

Перевірте, чи використовується SSL

Якщо веб-сайт не використовує SSL, він повернеться до HTTP/1.1. Тільки веб-сайти, які використовують SSL, обслуговуватимуться за допомогою HTTP/2. Переконайтеся, що ви не використовуєте HTTP/2 локально в усіх випадках, оскільки це не спрацює і не є проблемою на стороні сервера.

Інші варіанти

Якщо це також не спрацює, вам слід звернутися до експерта Plesk, наприклад, на форумах Plesk. Однак у багатьох випадках наведені вище дії вирішують більшість проблем.

Останній захід, який ви можете зробити, — це просто перезавантажити сервер. У деяких дивних випадках це вирішує проблеми раптово. Однак ви завжди повинні мати можливість точно визначити проблеми, щоб запобігти їх (раптово) повторенню.

На цьому мій посібник завершується, дякую, що прочитали.