تمكين HTTP / 2 في Nginx على Ubuntu 16.04

• قم بتثبيت Nginx
• شهادة موقعة ذاتيا و HTTP / 2
• قم بتثبيت إلينكس
• اختبار HTTP / 2
• استنتاج

HTTP / 2 هو الإصدار الجديد من بروتوكول HTTP / 1.1 القديم الذي تم توحيده منذ عام 1999. لقد تغير الكثير على الويب منذ ذلك الحين. تطبيقاتنا أكثر تعقيدًا مما كانت عليه من قبل ، لذلك للتعامل مع ذلك ، كان التغيير في بروتوكول النقل الأساسي ضروريًا. أهم شيء في HTTP / 2 هو أنه سيجعل صفحة الويب الخاصة بك أسرع للمستخدمين النهائيين.

باختصار HTTP / 2 يضيف 5 ميزات رئيسية:

• اتصال فردي ومستمر
• الضرب
• ضغط الرأس
• تحديد أولويات الموارد
• يؤمن طبقة النقل (صالحة للمتصفحات فقط)

شرح كل هذه الميزات خارج نطاق هذا البرنامج التعليمي ولكن إذا كنت تريد التعمق في هذا الموضوع ، يمكنني أن أوصي بمقتطف من كتاب شبكة متصفح عالي الأداء - مقتطف HTTP / 2 .

سنقوم في هذا الدليل بتثبيت أحدث إصدار ثابت من Nginx على Ubuntu 16.04 (Xenial) ، وإنشاء شهادة SSL موقعة ذاتيًا ، وتمكين بروتوكول HTTP / 2 في Nginx وتثبيت متصفح يستند elinksإلى النص ليعمل كعميل HTTP.

قم بتثبيت Nginx

لتثبيت أحدث إصدار ثابت من Nginx ، نحتاج إلى إصدار عدد غير قليل من الأوامر:

1. نحتاج إلى تنزيل مفتاح Nginx PGP العام المستخدم لتوقيع الحزم والمستودعات وإضافته إلى حلقة المفاتيح التي يستخدمها مدير الحزم للتحقق من صحة الحزم التي تم تنزيلها من المستودع.

   wget https://nginx.org/keys/nginx_signing.key && apt-key add nginx_signing.key
   

2. احذف مفتاح PGP من نظام الملفات:

   rm nginx_signing.key
   

3. أضف مستودع جديد

   printf "deb http://nginx.org/packages/ubuntu/ xenial nginx \ndeb-src http://nginx.org/packages/ubuntu/ xenial nginx \n" >> /etc/apt/sources.list.d/nginx.list
   

4. تحديث قائمة الحزمة الخاصة بك وتثبيت Nginx:

   apt update && apt install nginx -y
   

5. للتحقق من إصدار Nginx ، يمكننا استخدام ما يلي:

   nginx -v 
   # nginx version: nginx/1.10.1
   

   إذا سار كل شيء على ما يرام ، يجب أن ترى نمطًا مثل 1.10.xفي الإخراج عند تشغيل nginx -vالأمر.

شهادة موقعة ذاتيا و HTTP / 2

على الرغم من أن مواصفات HTTP / 2 لا تجبر المتصفحات على تنفيذ HTTP / 2 عبر TLS ، قررت جميع المتصفحات الرئيسية تطبيق HTTP / 2 عبر TLS فقط ، ولكن ليس أي إصدار TLS ، فقط TLS 1.2 أو أعلى.

سنقوم بإنشاء شهادات موقعة ذاتيًا example.comلنطاق خيالي ، للإنتاج تحتاج إلى نطاق صالح واستخدام CA موثوق به.

1. إنشاء مفتاح خاص:

   openssl genrsa -aes128 -out example.com.key 2048
   

   بعد تشغيل هذا الأمر ، ستحتاج إلى إدخال عبارة المرور مرتين. لأن عبارات المرور مزعجة سنقوم بإزالتها.

2. إزالة عبارة المرور من المفتاح الخاص:

   openssl rsa -in example.com.key -out example.com.key
   

3. إنشاء طلب توقيع الشهادة (CSR):

   openssl req -new -sha256 -key example.com.key -out cert-request.csr 
   

   نحن نقوم بإنشاء شهادة ذات نطاق واحد لذا نحتاج إلى تعيين حقل اسم عام يساوي example.comالمجال

4. إنشاء شهادة:

   openssl x509 -req -days 365 -in cert-request.csr -signkey example.com.key -out example.com.crt
   

5. فرز الشهادة والمفتاح الخاص:

   mkdir -p /etc/ssl/testing/private && mkdir /etc/ssl/testing/certs
   mv example.com.key /etc/ssl/testing/private && mv example.com.crt /etc/ssl/testing/certs
   

6. إنشاء أدلة مضيف nginx الظاهري

   mkdir /etc/nginx/sites-available && mkdir /etc/nginx/sites-enabled
   

7. ثم اركض nano /etc/nginx/nginx.confوابحث عن توجيه include /etc/nginx/conf.d/*.conf;. تحت هذا التوجيه أضف include /etc/nginx/sites-enabled/*;حفظ ( CTRL + O ) ثم قم بإنهاء ( CTRL + X ).

   ##
   # Virtual Hosts
   ##
   include /etc/nginx/conf.d/*.conf;
   include /etc/nginx/sites-enabled/*;
   

8. قم بإنشاء ملف يسمى example.com.confداخل /etc/nginx/sites-availableالدليل بهذا الأمر nano /etc/nginx/sites-available/example.com.confوانسخ / الصق الكود التالي:

   server {
       listen 80;
       listen [::]:80;
       server_name example.com;
       return 301 https://$host$request_uri;
   }
   server {
       listen 443 ssl http2;
       listen [::]:443 ssl http2;
       server_name example.com;
       root /var/www/html;
       index index.nginx-debian.html;
   
       ssl_certificate /etc/ssl/testing/certs/example.com.crt;
       ssl_certificate_key /etc/ssl/testing/private/example.com.key;
   
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
       ssl_prefer_server_ciphers on;
   }
   

   تهانينا ، لديك الآن خادم ويب ممكّن لـ HTTP / 2 . ستوفر لك إضافة http2معلمة إلى listenالتوجيه داخل مضيف HTTPS الظاهري دعم HTTP / 2 .

9. أنشئ رابطًا رمزيًا /etc/nginx/sites-available/example.com.confلهذا الأمر:

   ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled
   

10. اختبار بناء التكوين

    nginx -t
    

11. أعد تشغيل Nginx لتطبيق تغييراتك:

    systemctl restart nginx
    

12. أضف example.comالمجال /etc/hostsللملف

    echo '127.0.0.1    example.com' >> /etc/hosts
    

قم بتثبيت إلينكس

لاختبار مضيفك الافتراضي ، نحتاج إلى متصفح نصي - elinks.

1. لتثبيت elinks استخدم الأمر التالي:

   apt install elinks
   

2. لاختبار example.comتشغيل مضيفك الظاهري:

   elinks https://example.com
   

3. للخروج من متصفح elinks اضغط q على لوحة المفاتيح ثم أدخل .

اختبار HTTP / 2

لمعرفة ما يعلن خادم البروتوكولات أسهل طريقة هو استخدام opensslمجموعة الأدوات.

    openssl s_client -connect example.com:443 -nextprotoneg ''

في إخراج هذا الأمر يجب أن ترى شيئًا مثل هذا:

    CONNECTED(00000003)
    Protocols advertised by server: h2, http/1.1      

لرؤية HTTP / 2 في العمل ، يمكنك استخدام أدوات مطور المتصفح. يشار بروتوكول HTTP / 2 إما مع h2أو HTTP/2.0معرفات. افتح لوحة الشبكة في أدوات التطوير وقم بتحديث صفحتك.

استنتاج

الآن يجب أن تكون على دراية بمدى "سهولة" تمكين HTTP / 2 في تكوين Nginx ، ولكن هذا ليس الجزء الكامل من الصورة الإجمالية. أولاً ، يجب أن تفكر في تمكين TLS / SSL على الخادم الخاص بك مع مجموعات تشفير قوية وتأكد من أنك لا تستخدم الشفرات المدرجة في القائمة السوداء . فقط بعد تمكين TLS / SSL قوي على الخادم الخاص بك ، يمكنك البدء في التفكير في تمكين HTTP / 2 .