Aktivieren Sie HTTP / 2 in Nginx unter Ubuntu 16.04

• Installieren Sie Nginx
• Selbstsigniertes Zertifikat und HTTP / 2
• Installiere elinks
• Testen Sie HTTP / 2
• Fazit

HTTP / 2 ist die neue Version des mittlerweile veralteten HTTP / 1.1-Protokolls, das bereits 1999 standardisiert wurde. Seitdem hat sich im Web viel geändert. Unsere Anwendungen sind komplexer als früher. Um dies zu bewältigen, war eine Änderung des zugrunde liegenden Transportprotokolls erforderlich. Das Wichtigste an HTTP / 2 ist, dass Ihre Webseite dadurch für die Endbenutzer schneller wird.

In Kürze fügt HTTP / 2 5 Hauptfunktionen hinzu :

• Einzelne, dauerhafte Verbindung
• Multiplexing
• Header-Komprimierung
• Ressourcenpriorisierung
• Sichert die Transportschicht (nur für Browser gültig)

Das Erläutern all dieser Funktionen fällt nicht in den Rahmen dieses Lernprogramms. Wenn Sie sich jedoch eingehender mit diesem Thema befassen möchten, kann ich Ihnen einen Auszug aus dem High Performance Browser Networking-Buch - HTTP / 2-Auszug - empfehlen .

In diesem Handbuch werden wir die neueste stabile Version von Nginx unter Ubuntu 16.04 (Xenial) installieren, ein selbstsigniertes SSL-Zertifikat generieren, das HTTP / 2- Protokoll in Nginx aktivieren und einen textbasierten Browser installieren elinks, der als HTTP-Client fungiert.

Installieren Sie Nginx

Um die neueste stabile Version von Nginx zu installieren, müssen wir einige Befehle ausgeben:

1. Wir müssen den öffentlichen Nginx-PGP-Schlüssel herunterladen, der zum Signieren von Paketen und Repositorys verwendet wird, und ihn in den Schlüsselring des Paketmanagers einfügen, um die Authentizität der aus dem Repository heruntergeladenen Pakete zu überprüfen.

   wget https://nginx.org/keys/nginx_signing.key && apt-key add nginx_signing.key
   

2. Löschen Sie den PGP-Schlüssel aus dem Dateisystem:

   rm nginx_signing.key
   

3. Neues Repository hinzufügen

   printf "deb http://nginx.org/packages/ubuntu/ xenial nginx \ndeb-src http://nginx.org/packages/ubuntu/ xenial nginx \n" >> /etc/apt/sources.list.d/nginx.list
   

4. Aktualisieren Sie Ihre Paketliste und installieren Sie Nginx:

   apt update && apt install nginx -y
   

5. Um die Nginx-Version zu überprüfen, können wir Folgendes verwenden:

   nginx -v 
   # nginx version: nginx/1.10.1
   

   Wenn alles gut geht, sollten Sie 1.10.xbeim Ausführen des nginx -vBefehls ein Muster wie in der Ausgabe sehen .

Selbstsigniertes Zertifikat und HTTP / 2

Obwohl die HTTP / 2- Spezifikation die Browser nicht zwingt, HTTP / 2 über TLS zu implementieren , haben alle großen Browser beschlossen, nur HTTP / 2 über TLS zu implementieren , jedoch keine TLS-Version, nur TLS 1.2 oder höher.

Wir werden selbstsignierte Zertifikate für fiktive example.comDomänen erstellen. Für die Produktion benötigen Sie eine gültige Domäne und verwenden eine vertrauenswürdige Zertifizierungsstelle.

1. Privaten Schlüssel generieren:

   openssl genrsa -aes128 -out example.com.key 2048
   

   Nachdem Sie diesen Befehl ausgeführt haben, müssen Sie die Passphrase zweimal eingeben. Weil Passphrasen nerven, werden wir sie entfernen.

2. Passphrase aus privatem Schlüssel entfernen:

   openssl rsa -in example.com.key -out example.com.key
   

3. Generieren einer Zertifikatsignierungsanforderung (Certificate Signing Request, CSR):

   openssl req -new -sha256 -key example.com.key -out cert-request.csr 
   

   Wir erstellen ein Zertifikat für eine einzelne Domäne, daher müssen wir das Feld für den allgemeinen Namen gleich der example.comDomäne setzen

4. Zertifikat erstellen:

   openssl x509 -req -days 365 -in cert-request.csr -signkey example.com.key -out example.com.crt
   

5. Zertifikat und privaten Schlüssel sortieren:

   mkdir -p /etc/ssl/testing/private && mkdir /etc/ssl/testing/certs
   mv example.com.key /etc/ssl/testing/private && mv example.com.crt /etc/ssl/testing/certs
   

6. Erstellen Sie virtuelle Nginx-Hostverzeichnisse

   mkdir /etc/nginx/sites-available && mkdir /etc/nginx/sites-enabled
   

7. Führen nano /etc/nginx/nginx.confSie dann eine Anweisung aus include /etc/nginx/conf.d/*.conf;. Fügen include /etc/nginx/sites-enabled/*;Sie unterhalb dieser Anweisung Speichern ( STRG + O ) hinzu und beenden Sie dann ( STRG + X ).

   ##
   # Virtual Hosts
   ##
   include /etc/nginx/conf.d/*.conf;
   include /etc/nginx/sites-enabled/*;
   

8. Erstellen Sie mit diesem Befehl eine Datei namens example.com.confinside /etc/nginx/sites-availabledirectory nano /etc/nginx/sites-available/example.com.confund kopieren Sie den folgenden Code / fügen Sie ihn ein:

   server {
       listen 80;
       listen [::]:80;
       server_name example.com;
       return 301 https://$host$request_uri;
   }
   server {
       listen 443 ssl http2;
       listen [::]:443 ssl http2;
       server_name example.com;
       root /var/www/html;
       index index.nginx-debian.html;
   
       ssl_certificate /etc/ssl/testing/certs/example.com.crt;
       ssl_certificate_key /etc/ssl/testing/private/example.com.key;
   
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
       ssl_prefer_server_ciphers on;
   }
   

   Herzlichen Glückwunsch, Sie haben jetzt einen HTTP / 2- fähigen Webserver. Durch Hinzufügen von http2Parametern zur listenDirektive im virtuellen HTTPS-Host erhalten Sie HTTP / 2- Unterstützung.

9. Erstellen Sie /etc/nginx/sites-available/example.com.confmit diesem Befehl eine symbolische Verknüpfung für :

   ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled
   

10. Testen Sie die Konfigurationssyntax

    nginx -t
    

11. Starten Sie Nginx neu, um Ihre Änderungen zu übernehmen:

    systemctl restart nginx
    

12. In example.comDomäne - /etc/hostsDatei

    echo '127.0.0.1    example.com' >> /etc/hosts
    

Installiere elinks

Um Ihren virtuellen Host zu testen, benötigen wir einen textbasierten Browser - elinks.

1. Verwenden Sie zum Installieren von elinks den folgenden Befehl:

   apt install elinks
   

2. So testen Sie Ihren example.comvirtuellen Host-Lauf:

   elinks https://example.com
   

3. Um den elinks-Browser zu verlassen, drücken Sie q auf Ihrer Tastatur und dann die Eingabetaste .

Testen Sie HTTP / 2

Um zu sehen, welche Protokolle der Server am einfachsten ankündigt, verwenden Sie das opensslToolkit.

    openssl s_client -connect example.com:443 -nextprotoneg ''

In der Ausgabe dieses Befehls sollte Folgendes angezeigt werden:

    CONNECTED(00000003)
    Protocols advertised by server: h2, http/1.1      

Um HTTP / 2 in Aktion zu sehen, können Sie Browser-Entwicklertools verwenden. Das HTTP / 2- Protokoll wird entweder mit h2oder mit HTTP/2.0Bezeichnern angegeben. Öffnen Sie das Netzwerkfenster in dev-tools und aktualisieren Sie Ihre Seite.

Fazit

Jetzt sollten Sie wissen, wie "einfach" es ist, HTTP / 2 in der Nginx-Konfiguration zu aktivieren , aber das ist nicht der gesamte Teil des Gesamtbildes. Zuerst sollten Sie darüber nachdenken, TLS / SSL auf Ihrem Server mit starken Cipher Suites zu aktivieren, und sicherstellen, dass Sie keine Chiffren auf der schwarzen Liste verwenden . Erst nachdem Sie starkes TLS / SSL auf Ihrem Server aktiviert haben, können Sie über die Aktivierung von HTTP / 2 nachdenken .