چگونه HTTP / 2 را در سرور Plesk فعال کنیم

• فعال کردن HTTP / 2
• عیب یابی

پلسک از پشتیبانی HTTP / 2 بومی برخوردار است. روند استقرار آن نیاز به برنامه ریزی دقیق دارد ، اگرچه اجرای HTTP / 2 در Plesk در مقایسه با سایر صفحه های کنترل بسیار آسان تر است. این راهنما در مورد انواع سیستم عامل ها کاربرد دارد. مراحل ارائه شده در اینجا تا زمانی که نسخه های Plesk و OpenSSL کافی را داشته باشید ، کار خواهد کرد. من این موارد را در "مرحله 1: بررسی الزامات" شرح می دهم.

باید توجه داشته باشید که در صورت استفاده از گواهینامه SSL ، بسیاری از مرورگرها HTTP / 2 را برای وب سایت شما پشتیبانی می کنند. هنگامی که از گواهینامه SSL استفاده نمی شود ، محتوای HTTP / 2 ارائه نمی شود. خوشبختانه ، روش های بسیاری برای به دست آوردن گواهینامه SSL وجود دارد. اگر علاقه مند به دریافت گواهینامه Let Encrypt هستید ، این راهنما را برای ایجاد نسخه در Plesk بررسی کنید: بگذارید در Plesk رمزگذاری کنیم .

حتی اگر یک فرصت خوب وجود دارد که می توانید HTTP / 2 را بدون اینکه کاربران یا بازدیدکنندگان متوجه آن شوند (و بدون هیچگونه خرابی) را فعال کنید ، اما باید این نگهداری را اعلام کنید. در صورتی که مجموعه رمزگذاری SSL شما به درستی پیکربندی نشده باشد ، ممکن است خرابی وجود داشته باشد. خوشبختانه ، برگرداندن تغییرات با استفاده از ابزار داخلی Plesk بسیار آسان است.

شما باید کاملاً مطمئن باشید که هیچ تغییری مستقیم در پرونده های پیکربندی ایجاد نشده است ، زیرا ما چندین فایل پیکربندی را رونویسی خواهیم کرد. هرچند که شما منحصراً با استفاده از روشهای پشتیبانی شده (در پرونده های دلخواه) تغییراتی ایجاد کرده اید ، نگران کننده نیست.

در صورت امکان ، باید سرور cloud Vultr دیگری را با نصب ساده Plesk بچرخانید و فرمان (های) زیر را اجرا کنید. سپس ، با توجه به موفقیت (یا عدم موفقیت) آن ، می توانید برای رفع اشکال فوری و / یا حل هرگونه مسئله ای که ممکن است در استقرارهای HTTP / 2 آینده روی سرورهای تولیدی که در حال استفاده هستند ایجاد شود ، قدم بردارید.

فعال کردن HTTP / 2

مرحله 1: بررسی الزامات

خارج از جعبه ، می توانید HTTP / 2 پشتیبانی از پروکسی معکوس را که پلسک مستقر کرده بود فعال کنید. در صورتی که مطمئن نیستید که سرور شما از پروکسی معکوس استفاده می کند ، باید "سرویس مانیتور" را بررسی کنید. اگر هر دو Apache و Nginx را در آنجا لیست کردید ، می توانید فرض کنید که نصب شما در حال حاضر از پروکسی معکوس استفاده می کند. اگر فقط Apache یا فقط Nginx را می بینید ، به احتمال زیاد از یک سرور وب استفاده خواهید کرد.

در هسته ، یک نیاز خاص وجود دارد که برای کار HTTP / 2 کاملاً لازم است ، که نسخه OpenSSL با پشتیبانی ALPN است.

اما اگر نسخه Plesk 12.5.30 یا بیشتر را در CentOS / RHEL 7 ، Ubuntu 14.04 ، Debian 8 یا بالاتر نصب کرده باشید ، Nginx با پشتیبانی ALPN خارج از جعبه مستقر است.

اگر نسخه قدیمی سیستم عامل Plesk یا سیستم عامل دارید ، می توانید برخی از بسته ها را ارتقا دهید. با این حال ، من این را پشتیبانی یا مستند نمی کنم. این نسخه ها و سیستم عامل ها بسیار قدیمی هستند و بهترین کار این است که آنها را به روز کنید. خطرات امنیتی استفاده از نرم افزار قدیمی را نیز در نظر بگیرید.

هیچ سندی به صراحت نمی گوید که سیستم عامل ها و نسخه های آن با HTTP / 2 در Plesk سازگار است. با این حال ، اگر از جدیدترین نسخه استفاده می کنید (در زمان انتشار این راهنما) ، باید شرایط را رعایت کنید. با اطمینان می توانید فرض کنید که سیستم عامل های قدیمی مانند CentOS / RHEL 5 سازگار نیست.

گذشته از الزامات نسخه OpenSSL ، توجه داشته باشید که آپاچی لزوماً با HTTP / 2 سازگار نیست. پشتیبانی HTTP / 2 برای آپاچی از نسخه 2.4.17 موجود است ، اما در صورت استفاده از پروکسی معکوس (که تنظیم پیش فرض آن در پلسک است) فقط نسخه Nginx کافی است. سرور باطن ، Apache ، لازم نیست که سازگار باشد. برای اطمینان از استفاده از پروکسی معکوس می توانید با "مدیر سرویس" در پلسک مشورت کنید. هنگامی که Nginx در آنجا لیست شده است ، می توان فرض کرد که Apache و Nginx به عنوان یک پروکسی معکوس نصب شده اند که در آن Nginx به عنوان سرور frontend عمل می کند.

دستور زیر نشان می دهد که Nginx فعال شده است یا خیر.

/usr/local/psa/admin/bin/nginxmng -s

برای OpenSSL حداقل باید نسخه 1.0.1 را داشته باشید. می توانید با استفاده از دستور زیر بررسی کنید:

rpm -qa | grep openssl

با این کار نسخه ای شبیه به:

openssl-1.0.1e-42.el6_7.4.x86_64

اگر نسخه OpenSSL برابر یا بزرگتر از 1.0.1 نیست ، باید سیستم عامل خود را به روز کنید. Plesk مستقر در سیستم عامل های جدید باعث می شود از OpenSSL 1.0.1 خارج از جعبه استفاده شود.

مرحله 2: فعال کردن HTTP / 2 در پلسک

بسته به سیستم عامل مورد استفاده ، HTTP / 2 را با استفاده از http2_prefابزار فعال کنید. این دستور باید به صورت root اجرا شود.

فعال کردن HTTP / 2 در CentOS / RHEL

اجرا کردن: /usr/local/psa/bin/http2_pref enable

فعال کردن HTTP / 2 در اوبونتو / دبیان

اجرا کردن: /opt/psa/bin/http2_pref enable

مرحله 3: مجموعه رمزنگاری را بهبود بخشید

استفاده از یک مجموعه رمزنگاری خوب برای امنیت بسیار مهم است. پشتیبانی از پروتکل های منسوخ شده به طور موثری اثر اقدامات امنیتی شما را خراب می کند. اطمینان حاصل کنید که پروتکل های موجود و نسخه های TLS موجود را با استفاده از ابزار Plesk داخلی تنظیم کنید sslmng.

به عنوان مثال ، فعال کردن رمزهای زیر و نسخه های TLS ، سازگاری با HTTP / 2 را تضمین می کند. اگر نسبت به رمزگذاری ها و نسخه هایی که باید فعال کنید مطمئن نیستید ، سپس به تنظیمات زیر بپیوندید:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

این دستور اصلاح می شود /etc/nginx/conf.d/ssl.conf. شما می توانید این پرونده را مستقیماً تغییر دهید ، اما با استفاده از دستور ذکر شده در بالا ، تغییرات در بروزرسانی های Plesk ادامه خواهد داشت.

برای به دست آوردن "پنهان کاری کامل جلو" با استفاده از مجموعه رمزنگاری دیگر ، می توانید رمزهای زیر را امتحان کنید:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

مجموعه های رمزنگاری زیادی وجود دارد و شما باید یکی را انتخاب کنید که متناسب با نیازهای شما باشد. برای جمع آوری یک مجموعه رمزنگاری متناسب با نیازهای شما باید از وب سایتی مانند Cipherli.st مشورت کنید. با مشخص کردن آن در sslmngابزار ، مجموعه رمزنگاری شده فوراً مورد استفاده قرار می گیرد.

برای بررسی پشتیبانی TLS از مرورگر خود به عنوان مشتری ، از ابزار Qualys SSL استفاده کنید . هنگامی که شما اجازه رمزگذاری کافی یا نسخه های TLS را ندارید ، ممکن است برخی از وب سایت ها غیر قابل دستیابی شوند.

مرحله 4: بررسی سازگاری HTTP / 2

پس از فعال کردن HTTP / 2 ، باید بررسی کنید که آیا وب سایت ها و سرور وب شما از طریق HTTP / 2 قابل دسترسی هستند. یک ابزار مبتنی بر وب بسیار مفید برای این کار وجود دارد: تست HTTP / 2 .

برای به دست آوردن نتیجه دقیق ، مطمئن شوید که همه پروکسی های معکوس واقع در مقابل سرور خود را غیرفعال کرده اید. به عنوان مثال ، اگر از CDN استفاده می کنید که از HTTP / 2 پشتیبانی نمی کند ، ابزار تست بازگشت وب سایت شما از HTTP / 2 پشتیبانی نمی کند ، حتی اگر با موفقیت در سطح سرور فعال باشد. دقیقاً مانند روش دیگر: اگر در مقابل وب سایت خود یک پروکسی معکوس مانند Cloudflare (که از HTTP / 2 پشتیبانی می کند) داشته باشید ، این ابزار همیشه صرف نظر از عملکرد آن در سطح سرور HTTP / 2 را به عنوان فعال و کار بر می گرداند. .

اگر برخی از مرورگرها بعد از فعال کردن HTTP / 2 از بارگیری وب سایت (های) خود و یا ارائه هرگونه محتوا از سرور وب خودداری می کنند ، باید راه اندازی SSL خود را با استفاده از ابزار SSL Qualys تجزیه و تحلیل کنید .

(اختیاری) بازگرداندن پیکربندی HTTP / 2

در صورت نیاز ، در صورت نیاز به زمان اشکال زدایی ، می توانید HTTP / 2 را به طور موقت غیرفعال کنید و دستور زیر را غیرفعال کنید. هنگامی که می خواهید HTTP / 2 را دوباره فعال کنید ، به سادگی دستور را برای فعال کردن آن و اجرای مجدد به هر یک از وب سایت های خود اجرا کنید. هیچ راهی برای فعال یا غیرفعال کردن HTTP / 2 برای دامنه ها یا وب سایت های خاص وجود ندارد. این یک تنظیمات سرور است.

غیرفعال کردن HTTP / 2 در CentOS / RHEL

اجرا کردن: /usr/local/psa/bin/http2_pref disable

غیرفعال کردن HTTP / 2 در اوبونتو / دبیان

اجرا کردن: /opt/psa/bin/http2_pref disable

عیب یابی

با توجه به بسیاری از مؤلفه های سرور که در فعال کردن HTTP / 2 نقش دارد ، در برخی موارد ممکن است نیاز به عیب یابی در هنگام بارگیری وب سایت ها به درستی و یا اصلاً بعد از فعال کردن پشتیبانی HTTP / 2 نداشته باشید.

توجه: اطمینان حاصل کنید http2_prefکه هنگام انجام این مراحل ، پشتیبانی HTTP / 2 را با استفاده از ابزار غیرفعال نکنید .

الزامات را بررسی کنید

ابتدا مطمئن شوید که الزامات ذکر شده در ابتدای این مقاله را رعایت کرده اید.

پیکربندی Nginx را دوباره بسازید

اگر شرایط HTTP / 2 را برآورده کنید ، می توانید پرونده های پیکربندی Nginx را از نو بسازید. باید بدانید که این کار تنظیمات سفارشی را حذف می کند ، بنابراین از قبل از فهرست تنظیمات Nginx نسخه پشتیبان تهیه کنید. از آنجا که فایلهای پیکربندی می توانند در سرور پخش شوند ، بهتر است به سادگی عکس فوری تهیه کنید یا از نسخه پشتیبان تهیه کنید. سپس این دستور را اجرا کنید:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

مجموعه رمزنگاری را دوباره بررسی کنید

اگر هم چنین تأثیری نداشته باشد ، احتمالاً مجموعه رمزنگاری مقصر است. دستور زیر را دوباره اجرا کنید:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

خطا در panel.ini

اطمینان حاصل کنید که پرونده /usr/local/psa/admin/conf/panel.iniحاوی محتوای زیر است:

[webserver]
nginxHttp2 = true

با اجرای می توانید چک کنید که آیا این پرونده به سرعت شامل این موارد است: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

آیا این دستور چیزی بر نمی گرداند؟ سپس به احتمال زیاد پرونده فقط خواندنی است ، به عنوان مثال به دلیل یک chattrویژگی. ممکن است هنگام اجرای http2_prefدستور (برای فعال کردن HTTP / 2) اضافه شود.

بررسی کنید که SSL استفاده شده است یا خیر

هنگامی که یک وب سایت از SSL استفاده نمی کند ، به HTTP / 1.1 باز می گردد. فقط وب سایت هایی که از SSL استفاده می کنند با استفاده از HTTP / 2 ارائه می شوند. اطمینان حاصل کنید که HTTP / 2 را در همه موارد به صورت محلی اعمال نمی کنید ، زیرا این کار نمی کند و یک مشکل سمت سرور نیست.

گزینه های دیگر

اگر این کار هم انجام نشود ، باید با یک متخصص پلسک مشورت کنید ، به عنوان مثال در انجمن های Plesk. در بسیاری موارد ، مراحل بالا بیشتر مسائل را برطرف می کند.

آخرین سنجشی که می توانید انجام دهید ، راه اندازی مجدد سرور است. در بعضی موارد عجیب ، این مسئله مسائل خارج از آبی را برطرف کرده است. با این حال ، همیشه باید بتوانید مواردی را برای جلوگیری از وقوع دوباره آنها (ناگهان) نشان دهید.

راهنمای من نتیجه گیری می کند ، از خواندن شما متشکرم.