Activer HTTP / 2 dans Nginx sur Ubuntu 16.04

• Installer Nginx
• Certificat auto-signé et HTTP / 2
• Installer des liens
• Testez HTTP / 2
• Conclusion

HTTP / 2 est la nouvelle version du protocole HTTP / 1.1 désormais obsolète qui a été normalisé en 1999. Beaucoup de choses ont changé depuis sur le Web. Nos applications sont plus complexes qu'elles ne l'étaient auparavant, donc pour y faire face, un changement dans le protocole de transport sous-jacent était nécessaire. La chose la plus importante à propos de HTTP / 2 est qu'elle rendra votre page Web plus rapide pour les utilisateurs finaux.

En bref, HTTP / 2 ajoute 5 fonctionnalités clés:

• Connexion unique et persistante
• Multiplexage
• Compression d'en-tête
• Hiérarchisation des ressources
• Sécurise la couche de transport (valable uniquement pour les navigateurs)

Expliquer toutes ces fonctionnalités est hors de portée de ce didacticiel, mais si vous souhaitez approfondir cette rubrique, je peux recommander un extrait du livre High Performance Browser Networking - extrait HTTP / 2 .

Dans ce guide, nous allons installer la dernière version stable de Nginx sur Ubuntu 16.04 (Xenial), générer un certificat SSL auto-signé, activer le protocole HTTP / 2 dans Nginx et installer un navigateur basé sur du texte elinkspour agir comme client HTTP.

Installer Nginx

Pour installer la dernière version stable de Nginx, nous devons émettre plusieurs commandes:

1. Nous devons télécharger la clé PGP publique Nginx utilisée pour signer les packages et les référentiels et l'ajouter dans le trousseau de clés utilisé par le gestionnaire de packages pour vérifier l'authenticité des packages téléchargés depuis le référentiel.

   wget https://nginx.org/keys/nginx_signing.key && apt-key add nginx_signing.key
   

2. Supprimez la clé PGP du système de fichiers:

   rm nginx_signing.key
   

3. Ajouter un nouveau référentiel

   printf "deb http://nginx.org/packages/ubuntu/ xenial nginx \ndeb-src http://nginx.org/packages/ubuntu/ xenial nginx \n" >> /etc/apt/sources.list.d/nginx.list
   

4. Mettez à jour votre liste de packages et installez Nginx:

   apt update && apt install nginx -y
   

5. Pour vérifier la version de Nginx, nous pouvons utiliser les éléments suivants:

   nginx -v 
   # nginx version: nginx/1.10.1
   

   Si tout se passe bien, vous devriez voir un modèle comme 1.10.xdans la sortie lors de l'exécution de la nginx -vcommande.

Certificat auto-signé et HTTP / 2

Bien que la spécification HTTP / 2 n'oblige pas les navigateurs à implémenter HTTP / 2 sur TLS, tous les principaux navigateurs ont décidé d'implémenter uniquement HTTP / 2 sur TLS, mais pas n'importe quelle version TLS, uniquement TLS 1.2 ou supérieur.

Nous allons créer des certificats auto-signés pour le example.comdomaine fictif , pour la production, vous avez besoin d'un domaine valide et utilisez une autorité de certification de confiance.

1. Générer une clé privée:

   openssl genrsa -aes128 -out example.com.key 2048
   

   Après avoir exécuté cette commande, vous devrez saisir la phrase secrète 2 fois. Parce que les mots de passe sont ennuyeux, nous allons les supprimer.

2. Supprimer la phrase secrète de la clé privée:

   openssl rsa -in example.com.key -out example.com.key
   

3. Générer une demande de signature de certificat (CSR):

   openssl req -new -sha256 -key example.com.key -out cert-request.csr 
   

   Nous créons un certificat de domaine unique, nous devons donc définir un champ de nom commun égal au example.comdomaine

4. Créer un certificat:

   openssl x509 -req -days 365 -in cert-request.csr -signkey example.com.key -out example.com.crt
   

5. Trier le certificat et la clé privée:

   mkdir -p /etc/ssl/testing/private && mkdir /etc/ssl/testing/certs
   mv example.com.key /etc/ssl/testing/private && mv example.com.crt /etc/ssl/testing/certs
   

6. Créer des répertoires d'hôte virtuel nginx

   mkdir /etc/nginx/sites-available && mkdir /etc/nginx/sites-enabled
   

7. Ensuite, exécutez nano /etc/nginx/nginx.confet trouvez une directive include /etc/nginx/conf.d/*.conf;. Sous cette directive, ajoutez include /etc/nginx/sites-enabled/*;Save ( CTRL + O ) puis quittez ( CTRL + X ).

   ##
   # Virtual Hosts
   ##
   include /etc/nginx/conf.d/*.conf;
   include /etc/nginx/sites-enabled/*;
   

8. Créez un fichier appelé à l' example.com.confintérieur du /etc/nginx/sites-availablerépertoire avec cette commande nano /etc/nginx/sites-available/example.com.confet copiez / collez le code suivant:

   server {
       listen 80;
       listen [::]:80;
       server_name example.com;
       return 301 https://$host$request_uri;
   }
   server {
       listen 443 ssl http2;
       listen [::]:443 ssl http2;
       server_name example.com;
       root /var/www/html;
       index index.nginx-debian.html;
   
       ssl_certificate /etc/ssl/testing/certs/example.com.crt;
       ssl_certificate_key /etc/ssl/testing/private/example.com.key;
   
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
       ssl_prefer_server_ciphers on;
   }
   

   Félicitations, vous avez maintenant un serveur Web compatible HTTP / 2 . L'ajout de http2paramètres à la listendirective à l'intérieur de l'hôte virtuel HTTPS vous donnera un support HTTP / 2 .

9. Créez un lien symbolique pour /etc/nginx/sites-available/example.com.confavec cette commande:

   ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled
   

10. Tester la syntaxe de configuration

    nginx -t
    

11. Redémarrez Nginx pour appliquer vos modifications:

    systemctl restart nginx
    

12. Ajouter un example.comdomaine au /etc/hostsfichier

    echo '127.0.0.1    example.com' >> /etc/hosts
    

Installer des liens

Pour tester votre hôte virtuel, nous avons besoin d'un navigateur texte - elinks.

1. Pour installer elinks, utilisez la commande suivante:

   apt install elinks
   

2. Pour tester votre example.comexécution d'hôte virtuel:

   elinks https://example.com
   

3. Pour quitter le navigateur elinks, appuyez sur q sur votre clavier, puis sur Entrée .

Testez HTTP / 2

Pour voir quels protocoles le serveur annonce, le plus simple est d'utiliser la opensslboîte à outils.

    openssl s_client -connect example.com:443 -nextprotoneg ''

Dans la sortie de cette commande, vous devriez voir quelque chose comme ceci:

    CONNECTED(00000003)
    Protocols advertised by server: h2, http/1.1      

Pour voir HTTP / 2 en action, vous pouvez utiliser des outils de développement de navigateur. Le protocole HTTP / 2 est indiqué par h2ou par des HTTP/2.0identifiants. Ouvrez le panneau réseau dans dev-tools et actualisez votre page.

Conclusion

Maintenant, vous devez savoir à quel point il est "facile" d'activer HTTP / 2 dans la configuration Nginx, mais ce n'est pas toute la partie de l'image globale. Vous devez d'abord penser à activer TLS / SSL sur votre serveur avec des suites de chiffrement solides et vous assurer que vous n'utilisez pas de chiffrements sur liste noire . Ce n'est qu'après avoir activé TLS / SSL fort sur votre serveur que vous pouvez commencer à penser à activer HTTP / 2 .