Plesk 서버에서 HTTP / 2를 활성화하는 방법

• HTTP / 2 활성화
• 문제 해결

Plesk는 기본 HTTP / 2를 지원합니다. Plesk에서 HTTP / 2를 배포하는 것이 다른 제어판에 비해 훨씬 쉽지만 배포 프로세스에는 신중한 계획이 필요합니다. 이 안내서는 다양한 운영 체제에 적용됩니다. 여기에 제공된 단계는 충분한 Plesk 및 OpenSSL 버전이있는 한 작동합니다. 이러한 요구 사항은 "1 단계 : 요구 사항 확인"에서 설명합니다.

SSL 인증서를 사용하는 경우 많은 브라우저에서 웹 사이트에 HTTP / 2 만 지원한다는 점을 고려해야합니다. SSL 인증서를 사용하지 않으면 HTTP / 2를 통해 컨텐츠가 제공되지 않습니다. 다행히 SSL 인증서를 얻는 방법에는 여러 가지가 있습니다. Let 's Encrypt 인증서를 얻는 데 관심이 있다면이 안내서에서 Plesk : Plesk에서 Let 's Encrypt 를 작성하십시오 .

사용자 나 방문자가이를 알리지 않고 다운 타임없이 HTTP / 2를 활성화 할 수있는 좋은 기회가 있더라도이 유지 보수를 발표해야합니다. SSL 암호화 제품군이 올바르게 구성되지 않은 경우 다운 타임이있을 수 있습니다. 다행스럽게도 Plesk의 내장 도구를 사용하여 변경 사항을 되 돌리는 것은 매우 쉽습니다.

일부 구성 파일을 덮어 쓰므로 구성 파일을 직접 변경하지 않았는지 반드시 확인해야합니다. 그러나 지원되는 메소드 (사용자 정의 파일)를 사용하여 독점적으로 변경 한 경우 걱정할 필요가 없습니다.

가능하면 일반 Plesk 설치로 다른 Vultr 클라우드 서버를 가동시키고 아래 명령을 실행해야합니다. 그런 다음 성공 (또는 실패)을 기반으로 현재 사용중인 프로덕션 서버에서 향후 HTTP / 2 배포에서 발생할 수있는 문제를 즉시 디버깅 및 / 또는 해결하는 단계를 수행 할 수 있습니다.

HTTP / 2 활성화

1 단계 : 요구 사항 확인

기본적으로 Plesk가 배포 된 리버스 프록시에 대한 HTTP / 2 지원을 활성화 할 수 있습니다. 서버에서 리버스 프록시를 사용하는지 확실하지 않은 경우 "서비스 모니터"를 확인해야합니다. Apache와 Nginx가 모두 나열된 경우 설치가 현재 리버스 프록시를 사용하고 있다고 가정하는 것이 안전합니다. Apache 또는 Nginx 만 보이는 경우 단일 웹 서버를 사용하는 것입니다.

핵심적으로 HTTP / 2가 작동하기 위해서는 ALPN을 지원하는 OpenSSL 버전 인 특정 요구 사항이 있습니다.

그러나 CentOS / RHEL 7, Ubuntu 14.04, Debian 8 이상에 Plesk 버전 12.5.30 이상이 설치되어 있으면 Nginx는 ALPN 지원으로 즉시 배포됩니다.

이전 Plesk 또는 운영 체제 버전이있는 경우 일부 패키지를 업그레이드 할 수 있습니다. 그러나 나는 이것을 지원하거나 문서화하지 않습니다. 이 버전과 운영 체제는 매우 오래된 버전이므로 업데이트하는 것이 가장 좋습니다. 오래된 소프트웨어를 사용할 때의 보안 위험도 고려하십시오.

Plesk의 HTTP / 2와 호환되는 운영 체제 및 버전을 명시 적으로 설명하는 문서는 없습니다. 그러나 최신 버전을 사용하는 경우 (이 안내서가 게시 될 당시) 요구 사항을 충족해야합니다. CentOS / RHEL 5와 같은 이전 운영 체제는 호환되지 않는다고 가정 할 수 있습니다.

OpenSSL 버전 요구 사항 외에도 Apache가 반드시 HTTP / 2와 호환 될 필요는 없습니다. Apache에 대한 HTTP / 2 지원은 버전 2.4.17부터 사용 가능하지만 리버스 프록시 (Plesk의 기본 설정)를 사용하는 경우 Nginx 버전만으로 충분합니다. 백엔드 서버 인 Apache는 호환되지 않아도됩니다. Plesk의 "서비스 관리자"에 문의하여 리버스 프록시를 사용하고 있는지 확인할 수 있습니다. Nginx가 여기에 나열되면 Apache와 Nginx가 Nginx가 프론트 엔드 서버 역할을하는 리버스 프록시 설정으로 설치되어 있다고 가정하는 것이 안전합니다.

다음 명령은 Nginx의 활성화 여부를 보여줍니다.

/usr/local/psa/admin/bin/nginxmng -s

OpenSSL의 경우 최소한 버전 1.0.1이 있어야합니다. 다음 명령을 사용하여 확인할 수 있습니다.

rpm -qa | grep openssl

다음과 유사한 버전이 인쇄됩니다.

openssl-1.0.1e-42.el6_7.4.x86_64

OpenSSL 버전이 1.0.1 이상이 아닌 경우 운영 체제를 업데이트해야합니다. 최신 운영 체제에 배포 된 Plesk는 즉시 OpenSSL 1.0.1을 사용합니다.

2 단계 : Plesk에서 HTTP / 2 활성화

사용 된 운영 체제에 따라 http2_pref도구를 사용하여 HTTP / 2를 사용하십시오 . 이 명령은 루트로 실행해야합니다.

CentOS / RHEL에서 HTTP / 2 활성화

실행 : /usr/local/psa/bin/http2_pref enable

우분투 / 데비안에서 HTTP / 2 활성화

실행 : /opt/psa/bin/http2_pref enable

3 단계 : 암호화 제품군 개선

좋은 암호 모음을 사용하는 것은 보안에 매우 중요합니다. 오래된 프로토콜을 지원하면 보안 조치의 효과를 효과적으로 물리 칠 수 있습니다. 내장 된 Plesk 도구를 사용하여 사용 가능한 프로토콜 및 사용 가능한 TLS 버전을 조정하십시오 sslmng.

예를 들어 다음 암호 및 TLS 버전을 활성화하면 HTTP / 2와 호환됩니다. 활성화해야하는 암호 및 버전이 확실하지 않은 경우 다음 설정을 따르십시오.

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

이 명령은를 수정합니다 /etc/nginx/conf.d/ssl.conf. 이 파일을 직접 수정할 수 있지만 위에 나열된 명령을 사용하면 Plesk 업데이트 전체에서 변경 사항이 유지됩니다.

다른 암호 제품군을 사용하여 "완벽한 보안"을 얻으려면 다음 암호를 사용해보십시오.

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

사용 가능한 많은 암호 스위트가 있으므로 필요에 가장 적합한 암호화 스위트를 선택해야합니다. 필요에 맞는 암호 모음을 수집하려면 Cipherli.st 와 같은 웹 사이트를 참조해야 합니다. sslmng도구 에서이를 지정 하면 암호 제품군이 즉시 사용됩니다.

클라이언트로서 브라우저의 TLS 지원을 확인하려면 Qualys SSL 도구를 사용하십시오 . 충분한 암호 또는 TLS 버전을 허용하지 않으면 일부 웹 사이트에 연결하지 못할 수 있습니다.

4 단계 : HTTP / 2 호환성 확인

HTTP / 2를 활성화 한 후 HTTP / 2를 통해 웹 사이트 및 웹 서버에 도달 할 수 있는지 확인해야합니다. 이를 위해 매우 편리한 웹 기반 도구 인 HTTP / 2 Test가 있습니다.

정확한 결과를 얻으려면 서버 앞에있는 모든 역방향 프록시를 비활성화해야합니다. 예를 들어, HTTP / 2를 지원하지 않는 CDN을 사용하는 경우 테스트 도구는 서버 레벨에서 성공적으로 사용 가능하더라도 웹 사이트가 HTTP / 2를 지원하지 않음을 리턴합니다. 다른 방법으로 : HTTP / 2를 지원하는 웹 사이트 앞에 Cloudflare와 같은 리버스 프록시가있는 경우이 도구는 서버 수준의 기능에 관계없이 항상 HTTP / 2가 활성화되고 작동하는 것으로 반환합니다 .

HTTP / 2를 활성화 한 후 일부 브라우저가 웹 사이트로드를 거부하거나 웹 서버의 컨텐츠를 제공하는 것을 거부하는 경우 Qualys의 SSL 도구를 사용하여 SSL 설정을 분석해야합니다 .

(선택 사항) HTTP / 2 구성 되돌리기

필요한 경우 디버깅 시간이 필요한 경우 아래 명령을 실행하여 HTTP / 2를 일시적으로 비활성화 할 수 있습니다. HTTP / 2를 다시 활성화하려면 간단히 해당 명령을 실행하여 웹 사이트에 다시 연결하십시오. 특정 도메인이나 웹 사이트에 대해 HTTP / 2를 활성화하거나 비활성화 할 수있는 방법이 없습니다. 서버 전체 설정입니다.

CentOS / RHEL에서 HTTP / 2 비활성화

실행 : /usr/local/psa/bin/http2_pref disable

우분투 / 데비안에서 HTTP / 2 비활성화

실행 : /opt/psa/bin/http2_pref disable

문제 해결

HTTP / 2 활성화와 관련된 서버의 많은 구성 요소를 고려할 때 HTTP / 2 지원을 활성화 한 후 웹 사이트가 올바르게로드되지 않거나 전혀로드되지 않는 경우 문제 해결이 필요할 수 있습니다.

참고 :http2_pref 다음 단계를 수행 할 때 도구를 사용하여 HTTP / 2 지원을 비활성화하지 마십시오 .

요구 사항 확인

먼저이 문서의 시작 부분에 요약 된 요구 사항을 충족해야합니다.

Nginx 구성 재 작성

HTTP / 2 요구 사항을 충족하면 Nginx 구성 파일을 다시 만들 수 있습니다. 이렇게하면 모든 사용자 정의 구성이 제거되므로 Nginx 구성 디렉토리의 백업을 미리 생성하십시오. 구성 파일을 서버 전체에 분산시킬 수 있으므로 간단히 스냅 샷을 만들거나 백업하는 것이 좋습니다. 그런 다음이 명령을 실행하십시오.

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

암호 스위트 재확인

그것이 효과가 없다면, 암호 모음은 책임이 있습니다. 다음 명령을 다시 실행하십시오.

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

에 오류 panel.ini

파일 /usr/local/psa/admin/conf/panel.ini에 다음 내용이 포함되어 있는지 확인하십시오 .

[webserver]
nginxHttp2 = true

다음을 실행하여 파일에 빠르게 포함되어 있는지 확인할 수 있습니다. cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

이 명령은 아무것도 반환하지 않습니까? 그러면 파일이 chattr속성 으로 인해 읽기 전용 일 가능성이 높습니다 . http2_pref명령 (HTTP / 2 사용)이 실행될 때 추가되었을 수 있습니다 .

SSL 사용 여부 확인

웹 사이트가 SSL을 사용하지 않으면 HTTP / 1.1로 대체됩니다. SSL을 사용하는 웹 사이트 만 HTTP / 2를 사용하여 제공됩니다. 작동하지 않으며 서버 측 문제가 아니므로 모든 경우에 HTTP / 2를 로컬로 적용하지 않아야합니다.

다른 옵션

그래도 작동하지 않으면 Plesk 포럼과 같은 Plesk 전문가에게 문의해야합니다. 대부분의 경우 위의 단계는 대부분의 문제를 해결합니다.

마지막으로 수행 할 수있는 조치는 단순히 서버를 재부팅하는 것입니다. 이상한 경우에는 파란색에서 문제가 해결되었습니다. 그러나 문제가 다시 갑자기 발생하지 않도록 항상 문제를 정확히 찾아 낼 수 있어야합니다.

이것으로 제 가이드를 마치겠습니다. 읽어 주셔서 감사합니다.