Cara Mengaktifkan HTTP / 2 pada Pelayan Plesk

• Mengaktifkan HTTP / 2
• Penyelesaian masalah

Plesk mempunyai sokongan HTTP / 2 asli. Proses penyebarannya memerlukan perancangan yang teliti, walaupun melancarkan HTTP / 2 di Plesk jauh lebih mudah dibandingkan dengan panel kawalan yang lain. Panduan ini digunakan untuk pelbagai sistem operasi. Langkah-langkah yang disediakan di sini akan berfungsi selagi anda mempunyai versi Plesk dan OpenSSL yang mencukupi. Saya akan menerangkan keperluan ini dalam "Langkah 1: Memeriksa syarat".

Anda harus mengambil kira bahawa banyak penyemak imbas hanya akan menyokong HTTP / 2 untuk laman web anda jika anda menggunakan sijil SSL. Apabila sijil SSL tidak digunakan, kandungan tidak akan diserahkan melalui HTTP / 2. Nasib baik, terdapat banyak cara untuk mendapatkan sijil SSL. Sekiranya anda berminat untuk mendapatkan sijil Let's Encrypt, lihat panduan ini untuk membuatnya di Plesk: Let's Encrypt di Plesk .

Walaupun ada kemungkinan anda dapat mengaktifkan HTTP / 2 tanpa diketahui oleh pengguna atau pengunjung anda (dan tanpa waktu henti), anda harus mengumumkan penyelenggaraan ini. Sekiranya suite cipher SSL anda tidak dikonfigurasi dengan betul, mungkin terdapat beberapa waktu henti. Nasib baik, sangat mudah untuk mengembalikan perubahan menggunakan alat bawaan Plesk.

Anda harus benar-benar yakin bahawa tidak ada perubahan langsung pada file konfigurasi, kerana kami akan menimpa beberapa fail konfigurasi. Tidak ada yang perlu dikhawatirkan sekiranya anda membuat perubahan secara eksklusif menggunakan kaedah yang disokong (dalam fail tersuai).

Sekiranya boleh, anda harus membuat pelayan awan Vultr lain dengan pemasangan Plesk biasa dan melaksanakan perintah di bawah. Kemudian, berdasarkan keberhasilannya (atau kegagalannya), Anda dapat mengambil langkah untuk segera melakukan debug dan / atau menyelesaikan masalah yang mungkin timbul dalam penyebaran HTTP / 2 di masa depan pada pelayan produksi yang sedang digunakan.

Mengaktifkan HTTP / 2

Langkah 1: Memeriksa keperluan

Di luar kotak, anda boleh mengaktifkan sokongan HTTP / 2 untuk proksi terbalik yang digunakan oleh Plesk. Sekiranya anda tidak pasti sama ada pelayan anda menggunakan proksi terbalik, anda harus menyemak "Monitor Perkhidmatan". Sekiranya anda melihat Apache dan Nginx disenaraikan di sana, adalah selamat untuk menganggap bahawa pemasangan anda sedang menggunakan proksi terbalik. Sekiranya anda hanya melihat Apache atau hanya Nginx, kemungkinan besar anda akan menggunakan pelayan web tunggal.

Pada intinya, ada satu syarat khusus yang sangat diperlukan agar HTTP / 2 berfungsi, iaitu versi OpenSSL dengan sokongan ALPN.

Walau bagaimanapun, jika anda memasang Plesk versi 12.5.30 atau lebih tinggi di CentOS / RHEL 7, Ubuntu 14.04, Debian 8 atau lebih tinggi, Nginx digunakan dengan sokongan ALPN di luar kotak.

Sekiranya anda mempunyai versi Plesk atau sistem operasi yang lebih lama, anda boleh menaik taraf beberapa pakej. Walau bagaimanapun, saya tidak menyokong atau mendokumentasikan ini. Versi dan sistem operasi ini sangat lama, dan praktik terbaik adalah memperbaruinya. Pertimbangkan juga risiko keselamatan menggunakan perisian yang ketinggalan zaman.

Tidak ada dokumen yang menyatakan secara jelas sistem operasi dan versi mana yang sesuai dengan HTTP / 2 di Plesk; namun, jika anda menggunakan versi terbaru (pada masa panduan ini diterbitkan), anda harus memenuhi syarat. Anda boleh mengandaikan bahawa sistem operasi lama seperti CentOS / RHEL 5 tidak akan serasi.

Selain daripada keperluan versi OpenSSL, perhatikan bahawa Apache tidak semestinya serasi dengan HTTP / 2 juga. Sokongan HTTP / 2 untuk Apache telah tersedia sejak versi 2.4.17, tetapi sekiranya anda menggunakan proksi terbalik (yang merupakan pengaturan lalai di Plesk) hanya versi Nginx yang cukup. Pelayan backend, Apache, tidak semestinya serasi. Anda boleh berjumpa dengan "Pengurus Perkhidmatan" di Plesk untuk memastikan anda menggunakan proksi terbalik. Apabila Nginx disenaraikan di sana, adalah selamat untuk menganggap Apache dan Nginx dipasang sebagai penyediaan proksi terbalik di mana Nginx bertindak sebagai pelayan frontend.

Perintah berikut menunjukkan sama ada Nginx telah diaktifkan atau tidak.

/usr/local/psa/admin/bin/nginxmng -s

Untuk OpenSSL, anda harus mempunyai versi 1.0.1 sekurang-kurangnya. Anda boleh menyemak menggunakan arahan berikut:

rpm -qa | grep openssl

Ini akan mencetak versi yang serupa dengan:

openssl-1.0.1e-42.el6_7.4.x86_64

Sekiranya versi OpenSSL tidak sama atau lebih besar daripada 1.0.1, anda harus mengemas kini sistem operasi anda. Plesk yang digunakan pada sistem operasi yang lebih baru akan menggunakan OpenSSL 1.0.1 di luar kotak.

Langkah 2: Mengaktifkan HTTP / 2 di Plesk

Bergantung pada sistem operasi yang digunakan, aktifkan HTTP / 2 menggunakan http2_prefalat. Perintah ini harus dilaksanakan sebagai root.

Mengaktifkan HTTP / 2 di CentOS / RHEL

Laksanakan: /usr/local/psa/bin/http2_pref enable

Mengaktifkan HTTP / 2 di Ubuntu / Debian

Laksanakan: /opt/psa/bin/http2_pref enable

Langkah 3: Perbaiki cipher suite

Menggunakan suite cipher yang baik sangat penting untuk keselamatan. Menyokong protokol usang secara berkesan akan mengalahkan kesan langkah keselamatan anda. Pastikan untuk menyesuaikan protokol yang tersedia dan versi TLS yang tersedia menggunakan alat Plesk bawaan sslmng.

Contohnya, mengaktifkan cipher dan versi TLS berikut akan memastikan keserasian dengan HTTP / 2. Sekiranya anda tidak pasti mengenai cipher dan versi yang harus anda aktifkan, ikuti tetapan berikut:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Perintah ini mengubah suai /etc/nginx/conf.d/ssl.conf. Anda boleh mengubahsuai fail ini secara langsung, tetapi menggunakan perintah yang disenaraikan di atas akan terus berlaku perubahan pada kemas kini Plesk.

Untuk mendapatkan "Kerahsiaan maju sempurna" menggunakan suite cipher lain, anda boleh mencuba cipher berikut:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Terdapat banyak suite cipher yang tersedia, dan anda harus memilih yang sesuai dengan keperluan anda. Anda harus melayari laman web seperti Cipherli.st untuk mengumpulkan suite cipher yang sesuai dengan keperluan anda. Dengan menentukannya dalam sslmngalat, cipher suite akan digunakan serta-merta.

Untuk memeriksa sokongan TLS penyemak imbas anda sebagai pelanggan, gunakan alat Qualys SSL . Apabila anda tidak membenarkan cipher atau versi TLS yang mencukupi, beberapa laman web mungkin tidak dapat dihubungi.

Langkah 4: Memeriksa keserasian HTTP / 2

Setelah mengaktifkan HTTP / 2, anda harus memeriksa apakah laman web dan pelayan web anda dapat dihubungi melalui HTTP / 2. Terdapat alat berasaskan web yang sangat berguna untuk ini: Ujian HTTP / 2 .

Untuk mendapatkan hasil yang tepat, pastikan anda telah melumpuhkan semua proksi terbalik yang terletak di hadapan pelayan anda. Sebagai contoh, jika anda menggunakan CDN yang tidak mendukung HTTP / 2, alat pengujian akan mengembalikan laman web anda yang tidak menyokong HTTP / 2 walaupun berjaya diaktifkan di peringkat pelayan. Sama seperti sebaliknya: jika anda mempunyai proksi terbalik seperti Cloudflare di hadapan laman web anda (yang menyokong HTTP / 2) alat akan selalu mengembalikan HTTP / 2 sebagai diaktifkan dan berfungsi, tanpa mengira fungsinya di peringkat pelayan .

Sekiranya sebilangan penyemak imbas enggan memuat laman web anda atau melayani kandungan dari pelayan web anda setelah mengaktifkan HTTP / 2, anda harus menganalisis penyediaan SSL anda menggunakan alat SSL Qualys .

(Pilihan) Mengembalikan konfigurasi HTTP / 2

Sekiranya diperlukan, jika anda memerlukan masa untuk melakukan debug, anda dapat (sementara) mematikan HTTP / 2 hanya dengan melaksanakan perintah di bawah ini. Sebaik sahaja anda mahu mengaktifkan semula HTTP / 2, jalankan perintah untuk mengaktifkannya dan cuba sampai ke mana-mana laman web anda. Tidak ada cara untuk mengaktifkan atau menonaktifkan HTTP / 2 untuk domain atau laman web tertentu; ini adalah tetapan seluruh pelayan.

Melumpuhkan HTTP / 2 di CentOS / RHEL

Laksanakan: /usr/local/psa/bin/http2_pref disable

Melumpuhkan HTTP / 2 pada Ubuntu / Debian

Laksanakan: /opt/psa/bin/http2_pref disable

Penyelesaian masalah

Memandangkan banyak komponen pelayan yang terlibat dalam mengaktifkan HTTP / 2, dalam beberapa kes, anda mungkin perlu menyelesaikan masalah apabila laman web tidak dimuat dengan betul atau tidak sama sekali setelah mengaktifkan sokongan HTTP / 2.

Catatan: pastikan untuk tidak mematikan sokongan HTTP / 2 menggunakan http2_prefalat ketika mengikuti langkah-langkah ini.

Periksa keperluan

Pertama, pastikan anda memenuhi syarat yang digariskan pada awal artikel ini.

Buat semula konfigurasi Nginx

Sekiranya anda memenuhi syarat untuk HTTP / 2, anda boleh membuat semula fail konfigurasi Nginx. Anda harus tahu bahawa ini akan menghapus konfigurasi tersuai, jadi buat cadangan direktori konfigurasi Nginx terlebih dahulu. Oleh kerana fail konfigurasi dapat disebarkan ke seluruh pelayan, lebih baik hanya membuat snapshot atau mengambil sandaran. Kemudian, laksanakan perintah ini:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Semak semula cipher suite

Sekiranya itu tidak memberi kesan sama ada, kemungkinan besar, suite cipher harus dipersalahkan. Laksanakan perintah berikut sekali lagi:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Ralat dalam panel.ini

Pastikan fail /usr/local/psa/admin/conf/panel.inimengandungi kandungan berikut:

[webserver]
nginxHttp2 = true

Anda boleh memeriksa sama ada fail mengandungi ini dengan cepat dengan menjalankan: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Adakah arahan ini tidak memberikan apa-apa? Kemungkinan besar, fail tersebut hanya boleh dibaca, misalnya kerana chattratribut. Mungkin telah ditambahkan ketika http2_prefperintah (untuk mengaktifkan HTTP / 2) dijalankan.

Periksa sama ada SSL digunakan

Apabila laman web tidak menggunakan SSL, laman web akan kembali ke HTTP / 1.1. Hanya laman web yang menggunakan SSL yang akan dilayan menggunakan HTTP / 2. Pastikan anda tidak menerapkan HTTP / 2 secara tempatan dalam semua kes, kerana itu tidak akan berfungsi dan bukan masalah di sisi pelayan.

Pilihan lain

Sekiranya ini tidak berfungsi, anda harus berjumpa dengan pakar Plesk, misalnya di forum Plesk. Dalam banyak kes, langkah di atas akan menyelesaikan kebanyakan masalah.

Satu langkah terakhir yang boleh anda ambil adalah dengan hanya menghidupkan semula pelayan. Dalam beberapa kes yang pelik, masalah ini tidak dapat diselesaikan. Walau bagaimanapun, anda harus selalu dapat menentukan masalah untuk mengelakkannya (tiba-tiba) berulang.

Itu menyimpulkan panduan saya, terima kasih kerana membaca.