วิธีการเปิดใช้งาน HTTP / 2 บนเซิร์ฟเวอร์ Plesk

• เปิดใช้งาน HTTP / 2
• การแก้ไขปัญหา

Plesk มีการรองรับ HTTP / 2 แบบเนทิฟ กระบวนการปรับใช้ของมันต้องมีการวางแผนอย่างรอบคอบแม้ว่าการเปิดตัว HTTP / 2 บน Plesk นั้นง่ายกว่าเมื่อเปรียบเทียบกับแผงควบคุมอื่น ๆ คู่มือนี้ใช้กับระบบปฏิบัติการที่หลากหลาย ขั้นตอนที่ให้ไว้ที่นี่จะทำงานได้ตราบใดที่คุณมีรุ่น Plesk และ OpenSSL ที่เพียงพอ ฉันจะอธิบายข้อกำหนดเหล่านี้ใน "ขั้นตอนที่ 1: การตรวจสอบข้อกำหนด"

คุณควรคำนึงว่าเบราว์เซอร์จำนวนมากจะสนับสนุน HTTP / 2 สำหรับเว็บไซต์ของคุณหากคุณใช้ใบรับรอง SSL เมื่อไม่ใช้ใบรับรอง SSL เนื้อหาจะไม่แสดงผ่าน HTTP / 2 โชคดีที่มีหลายวิธีในการรับใบรับรอง SSL หากคุณสนใจในการได้รับใบรับรองการเข้ารหัสลับของ Let ตรวจสอบคำแนะนำนี้สำหรับการสร้างหนึ่งใน Plesk: Let 's เข้ารหัสบน Plesk

แม้ว่าจะมีโอกาสที่ดีที่คุณจะสามารถเปิดใช้งาน HTTP / 2 ได้โดยไม่ต้องมีผู้ใช้หรือผู้เข้าชมสังเกตเห็น (และไม่มีการหยุดทำงาน) คุณควรประกาศการบำรุงรักษานี้ ในกรณีที่ชุดรหัส SSL ของคุณไม่ได้รับการกำหนดค่าอย่างถูกต้องอาจมีการหยุดทำงาน โชคดีที่มันง่ายมากที่จะย้อนกลับการเปลี่ยนแปลงโดยใช้เครื่องมือในตัวของ Plesk

คุณควรมั่นใจอย่างยิ่งว่าไม่มีการเปลี่ยนแปลงโดยตรงกับไฟล์กำหนดค่าเนื่องจากเราจะเขียนทับไฟล์กำหนดค่าบางอย่าง ไม่มีอะไรต้องกังวลในกรณีที��คุณทำการเปลี่ยนแปลงโดยใช้วิธีการที่รองรับ (ในไฟล์ที่กำหนดเอง) โดยเฉพาะ

หากเป็นไปได้คุณควรหมุนเซิร์ฟเวอร์คลาวด์ Vultr อื่นด้วยการติดตั้ง Plesk แบบธรรมดาและดำเนินการคำสั่งด้านล่าง จากนั้นขึ้นอยู่กับความสำเร็จ (หรือล้มเหลว) คุณสามารถทำตามขั้นตอนในการดีบักและ / หรือแก้ไขปัญหาใด ๆ ที่อาจเกิดขึ้นในการปรับใช้ HTTP / 2 ในอนาคตบนเซิร์ฟเวอร์ที่ใช้งานจริงในปัจจุบัน

เปิดใช้งาน HTTP / 2

ขั้นตอนที่ 1: การตรวจสอบข้อกำหนด

คุณส���มารถเปิดใช้งานการสนับสนุน HTTP / 2 สำหรับพร็อกซีย้อนกลับที่ Plesk ได้รับการปรับใช้ ในกรณีที่คุณไม่แน่ใจว่าเซิร์ฟเวอร์ของคุณใช้ reverse proxy หรือไม่คุณควรตรวจสอบ "Service Monitor" หากคุณเห็นทั้ง Apache และ Nginx อยู่ในรายการแสดงว่ามีความปลอดภัยที่จะถือว่าการติดตั้งของคุณกำลังใช้ reverse proxy อยู่ หากคุณเห็น Apache หรือ Nginx เท่านั้นคุณมักจะใช้เว็บเซิร์ฟเวอร์เดียว

ในแกนกลางมีข้อกำหนดเฉพาะหนึ่งข้อที่จำเป็นอย่างยิ่งสำหรับ HTTP / 2 ในการทำงานซึ่งเป็นรุ่น OpenSSL ที่มีการสนับสนุน ALPN

อย่างไรก็ตามหากคุณมี Plesk เวอร์ชัน 12.5.30 หรือสูงกว่าติดตั้งบน CentOS / RHEL 7, Ubuntu 14.04, Debian 8 หรือสูงกว่า Nginx จะถูกปรับใช้ด้วย ALPN ที่สนับสนุนการใช้งานนอกกรอบ

หากคุณมีรุ่น Plesk หรือระบบปฏิบัติการรุ่นเก่ากว่าคุณสามารถอัพเกรดแพ็คเกจได้ อย่างไรก็ตามฉันไม่สนับสนุนหรือบันทึกเอกสารนี้ เวอร์ชันและระบบปฏิบัติการเหล่านี้เก่ามากและแนวปฏิบัติที่ดีที่สุดคือการอัปเดต พิจารณาความเสี่ยงด้านความปลอดภัยของการใช้ซอฟต์แวร์ที่ล้าสมัยเช่นกัน

ไม่มีเอกสารที่ระบุอย่างชัดเจนว่าระบบปฏิบัติการและเวอร์ชั่นใดที่เข้ากันได้กับ HTTP / 2 บน Plesk; อย่างไรก็ตามหากคุณใช้รุ่นใหม่ล่าสุด (ณ เวลาที่คู่มือนี้เผยแพร่) คุณควรปฏิบัติตามข้อกำหนด คุณสามารถสันนิษฐานได้อย่างปลอดภัยว่าระบบปฏิบัติการรุ่นเก่าเช่น CentOS / RHEL 5 จะไม่สามารถใช้งานร่วมกันได้

นอกเหนือจากข้อกำหนดของรุ่น OpenSSL โปรดทราบว่า Apache ไม่จำเป็นต้องเข้ากันได้กับ HTTP / 2 เช่นกัน การสนับสนุน HTTP / 2 สำหรับ Apache นั้นมีให้ตั้งแต่รุ่น 2.4.17 แต่ในกรณีที่คุณใช้ reverse proxy (ซึ่งเป็นการตั้งค่าเริ่มต้นใน Plesk) เพียงรุ่น Nginx ก็เพียงพอแล้ว เซิร์ฟเวอร์แบ็กเอนด์ Apache ไม่ต้องเข้ากันได้ คุณสามารถปรึกษา "ผู้จัดการบริการ" ใน Plesk เพื่อให้แน่ใจว่าคุณใช้พร็อกซีย้อนกลับ เมื่อ Nginx อยู่ในรายการนั้นจะปลอดภัยที่จะถือว่า Apache และ Nginx ถูกติดตั้งเป็นการตั้งค่าพร็อกซีย้อนกลับโดยที่ Nginx ทำหน้าที่เป็นเซิร์ฟเวอร์ส่วนหน้า

คำสั่งต่อไปนี้แสดงว่า Nginx เปิดใช้งานหรือไม่

/usr/local/psa/admin/bin/nginxmng -s

สำหรับ OpenSSL คุณควรมีเวอร์ชั่น 1.0.1 เป็นอย่างน้อย คุณสามารถตรวจสอบโดยใช้คำสั่งต่อไปนี้:

rpm -qa | grep openssl

สิ่งนี้จะพิมพ์เวอร์ชันที่คล้ายกับ:

openssl-1.0.1e-42.el6_7.4.x86_64

หากเวอร์ชัน OpenSSL ไม่เท่ากับหรือมากกว่า 1.0.1 คุณควรอัปเดตระบบปฏิบัติการของคุณ Plesk ที่ปรับใช้กับระบบปฏิบัติการรุ่นใหม่จะใช้ประโยชน์จาก OpenSSL 1.0.1 ได้ทันที

ขั้นตอนที่ 2: การเปิดใช้งาน HTTP / 2 ใน Plesk

ขึ้นอยู่กับระบบปฏิบัติการที่ใช้เปิดใช้งาน HTTP / 2 โดยใช้http2_prefเครื่องมือ คำสั่งนี้ควรถูกดำเนินการในฐานะรูท

การเปิดใช้งาน HTTP / 2 บน CentOS / RHEL

ดำเนินการ: /usr/local/psa/bin/http2_pref enable

เปิดใช้งาน HTTP / 2 บน Ubuntu / Debian

ดำเนินการ: /opt/psa/bin/http2_pref enable

ขั้นตอนที่ 3: ปรับปรุงชุดรหัส

การใช้ชุดรหัสที่ดีนั้นมีความสำคัญอย่างยิ่งต่อความปลอดภัย การสนับสนุนโปรโตคอลที่ล้าสมัยจะช่วยลดผลกระทบของมาตรการความปลอดภัยของคุณได้อย่างมีประสิทธิภาพ ตรวจสอบให้แน่ใจว่าได้ปรับโปรโตคอลที่ใช้ได้และรุ่น TLS ที่ใช้ได้โดยใช้เครื่องมือ Plesk ในsslmngตัว

ตัวอย่างเช่นการเปิดใช้งาน ciphers และเวอร์ชัน TLS ต่อไปนี้จะช่วยให้มั่นใจได้ถึงความเข้ากันได้กับ HTTP / 2 หากคุณไม่แน่ใจเกี่ยวกับรหัสและรุ่นที่คุณควรเปิดใช้งานให้ทำตามการตั้งค่าต่อไปนี้:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

/etc/nginx/conf.d/ssl.confคำสั่งนี้จะปรับเปลี่ยน คุณสามารถแก้ไขไฟล์นี้ได้โดยตรง แต่การใช้คำสั่งข้างต้นจะยังคงมีการเปลี่ยนแปลงในการอัพเดท Plesk

ในการรับ "Perfect forward Secrecy" โดยใช้ชุดรหัสอื่นคุณสามารถลองรหัสต่อไปนี้:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

มีห้องรหัสจำนวนมากที่มีอยู่และคุณควรเลือกห้องที่ตรงกับความต้องการของคุณที่สุด คุณควรปรึกษาเว็บไซต์เช่นCipherli.stเพื่อรวบรวมชุดรหัสที่เหมาะกับความต้องการของคุณ ด้วยการระบุไว้ในsslmngเครื่องมือชุดรหัสจะถูกใช้ทันที

ในการตรวจสอบ TLS สนับสนุนของเบราว์เซอร์ของคุณเป็นลูกค้าใช้เครื่องมือ Qualys SSL เมื่อคุณไม่อนุญาต ciphers หรือรุ่น TLS เพียงพอเว็บไซต์บางแห่งอาจไม่สามารถเข้าถึงได้

ขั้นตอนที่ 4: การตรวจสอบความเข้ากันได้ของ HTTP / 2

หลังจากเปิดใช้งาน HTTP / 2 คุณควรตรวจสอบว่าเว็บไซต์และเว็บเซิร์ฟเวอร์สามารถเข้าถึงได้ผ่าน HTTP / 2 หรือไม่ : มีเครื่องมือบนเว็บที่มีประโยชน์มากสำหรับเรื่องนี้เป็นHTTP / 2 ทดสอบ

เพื่อให้ได้ผลลัพธ์ที่ถูกต้องตรวจสอบให้แน่ใจว่าคุณได้ปิดใช้งานพร็อกซีย้อนกลับทั้งหมดที่อยู่ด้านหน้าเซิร์ฟเวอร์ของคุณ ตัวอย่างเช่นหากคุณใช้ CDN ที่ไม่สนับสนุน HTTP / 2 เครื่องมือทดสอบจะส่งคืนเว็บไซต์ของคุณไม่สนับสนุน HTTP / 2 แม้ว่าจะเปิดใช้งานในระดับเซิร์ฟเวอร์เรียบร้อยแล้วก็ตาม เช่นเดียวกับวิธีอื่น ๆ : หากคุณมีพร็อกซีย้อนกลับเช่น Cloudflare หน้าเว็บไซต์ของคุณ (ซึ่งรองรับ HTTP / 2) เครื่องมือจะส่งคืน HTTP / 2 เสมอว่าเปิดใช้งานและทำงานอยู่เสมอโดยไม่คำนึงถึงการทำงานในระดับเซิร์ฟเวอร์ .

หากเบราว์เซอร์บางคนปฏิเสธที่จะโหลดเว็บไซต์ของคุณ (s) หรือบริการเนื้อหาใด ๆ จากเว็บเซิร์ฟเวอร์ของคุณหลังจากเปิดใช้ HTTP / 2 คุณควรวิเคราะห์การติดตั้ง SSL ของคุณโดยใช้เครื่องมือ SSL Qualys'

(ไม่บังคับ) การคืนค่า HTTP / 2

หากจำเป็นถ้าคุณต้องการเวลาในการดีบักคุณสามารถ (ชั่วคราว) ปิดใช้งาน HTTP / 2 ได้ง่ายๆโดยการดำเนินการคำสั่งด้านล่าง เมื่อคุณต้องการเปิดใช้งาน HTTP / 2 อีกครั้งให้ดำเนินการคำสั่งเพื่อเปิดใช้งานและลองเข้าถึงเว็บไซต์ใด ๆ ของคุณ ไม่มีวิธีการเปิดใช้งานหรือปิดใช้งาน HTTP / 2 สำหรับโดเมนหรือเว็บไซต์เฉพาะ เป็นการตั้งค่าทั้งเซิร์ฟเวอร์

ปิดใช้งาน HTTP / 2 บน CentOS / RHEL

ดำเนินการ: /usr/local/psa/bin/http2_pref disable

ปิดการใช้งาน HTTP / 2 บน Ubuntu / Debian

ดำเนินการ: /opt/psa/bin/http2_pref disable

การแก้ไขปัญหา

พิจารณาส่วนประกอบหลายอย่างของเซิร์ฟเวอร์ที่เกี่ยวข้องในการเปิดใช้งาน HTTP / 2 ในบางกรณีคุณอาจต้องแก้ไขปัญหาเมื่อเว็บไซต์โหลดไม่ถูกต้องหรือไม่เลยหลังจากเปิดใช้งานการสนับสนุน HTTP / 2

หมายเหตุ:ตรวจสอบให้แน่ใจว่าไม่ได้ปิดใช้งานการสนับสนุน HTTP / 2 โดยใช้http2_prefเครื่องมือเมื่อทำตามขั้นตอนเหล่านี้

ตรวจสอบข้อกำหนด

ขั้นแรกตรวจสอบให้แน่ใจว่าคุณมีคุณสมบัติตรงตามข้อกำหนดที่ระบุไว้ในตอนต้นของบทความนี้

สร้างการกำหนดค่า Nginx อีกครั้ง

หากคุณปฏิบัติตามข้อกำหนดสำหรับ HTTP / 2 คุณสามารถลองสร้างไฟล์กำหนดค่า Nginx ขึ้นมาใหม่ คุณควรรู้ว่าสิ่งนี้จะลบการกำหนดค่าแบบกำหนดเองใด ๆ ดังนั้นสร้างการสำรองข้อมูลของไดเรกทอรีการกำหนดค่า Nginx ไว้ก่อน เนื่องจากไฟล์การกำหนดค่าสามารถแพร่กระจายได้ทั่วทั้งเซิร์ฟเวอร์จึงเป็นการดีกว่าที่จะทำสแน็ปช็อตหรือทำการสำรองข้อมูล จากนั้นดำเนินการคำสั่งนี้:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

ตรวจสอบชุดรหัสลับอีกครั้ง

หากไม่มีผลกระทบใด ๆ เป็นไปได้ว่า cipher suite คือการตำหนิ ดำเนินการคำสั่งต่อไปนี้อีกครั้ง:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

ข้อผิดพลาดใน panel.ini

ตรวจสอบให้แน่ใจว่าไฟล์/usr/local/psa/admin/conf/panel.iniมีเนื้อหาดังต่อไปนี้:

[webserver]
nginxHttp2 = true

คุณสามารถตรวจสอบว่าไฟล์มีสิ่งนี้ได้อย่างรวดเร็วโดยการดำเนินการ: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

คำสั่งนี้ไม่ส่งคืนอะไรเลยหรือ เป็นไปได้มากว่าไฟล์นั้นเป็นแบบอ่านอย่างเดียวเช่นเนื่องจากchattrแอตทริบิวต์ มันอาจถูกเพิ่มเมื่อเรียกใช้http2_prefคำสั่ง (เพื่อเปิดใช้งาน HTTP / 2)

ตรวจสอบว่าใช้ SSL หรือไม่

เมื่อเว็บไซต์ไม่ได้ใช้ SSL เว็บไซต์จะย้อนกลับไปที่ HTTP / 1.1 เฉพาะเว็บไซต์ที่ใช้ SSL เท่านั้นที่จะแสดงโดยใช้ HTTP / 2 ตรวจสอบให้แน่ใจว่าคุณไม่ได้บังคับใช้ HTTP / 2 แบบโลคัลในทุกกรณีเพราะมันใช้งานไม่ได้และไม่ใช่ปัญหาด้านเซิร์ฟเวอร์

ตัวเลือกอื่น

หากไม่สามารถใช้งานได้คุณควรปรึกษาผู้เชี่ยวชาญ Plesk เช่นในฟอรัม Plesk ในหลายกรณีขั้นตอนข้างต้นจะแก้ไขปัญหาส่วนใหญ่ได้

สิ่งสุดท้ายที่คุณสามารถทำได้ก็คือรีบูตเซิร์ฟเวอร์ ในบางกรณีที่แปลกนี้มีการแก้ไขปัญหาจากสีน้ำเงิน อย่างไรก็ตามคุณควรจะสามารถระบุปัญหาเพื่อป้องกันไม่ให้เกิดปัญหาขึ้นอีกทันใด

สรุปคู่มือของฉันขอบคุณสำหรับการอ่าน