或许是 Nginx 上配置 HTTP2 最实在的教程了
Posted Linux就该这么学
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了或许是 Nginx 上配置 HTTP2 最实在的教程了相关的知识,希望对你有一定的参考价值。
导读 | 从 2015 年 5 月 14 日 HTTP/2 协议正式版的发布到现在已经快有一年了,越来越多的网站部署了 HTTP2,HTTP2 的广泛应用带来了更好的浏览体验,只要是 Modern 浏览器都支持,所以部署 HTTP2 并不会带来太多困扰。 |
虽然 h2 有 h2c (HTTP/2 Cleartext) 可以通过非加密通道传输,但是支持的浏览器初期还是比较少的,所以目前部署 h2 还是需要走加密的,不过由于 Let’s Encrypt 大力推行免费证书和证书的廉价化,部署 h2 的成本并不高。
介绍
HTTP 2.0即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis (httpbis)工作小组进行开发。是自1999年http1.1发布后的首个更新,HTTP/2 协议是从 SPDY 演变而来,SPDY 已经完成了使命并很快就会退出历史舞台(例如 Chrome 将在「2016 年初结束对 SPDY 的支持」;nginx、 也已经全面支持 HTTP/2 ,并也不再支持 SPDY),一般的大家把 HTTP2 简称为 h2,尽管有些朋友可能不怎么愿意,但是这个简称已经默认化了,特别是体现在浏览器对 HTTP2 都是这个简写的。
配置
普通的 HTTPS 网站浏览会比 HTTP 网站稍微慢一些,因为需要处理加密任务,而配置了 h2 的 HTTPS,在低延时的情况下速度会比 HTTP 更快更稳定!
现在电信劫持事件频发,网站部署了 HTTPS 加密后可以杜绝大部分劫持,但不是完全。像电子商务行业对 HTTPS 加密可是标配啊,因此部署 h2 更是势在必行。
Web 服务器
说明
默认编译的 Nginx 并不包含 h2 模块,我们需要加入参数来编译,截止发文,Nginx 1.9 开发版及以上版本源码需要自己加入编译参数,从软件源仓库下载的则默认编译。 Tengine 可以同时部署 h2 和 SPDY 保证兼容性,Nginx 则是一刀切不再支持 SPDY。
安装/编译
如果你编译的 Nginx 不支持,那么在
./configure
中加入:
--with-http_v2_module
,如果没有 SSL 支持,还需要加入
--with-http_ssl_module
然后 make && make install 即可。
配置
主要是配置 Nginx 的 server 块, 。
修改相关虚拟机的
.conf
文件,一般在
/usr/local/nginx/conf/vhost/
或者
/etc/nginx/conf/
,具体参考你的环境指导,不懂请回复。
listen 443 ssl http2 default_server;
server_name www.mf8.biz;
ssl_certificate /path/to/public.crt;
ssl_certificate_key /path/to/private.key;
注:将 server_name www.mf8.biz; 中的 www.mf8.biz 替换为你的域名。
然后通过
/usr/local/nginx/sbin/nginx -t
或者
nginx -t
来检测是否配置正确,然后重启 Nginx ,即可。
检验
也可以在 chrome://net-internals/#http2 中检查。注意版本要新,姿势要帅!
配置进阶
大家都知道去年的心血漏洞将 SSL 推到了风口浪尖,所以单单支持了 h2 ,我们任然需要对 SSL 做一些安全的优化!
配置赫尔曼密钥
ssl_dhparam /path/to/dhparam.pem; //在 .conf 中配置
禁止不安全的 SSL 协议,使用安全协议
禁止已经不安全的加密算法
缓解 BEAST 攻击
**启用 HSTS**
此举直接跳过 301 跳转,还降低了中间人攻击的风险!配置在 .conf 中即可
**301 跳转**
80 端口跳转到 443 端口
listen 80;
add_header Strict-Transport-Security max-age=15768000;
return 301 https://www.yourwebsite.com$request_uri;
}
缓存连接凭据
ssl_session_timeout 60m;
OCSP 缝合
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 233.5.5.5 233.6.6.6 valid=300s;
近期热门文章 ( 点击可直接阅读 )
原创
关注Linux探索园微信公众平台,竭诚为您提供最优质的Linux相关新闻与活动信息。
点击“阅读原文”查看更多精彩内容
阅读是一种收获,分享是一种美德
以上是关于或许是 Nginx 上配置 HTTP2 最实在的教程了的主要内容,如果未能解决你的问题,请参考以下文章
❲学以致用❳或许是 Nginx 上配置 HTTP2 最实在的教程了