阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9785阅读
  • 3回复

[网络/安全]或许是 Nginx 上配置 HTTP2 最实在的教程了

级别: 论坛版主
发帖
9349
云币
14165
sLK$H|%>m  
前言 c/(Dg$DbX  
WaE%g   
从 2015 年 5 月 14 日 HTTP/2 协议正式版的发布到现在已经快有一年了,越来越多的网站部署了 HTTP2,HTTP2 的广泛应用带来了更好的浏览体验,只要是 Modern 浏览器都支持,所以部署 HTTP2 并不会带来太多困扰。 PevT`\>  
虽然 h2 有 h2c (HTTP/2 Cleartext) 可以通过非加密通道传输,但是支持的浏览器初期还是比较少的,所以目前部署 h2 还是需要走加密的,不过由于 Let’s Encrypt 大力推行免费证书和证书的廉价化,部署 h2 的成本并不高。 /6 y;fx  
N)KN!!  
介绍  y'^b{q@  
]XYD2fR2qA  
HTTP 2.0即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis (httpbis)工作小组进行开发。是自1999年http1.1发布后的首个更新。 ~C?)- ]bF  
HTTP/2 协议是从 SPDY 演变而来,SPDY 已经完成了使命并很快就会退出历史舞台(例如 Chrome 将在「2016 年初结束对 SPDY 的支持」;Nginx、Apache 也已经全面支持 HTTP/2 ,并也不再支持 SPDY)。 UHIXy#+o5  
一般的大家把 HTTP2 简称为 h2,尽管有些朋友可能不怎么愿意,但是这个简称已经默认化了,特别是体现在浏览器对 HTTP2 都是这个简写的。 B? XK;*])  
T[J8zL O  
配置 A "'h0D  
>aCY  
普通的 HTTPS 网站浏览会比 HTTP 网站稍微慢一些,因为需要处理加密任务,而配置了 h2 的 HTTPS,在低延时的情况下速度会比 HTTP 更快更稳定! ?U2 'L2y  
现在电信劫持事件频发,网站部署了 HTTPS 加密后可以杜绝大部分劫持,但不是完全。像电子商务行业对 HTTPS 加密可是标配啊,因此部署 h2 更是势在必行。 w3ZO CWJS  
_0Y?(}  
证书 SkU9iW(k  
千万别签,免得 Chrome 弹出红色的页面令人不悦,从而拒绝了大多数访客。 (/i|3P  
DMKtTt[}  
Web 服务 h6;zAM}  
说明 R~RE21kAc  
~!/agLwY  
默认编译的 Nginx 并不包含 h2 模块,我们需要加入参数来编译,截止发文,Nginx 1.9 开发版及以上版本源码需要自己加入编译参数,从软件源仓库下载的则默认编译。 Tengine 可以同时部署 h2 和 SPDY 保证兼容性,Nginx 则是一刀切不再支持 SPDY。 V7 hO}  
jk%H+<FU`  
安装/编译 $3eoZ1q'U-  
f{{J_""?&  
如果你编译的 Nginx 不支持,那么在 ./configure 中加入:--with-http_v2_module ,如果没有 SSL 支持,还需要加入 --with-http_ssl_module ;i ?R+T  
然后 make && make install 即可。 ^Qxv5HS2  
0XA0 b1VX  
配置 d?/>Qqw:#  
=L{-Hu/j  
主要是配置 Nginx 的 server 块, 。修改相关虚拟机的 .conf 文件,一般在 /usr/local/nginx/conf/vhost/ 或者/etc/nginx/conf/,具体参考你的环境指导,不懂请回复。 l}D /1~d  
  1. server {
  2. listen 443 ssl http2 default_server;
  3. server_name www.mf8.biz;
  4. ssl_certificate /path/to/public.crt;
  5. ssl_certificate_key /path/to/private.key;
"@Qg]#]JH  
dl3}\o_  
注:将 server_name www.mf8.biz; 中的 www.mf8.biz 替换为你的域名 Cli:;yi&n  
然后通过 /usr/local/nginx/sbin/nginx -t 或者 nginx -t 来检测是否配置正确,然后重启 Nginx ,即可。 fC$@m_-KD  
.k|\xR  
检验 p xW*kS  
9A9T'g)Du  
&{ZUY3  
在 Chrome 浏览器上可以通过,[url=https://chrome.google.com/webstore/detail/http2-and-spdy-indicator/mpbpobfflnpcgagjijhmgnchggcj blin]HTTP/2 and SPDY indicator[/url] 来检验,如果地址栏出现蓝色的闪电就是 h2 2_)gJ_kP  
也可以在 chrome://net-internals/#http2 中检查。注意版本要新,姿势要帅! Bz>5OuOVS\  
v8C4BuwA  
配置进阶 LbR'nG{J  
pfFHuS~  
y8} /e@&  
大家都知道去年的心血漏洞将 SSL 推到了风口浪尖,所以单单支持了 h2 ,我们任然需要对 SSL 做一些安全的优化! ^S!;snhn  
配置赫尔曼密钥 8U!$()^?  
  1. openssl dhparam -out dhparam.pem 2048 // 在 ssh 运行, openssl 生成 2048 位的密钥而不是当作参数写入 nginx.conf 文件。
  2. ssl_dhparam /path/to/dhparam.pem; //在 .conf 中配置
 #J  
禁止不安全的 SSL 协议,使用安全协议 S7~HBgS<  
  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
-oB=7+g  
禁止已经不安全的加密算法 e -b>   
  1. ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
-TS,~`O  
K'f2 S  
缓解 BEAST q)J5tBfJ  
  1. ssl_prefer_server_ciphers on;```
  2. **启用 HSTS**
  3. 此举直接跳过 301 跳转,还降低了中间人攻击的风险!配置在 .conf 中即可
  4. `add_header Strict-Transport-Security max-age=15768000;`
  5. **301 跳转**
  6. 80 端口跳转到 443 端口
  7. ```nginx
  8. server {
  9. listen 80;
  10. add_header Strict-Transport-Security max-age=15768000;
  11. return 301 https://www.yourwebsite.com$request_uri;
  12. }
Fe.90)  
A,3qjd,$ c  
uJ0Wb$%  
OCSP 缝合 8i)9ho<  
  1. ssl_stapling on;
  2. ssl_stapling_verify on;
  3. ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
  4. resolver 233.5.5.5 233.6.6.6 valid=300s;
#er% q:  
h67{qY[J[  
Fqh./@o  
欢迎你的补充! 3jHg9M23[^  
通过 www.ssllabs.com 即可检验 HTTPS 配置的安全性和实用性! '6L@l  
s-~`Ao' <  
E0+~c1P-  
来自:https://www.mf8.biz/archives/71/
[ 此帖被ivmmff在2016-03-14 12:12重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2016-03-14
因为论坛对代码的阅读并不友好,所以大家还可以到云栖社区浏览 5?([jAOf  
https://yq.aliyun.com/articles/7171
级别: 论坛版主
发帖
16048
云币
8344

只看该作者 板凳  发表于: 2016-03-14
给力的教程。 呵呵,或许这是最好“”遵循"的cc协议文章了。 S\A0gOL^  
一篇文章有多少外联呢?我没有数出来
善用阿里云帮助文档。
级别: 攻城狮
发帖
612
云币
3100
只看该作者 地板  发表于: 2016-03-27
学习 vCJa%}  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)