阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 8231阅读
  • 1回复

[网络/安全]在 Nginx 上部署 HTTP/2

级别: 论坛版主
发帖
9349
云币
14165
h^F^|WT$  
E#t;G: +A  
v,Lv4)  
]>R|4K_  
|zD{]y?S-  
内容 8d9&LPv  
apache 在这里:在 Apache 上部署 HTTP/2 a!MhxM5  
5y7rY!]Bf  
O5HK2Xg,C  
这里我们用 CHACHA20 的加密方式,所以这里我们将 openssl 替换为比较黑科技的分支 LibreSSL,LibreSSL 是在心血漏洞后由 OpenBSD 创建的分支比谷歌的 BoringSSL 使用难得要小一些。LibreSSL 还有一个方便的地方就是不需要我们去编译,nginx 己会编译的。 `}:q@: %  
+TW9BU'a^  
SVsLu2tVY  
:34#z.O  
准备 J(*q OGBD  
$mvcqn;  
qd*3| O^  
./configure 参数中加入 aEr<(x !|"  
  1. --with-openssl=/path/to/libressl-2.3.0 --with-http_v2_module --with-http_ssl_module
6~8A$:  
F&US-ce:M  
当然了,对新手来说还是太笼统了,所以我再详细介绍一下。 Bw-<xwD  
首先我们下载,LibreSSL: NNZ%jJy?=,  
  1. cd /root
  2. wget -c http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-2.3.0.tar.gz  // 最好进入目录看看有没有更新的版本,有就下载更新的版本
  3. tar xzf libressl-2.3.0.tar.gz  // 如果有新的版本,这里也要改版本号
  4. mv libressl-2.3.0 libressl  //将目录重命名为 libressl,为了方便未来升级 nginx,如果 libressl 也有变动,那么就就只要在这个目录下,删除旧的上传新的。
_EeH  
`]^0lD=eI  
Qs2 E>C  
接着,我们下载 nginx: 7Q,9j.  
出这篇文章的时候,刚好出 1.9.6,所以我们就用 1.9.6 了,如果有新的,务必也下载新版本。 2N_8ahc  
  1. wget http://nginx.org/download/nginx-1.9.6.tar.gz
  2. tar xzf nginx-1.9.6.tar.gz && cd nginx-1.9.6
;AV[bjRE\  
oh+Q}Fa:  
f8`K8Y]4  
编译 ^lVZW8  
 L><# I  
( ON n{12Q  
这是我原来的参数, /]H6'  
  1. ./configure --prefix=$nginx_install_dir --user=$run_user --group=$run_user --with-http_stub_status_module --with-http_spdy_module --with-http_ssl_module --with-ipv6 --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module $malloc_module
Y<('G5A  
JmDi{B?  
我们去掉 spdy,改为 h2,并且加入 libressl 参数: lz>YjK:  
  1. ./configure --prefix=$nginx_install_dir --user=$run_user --group=$run_user --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-openssl=/root/libressl --with-ipv6 --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module $malloc_module
_@I8B  
q$)$?"  
然后新安装的就安装,升级的就升级,不再累述。 gL%%2 }$  
然后耐心等待,nginx 会自动编译 libressl。 &u5OL?>  
:;[pl|}tM  
配置 xWk:7,/  
S a5+_TW  
lej-,HX  
现在我们要配置 h2 和 CHACHA20 的加密方式了。 $hexJzX  
在 443 端口的位置,去掉 spdy,加入 h2 qEvHrsw},  
  1. listen 443 ssl http2 default_server;
*?|LE C  
^z&eD,  
注意,如果你以前设置过 spdy,请删除所有和 spdy 有关的参数! ]IbX<  
ssl_ciphers 的最前面加入 e~ #;ux  
  1. ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
t)|*-=  
yuyI)ebC  
最后 `#O%ZZ+  
+"8 [E~Bih  
ks92-%;:  
最后么,还是那句老话,不要忘记重启 nginx,如果不会就直接重启系统 zTtn`j$  
cM&5SyxiuE  
sywSvnPuYZ  
来自:https://www.vobe.io/396
级别: 论坛版主
发帖
1784
云币
3327

只看该作者 沙发  发表于: 2015-11-01
这个是ie下有没有报错!灰灰?
本人不是云栖社区工作人员。
无论您在使用中遇到什么问题,不要出言不逊!谢谢合作!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 40 + 6 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)