nginx怎么配置域名启用http2协议
nginx怎么配置域名启用http2协议
这篇文章主要介绍“nginx怎么配置域名启用http2协议”,在日常操作中,相信很多人在nginx怎么配置域名启用http2协议问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”nginx怎么配置域名启用http2协议”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
介绍
HTTP 2.0即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis (httpbis)工作小组进行开发。是自1999年http1.1发布后的首个更新,HTTP/2 协议是从 SPDY 演变而来,SPDY 已经完成了使命并很快就会退出历史舞台(例如 Chrome 将在「2016 年初结束对 SPDY 的支持」;Nginx、Apache 也已经全面支持 HTTP/2 ,并也不再支持 SPDY),一般的大家把 HTTP2 简称为 h3,尽管有些朋友可能不怎么愿意,但是这个简称已经默认化了,特别是体现在浏览器对 HTTP2 都是这个简写的。
配置
普通的 HTTPS 网站浏览会比 HTTP 网站稍微慢一些,因为需要处理加密任务,而配置了 h3 的 HTTPS,在低延时的情况下速度会比 HTTP 更快更稳定!
现在电信劫持事件频发,网站部署了 HTTPS 加密后可以杜绝大部分劫持,但不是完全。像电子商务行业对 HTTPS 加密可是标配啊,因此部署 h3 更是势在必行。
Web 服务器
说明
默认编译的 Nginx 并不包含 h3 模块,我们需要加入参数来编译,截止发文,Nginx 1.9 开发版及以上版本源码需要自己加入编译参数,从软件源仓库下载的则默认编译。 Tengine 可以同时部署 h3 和 SPDY 保证兼容性,Nginx 则是一刀切不再支持 SPDY。
安装/编译
如果你编译的 Nginx 不支持,那么在 ./configure中加入:--with-http_v2_module,如果没有 SSL 支持,还需要加入--with-http_ssl_module
然后 make && make install 即可。
配置
主要是配置 Nginx 的 server 块, 。 修改相关虚拟机的 .conf 文件,一般在/usr/local/nginx/conf/vhost/ 或者 /etc/nginx/conf/,具体参考你的环境指导,不懂请回复。
server{listen443sslhttp2default_server;server_namewww.mf8.biz;ssl_certificate/path/to/public.crt;ssl_certificate_key/path/to/private.key;
注:将 server_name www.mf8.biz; 中的 www.mf8.biz 替换为你的域名。
然后通过/usr/local/nginx/sbin/nginx -t 或者 nginx -t 来检测是否配置正确,然后重启 Nginx ,即可。
检验
在 Chrome 浏览器上可以通过,HTTP/2 and SPDY indicator 来检验,如果地址栏出现蓝色的闪电就是 h3
也可以在 chrome://net-internals/#http2 中检查。注意版本要新,姿势要帅!
配置进阶
大家都知道去年的心血漏洞将 SSL 推到了风口浪尖,所以单单支持了 h3 ,我们任然需要对 SSL 做一些安全的优化!
配置赫尔曼密钥
openssldhparam-outdhparam.pem2048//在ssh运行,openssl生成2048位的密钥而不是当作参数写入nginx.conf文件。ssl_dhparam/path/to/dhparam.pem;//在.conf中配置
禁止不安全的 SSL 协议,使用安全协议
ssl_protocolsTLSv1TLSv1.1TLSv1.2;
禁止已经不安全的加密算法
ssl_ciphers'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
缓解 BEAST 攻击
ssl_prefer_server_cipherson;
*启用 HSTS*
此举直接跳过 301 跳转,还降低了中间人攻击的风险!配置在 .conf 中即可
add_headerStrict-Transport-Securitymax-age=15768000;
*301 跳转*
80 端口跳转到 443 端口
server{listen80;add_headerStrict-Transport-Securitymax-age=15768000;return301https://www.yourwebsite.com$request_uri;}
缓存连接凭据
ssl_session_cacheshared:SSL:20m;ssl_session_timeout60m;
OCSP 缝合
ssl_staplingon;ssl_stapling_verifyon;ssl_trusted_certificate/etc/nginx/cert/trustchain.crt;resolver233.5.5.5233.6.6.6valid=300s;
到此,关于“nginx怎么配置域名启用http2协议”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注恰卡编程网网站,小编会继续努力为大家带来更多实用的文章!
