Comment mettre à niveau nginx pour prendre en charge HTTP2.0

1. Préface

# ssl写在443端口后面。这样http和https的链接都可以用
    listen 443 ssl http2 default_server;
    server_name chat.chengxinsong.cn;
    
  # hsts的合理使用，max-age表明hsts在浏览器中的缓存时间，includesubdomainscam参数指定应该在所有子域上启用hsts，preload参数表示预加载，通过strict-transport-security: max-age=0将缓存设置为0可以撤销hsts
  add_header strict-transport-security "max-age=63072000; includesubdomains; preload";
    
  ssl_certificate   /usr/local/nginx/cert/2540136_chat.chengxinsong.cn.pem;
    ssl_certificate_key /usr/local/nginx/cert/2540136_chat.chengxinsong.cn.key;
    
  # 分配20mb的共享内存缓存，不同工作进程共享tls会话信息
  # ssl_session_cache shared:ssl:20m;
    
  # 设置会话缓存过期时间1h
  ssl_session_timeout 60m;
    
  # tls协议的合理配置
  # 指定tls协议的版本，不安全的ssl2和ssl3要废弃掉
  ssl_protocols tlsv1 tlsv1.1 tlsv1.2;
    
  # 启用ssl_prefer_server_ciphers，用来告诉nginx在tls握手时启用服务器算法优先，由服务器选择适配算法而不是客户端
  ssl_prefer_server_ciphers on;
    
  # 优先选择支持前向加密的算法，且按照性能的优先顺序排列
  ssl_ciphers ecdhe-rsa-aes128-gcm-sha256:ecdhe:ecdh:aes:high:!null:!anull:!md5:!adh:!rc4;
    
  # 会话恢复的合理使用
  # 配置会话票证，减少了tls握手的开销
  ssl_session_tickets on;

Ensuite, exécutez la vérification de la configuration nginx. nginx -t

signifie que http2.0 ne dispose pas de ngx_http_v2_module. nginx n'a pas le module http_ssl_module. Apportez simplement la configuration --with-http_ssl_module lors de la compilation et de l'installation.

2. Recherchez les informations pour trouver la raison

La raison ci-dessus est que nginx a remplacé ngx_http_spdy_module par le module http_v2_module depuis la 1.9.5 et a officiellement commencé à prendre en charge le protocole http2.

Mais mon nginx est 1.12.2. Cela ne devrait pas poser de problème avec la version ngin

Remarques :

1 Et la version de la bibliothèque openssl doit être compilée à une version 1.0.2 ou supérieure. 1. Pour activer la prise en charge du protocole http/2, vous devez compiler nginx 1.10 ou supérieur et la bibliothèque openssl version 1.0.2 ou supérieure.

2.http2.0 ne prend en charge que les sites Web sur lesquels https est activé.

Il s'agit peut-être de la version de la bibliothèque openssl du serveur, qui s'avère être 1.0.2.

Vous devez donc encore passer à un point supérieur.

3. Mise à niveau d'openssl

Dans le protocole http2.0, cela implique la prise en charge d'alpn (négociation de protocole de couche d'application, négociation de protocole de couche d'application). Actuellement, la bibliothèque openssl intégrée dans tous les systèmes de serveur Unix grand public est). version inférieure à 1.0.2. En utilisant l'outil de ligne de commande d'openssl, vous pouvez vérifier si le service http2 actuel prend en charge alpn.

Trouvez un répertoire d'installation

1. Téléchargez la dernière version de la bibliothèque openssl, compilez et installez

wget https://www.openssl.org/source/openssl-1.1.0f.tar.gz
tar xzf openssl-1.1.0f.tar.gz
cd openssl-1.1.0f
./config --prefix=/usr/local/openssl
make && make install

2 Remplacez l'ancienne version de la bibliothèque

mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
#链接新库文件
ln -s /usr/local/openssl/lib/libssl.so /usr/local/lib64/libssl.so
ln -s /usr/local/openssl/lib/libcrypto.so /usr/local/lib64/libcrypto.so
#检查更新后的openssl依赖库是否是1.1.0f
strings /usr/local/lib64/libssl.so | grep openssl
#显示结果表明已升级到最新版本链接库
openssl 1.1.0f 25 may 2017

#配置openssl库文件的搜索路径
echo '/usr/local/openssl/lib' >> /etc/ld.so.conf
#使修改后的搜索路径生效
ldconfig -v
#查看openssl版本，结果显示升级成功
openssl version
openssl 1.1.0f 25 may 2017

4. inclure le module h2. Nous devons ajouter des paramètres pour compiler. Au moment de la publication, le code source de la version de développement nginx 1.9 et supérieure doit ajouter des paramètres de compilation par nous-mêmes. Ceux téléchargés depuis l'entrepôt des sources du logiciel seront compilés par défaut. . nginx ne prend plus en charge spdy.

Si le nginx que vous avez compilé ne le prend pas en charge, ajoutez : --with-http_v2_module dans ./configure S'il n'y a pas de support SSL, vous devez également ajouter --with-http_ssl_module

1. package de code et vérifiez s'il est dans la configuration Prise en charge http2

À ce stade, vous devez trouver cette configuration dans le dossier du code source lors du téléchargement. Remarque : Pas le dossier après compilation.

Dans la configuration "./configure", "--with" signifie activer les modules, ce qui signifie que ces modules ne seront pas automatiquement construits lors de la compilation. "--without" signifie désactiver les modules, ce qui signifie. signifie que ces modules ne seront pas automatiquement construits lors de la compilation. Si vous souhaitez que nginx s'exécute en mode léger, vous pouvez supprimer certains modules inutiles.

Execute ./configure --help

D'après la figure ci-dessus, nous savons que nginx ne construira pas automatiquement http_ssl_module et http_v2_module lors de la compilation. Nginx doit donc être recompilé.

2. Ajouter une compilation de paramètres

Nos nouvelles informations de configuration doivent être écrites comme ceci :

./configure --prefix=/usr/local/nginx --with-http_v2_module --with-http_ssl_module --with-openssl=/home/soft/openssl-1.1.0f

Le chemin /usr/local/nginx ci-dessus est le chemin de notre package après la compilation.

Ensuite, ajoutez : --with-http_v2_module dans ./configure S'il n'y a pas de support SSL, vous devez également ajouter --with-http_ssl_module, plus le openssl qui vient d'être mis à jour vers 1.1.0, vous devez donc ajouter -- avec-openssl =/home/soft/openssl-1.1.0f.

Exécutez simplement la commande ci-dessus. Une fois la configuration terminée

Une fois la configuration terminée, exécutez la commande

make

N'effectuez pas make install ici, sinon ce sera une installation par écrasement

3.

(1) Ensuite, sauvegardez l'original. Nginx

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_07_22.bak

est déjà installé.(2) Fermez nginx, puis écrasez le nginx d'origine avec le nginx qui vient d'être compilé

Fermez nginx

./nginx -s quit

Déplacez le nginx compilé vers le nginx d'origine

cp ./objs/nginx /usr/local/nginx/sbin/

(3 ) Démarrez nginx

./nginx

Attendez 1 minute, puis vous pourrez voir l'effet de http2.0.

5. Vérifiez si le site Web est http2.0

Cliquez avec le bouton droit sur le nom et vérifiez le protocole, afin que vous puissiez voir le protocole http.

Adresse du site Web de la capture d'écran ci-dessus :

Comparez le site http1.1

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!