在 nginx 上启用 HTTP2

【问题标题】:Enable HTTP2 on nginx在 nginx 上启用 HTTP2
【发布时间】:2017-11-03 15:11:33
【问题描述】:

我想为我的 nginx 服务器添加 HTTP2 支持。我认为所有版本都很好,带有 http_v2_module

nginx version: nginx/1.11.8
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.3) 
built with OpenSSL 1.0.1f 6 Jan 2014
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed'

我已经编辑了我的虚拟主机并添加了 http2(listen 443 ssl http2;),重新启动 nginx,但没有结果。

我的虚拟主机配置:

server {
  listen 80;
  listen [::]:80 ipv6only=on;
  server_name my-domaine.net;
  return 301 https://my-domaine.net$request_uri;
}

server {
  listen 80;
  server_name www.my-domaine.net;
  return 301 https://my-domaine.net$request_uri;
}

server {
  listen 80;
  server_name xx.xxx.xxx.xxx;
  return 301 https://my-domaine.net$request_uri;
}

server {

  listen 443 ssl http2;

  server_name my-domaine.net;

  access_log            /var/log/nginx/app.dev.access.log;
  error_log             /var/log/nginx/app.dev.error.log;

  ssl_certificate xxx;
  ssl_certificate_key xxx;

  ssl_session_timeout 1h;
  ssl_session_cache shared:SSL:16m;
  ssl_stapling on;
  ssl_stapling_verify on;
  resolver 8.8.4.4 8.8.8.8 valid=300s;
  resolver_timeout 10s;

  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA
-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE
-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:!RC
4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
  ssl_prefer_server_ciphers on;

  ssl on;

  # Eviter de se faire piller son site (merci dsfc.net)
  add_header X-Robots-Tag "index,follow,noarchive";
  # HSTS permet de déclarer au client directement dans la réponse HTTP qu'il faut communiquer en HTTPS
  # Cette en-tête permet d'éviter le vol de cookies et le downgrade SSL
  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
  # Evite que le contenu soit interprété différemment que définit dans le mime Type
  add_header X-Content-Type-Options nosniff;
  # Protection contre le clickjacking
  add_header X-Frame-Options "SAMEORIGIN";
  # Protection contre les failles X-XSS
  add_header X-XSS-Protection "1; mode=block";
  # Faille spécifique à IE8
  add_header X-Download-Options noopen;
  # Interdire l'embarquement de tout ou partie de votre site dans un site ou logiciel tiers
  add_header X-Permitted-Cross-Domain-Policies none;

  location / {
    #try_files $uri @prerender;
    proxy_pass http://localhost:3000;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header X-Forwarded-For $remote_addr;
  }

  location ~ ^/(images|fonts)/.*.(png|jpg|svg|jpeg|ttf|otf|woff|woff2|eot)$ {
    root /opt/app/current/bundle/programs/web.browser/app;
    access_log off;
    expires max;
  }

  location ~ \.(css|html|ttf|otf|woff|woff2|eot)$ {
    root /opt/app/current/bundle/programs/web.browser;
    access_log off;
    expires max;
  }
}

如果我在 this site 上测试 http2 支持,我看到 http2 已启用。但在我的浏览器网络上,所有请求都是 http1 :/

有人知道吗?

谢谢!

【问题讨论】:

    标签: http nginx http2


    【解决方案1】:

    您需要使用用 openssl 1.0.2 或更高版本编译的 Nginx 才能在 Chrome 上运行 HTTP/2,因为它现在需要更新的 ALPN 协商 HTTP/2 方法,而 1.0.1 仅支持旧的 NPN 方法。

    有关更多信息,请参阅此页面:https://www.nginx.com/blog/supporting-http2-google-chrome-users/

    一旦你解决了这个问题,还有另外几个陷阱可以抓住你:why Chrome browser doesn't recognize my http2 server?

    【讨论】:

    • 在我的情况下是防病毒软件
    【解决方案2】:

    你错过了ip6,尝试添加它。请确保在 ip4 和 ip6 上都启用 http2 (如果你的服务器支持 ip6)

    听 [::]:80 http2 ipv6only=on;

    【讨论】:

      猜你喜欢
      • 2017-07-03
      • 2019-08-11
      • 2020-09-08
      • 1970-01-01
      • 2019-05-24
      • 2019-03-24
      • 2016-11-13
      • 2017-01-20
      • 2018-09-06
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode