【nginx系列】nginx升級到支持HTTP2.0

時間 2019-11-08

標籤 nginx系列 nginx 升級支持 http2.0 http 欄目 Nginx 简体版

原文原文鏈接

1、前言

最近想折騰一下服務器，升級到http2.0。nginx

而後nginx照着官網配置了一下算法

# ssl寫在443端口後面。這樣http和https的連接均可以用
        listen 443 ssl http2 default_server;
        server_name chat.chengxinsong.cn;
        
    # HSTS的合理使用，max-age代表HSTS在瀏覽器中的緩存時間，includeSubdomainscam參數指定應該在全部子域上啓用HSTS，preload參數表示預加載，經過Strict-Transport-Security: max-age=0將緩存設置爲0能夠撤銷HSTS
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        
    ssl_certificate      /usr/local/nginx/cert/2540136_chat.chengxinsong.cn.pem;
        ssl_certificate_key  /usr/local/nginx/cert/2540136_chat.chengxinsong.cn.key;
        
    # 分配20MB的共享內存緩存，不一樣工做進程共享TLS會話信息
    # ssl_session_cache shared:SSL:20m;
        
    # 設置會話緩存過時時間1h
    ssl_session_timeout 60m;
        
    # TLS協議的合理配置
    # 指定TLS協議的版本，不安全的SSL2和SSL3要廢棄掉
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        
    # 啓用ssl_prefer_server_ciphers，用來告訴Nginx在TLS握手時啓用服務器算法優先，由服務器選擇適配算法而不是客戶端
    ssl_prefer_server_ciphers on;
        
    # 優先選擇支持前向加密的算法，且按照性能的優先順序排列
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        
    # 會話恢復的合理使用
    # 配置會話票證，減小了TLS握手的開銷
    ssl_session_tickets on;

而後執行檢查nginx配置。nginx -t瀏覽器

意思就是說，http2.0缺乏ngx_http_v2_module。nginx缺乏http_ssl_module模塊，編譯安裝的時候帶上--with-http_ssl_module配置就好了。緩存

2、查資料找緣由

出現上面緣由是nginx從1.9.5開始，已經用 http_v2_module 模塊替換了 ngx_http_spdy_module ，並正式開始支持http2協議。安全

可是個人nginx是1.12.2。應該不是ngin版本問題服務器

注意事項：session

一、而且須要openssl庫的版本在1.0.2以上編譯。1.要開啓HTTP/2協議支持，須要在nginx 1.10以上版本而且須要openssl庫的版本在1.0.2以上編譯。dom

2.http2.0只支持開啓了https的網站。工具

多是服務器的openssl庫的版本，發現是1.0.2。
![https://www.mwcxs.top/static/...]()性能

因此仍是要升級到更高點。

3、升級OpenSSL

在http2.0協議中，涉及到ALPN(Application Layer Protocol Negotiation，應用層協議協商)的支持，目前全部主流的Unix服務器系統中內置的OpenSSL庫都低於1.0.2版本。經過使用OpenSSL的命令行工具，能夠檢查當前的http2服務是否支持ALPN。

找一個安裝目錄

一、下載最新版的OpenSSL庫編譯安裝

wget https://www.openssl.org/source/openssl-1.1.0f.tar.gz
tar xzf openssl-1.1.0f.tar.gz
cd openssl-1.1.0f
./config --prefix=/usr/local/openssl
make && make install

2.替換舊版本庫

mv /usr/bin/openssl  /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
#連接新庫文件
ln -s /usr/local/openssl/lib/libssl.so /usr/local/lib64/libssl.so
ln -s /usr/local/openssl/lib/libcrypto.so /usr/local/lib64/libcrypto.so
#檢查更新後的openssl依賴庫是不是1.1.0f
strings /usr/local/lib64/libssl.so | grep OpenSSL
#顯示結果代表已升級到最新版本連接庫
OpenSSL 1.1.0f  25 May 2017

#配置openssl庫文件的搜索路徑
echo '/usr/local/openssl/lib' >> /etc/ld.so.conf
#使修改後的搜索路徑生效
ldconfig -v
#查看openssl版本，結果顯示升級成功
openssl version
OpenSSL 1.1.0f  25 May 2017

4、nginx開啓ssl模塊

默認編譯的 Nginx 並不包含 h2 模塊，咱們須要加入參數來編譯，截止發文，Nginx 1.9 開發版及以上版本源碼須要本身加入編譯參數，從軟件源倉庫下載的則默認編譯。 Nginx 是再也不支持 SPDY。

若是你編譯的 Nginx 不支持，那麼在 ./configure 中加入：--with-http_v2_module ，若是沒有 SSL 支持，還須要加入 --with-http_ssl_module

一、找到源碼包，查看configure中是否支持http2

這時候須要去下載的時候的源碼文件夾中找到這個configure。注意：不是編譯以後的文件夾。

在"./configure"配置中，"--with"表示啓用模塊，也就是說這些模塊在編譯時不會自動構建"--without"表示禁用模塊，也就是說這些模塊在編譯時會自動構建，若你想Nginx輕量級運行，能夠去除一些沒必要要的模塊。

執行./configure --help

從上圖知道了nginx在編譯時不會自動構建http_ssl_module和http_v2_module。因此須要從新編譯nginx。

二、加入參數編譯

咱們的新配置信息就應該這樣寫：

./configure --prefix=/usr/local/nginx --with-http_v2_module --with-http_ssl_module --with-openssl=/home/soft/openssl-1.1.0f

上面的/usr/local/nginx這個路徑是咱們編譯以後的包路徑。

那麼在 ./configure 中加入：--with-http_v2_module ，若是沒有 SSL 支持，還須要加入 --with-http_ssl_module，加上剛纔更新的openssl到1.1.0，因此須要加上--with-openssl=/home/soft/openssl-1.1.0f。

運行上面的命令便可，等配置完

配置完成後，運行命令

make

這裏不要進行make install，不然就是覆蓋安裝

三、備份和替換

（1）而後備份原有已安裝好的nginx

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_07_22.bak

（2）關閉nginx，而後將剛剛編譯好的nginx覆蓋掉原有的nginx

關閉nginx

./nginx -s quit

移動編譯好的nginx到原有的nginx

cp ./objs/nginx /usr/local/nginx/sbin/

（3）啓動nginx

./nginx
稍等1分鐘做用，而後就能夠看到http2.0的效果。

5、查看網站是不是http2.0

右鍵name，勾選protocol，這樣就能夠看到http協議。

上圖截圖網站地址：https://chat.chengxinsong.cn

對比一下http1.1的網站

上圖截圖網站地址：https://www.mwcxs.top

相關標籤/搜索

openresty+nginx+lua+nginx

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。