我一直在尝试在我的 nginx 服务器上运行 http2,但有些事情让我感到困惑。我在这里和网络上搜索过,但没有找到我所寻找的内容,或者答案是使用过时的信息,当时它还没有“发布”。
我有使用 vhosts 的 nginx 服务器。它有 http_v2 模块
me@server:/etc/nginx$ sudo nginx -V | grep http2
nginx version: nginx/1.10.3
built with OpenSSL 1.1.0f 25 May 2017
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-2tpxfc/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-2tpxfc/nginx-1.10.3/debian/modules/nginx-auth-pam --add-dynamic-module=/build/nginx-2tpxfc/nginx-1.10.3/debian/modules/nginx-dav-ext-module --add-dynamic-module=/build/nginx-2tpxfc/nginx-1.10.3/debian/modules/nginx-echo --add-dynamic-module=/build/nginx-2tpxfc/nginx-1.10.3/debian/modules/nginx-upstream-fair --add-dynamic-module=/build/nginx-2tpxfc/nginx-1.10.3/debian/modules/ngx_http_substitutions_filter_module
(不确定如何在代码块中突出显示“--with-http_v2_module”)
我的一个虚拟主机具有有效的 SSL(使用 letsencrypt)。
server {
listen 80;
server_name example.com;
return 301 http://www.example.com$request_uri;
}
server {
server_name www.example.com;
access_log /log/example.com/access.log;
error_log /log/example.com/error.log;
root /www/www.example.com/public;
client_max_body_size 100M;
index index.php;
location / {
# my location config there ...
}
listen 80; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
ssl_session_cache shared:le_nginx_SSL:1m; # managed by Certbot
ssl_session_timeout 1440m; # managed by Certbot
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # managed by Certbot
ssl_prefer_server_ciphers on; # managed by Certbot
ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES256-SHA256 EDH-RSA-DES-CBC3-SHA"; # managed by Certbot
ssl_dhparam /etc/ssl/certs/dhparam.pem;
}
我希望为其启用 http2。
我见过的每个文档都说我只需要在“ssl”后添加“http2”:,listen 443 ssl;如果我这样做,nginx 就会顺利地重新启动并且不会出现任何错误。
我想试试它是否能正常工作,但在 chrome 网络控制台中找不到该协议。所以我找到了https://tools.keycdn.com/http2-test,并表示此举有效。
我的问题是:
1-如果连接是通过 http2 建立的,我如何在 chrome 中查看(如果可能,如果不可能,则通过其他方式查看)?
2-在 ssl 之后,我是否仍然只需要添加“http2”指令即可在我的 vhost 中启用它?所以我不需要将它添加到我的非 ssl / 监听端口 80 行,因为这种情况将在请求期间在浏览器和服务器之间自动处理,对吗?
我没有任何错误或任何东西,我只是想知道如何检查它是否在可以使用 http2 时使用 http2,并且一切正常......
谢谢。
答案1
您有几个地方不太对。服务器块不能同时监听端口 80 和 443。您也没有任何地方告诉服务器使用 http/2。您还在第一个块中将端口 80 重定向到端口 80。
这是我的开始:
server {
listen 80;
server_name mine.com www.mine.com;
root /var/empty;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name mine.com www.mine.com;
root /home/mine;
index index.html;
charset utf-8;
请注意,第一个块重定向到 https,第二个块仅作为 http2 监听端口 443。
注意:您的评论将很多事情归功于 certbot,但 certbot 并不管理任何事情。它只是一个从 LetsEncrypt 获取证书的脚本,仅此而已。除此之外,它不会“管理”任何事情。
编辑:你怎么知道它正在工作?你应该在左侧的地址栏中看到一个绿色的锁。我一直在使用 Firefox,主要是因为我的 Chrome 安装有问题,我注意到我无法在 Chrome 开发工具中找到有关该协议的完整信息。在 Firefox 中,它位于网络下,并清楚地列为“http2”。
答案2
1-如果连接是通过 http2 建立的,我如何在 chrome 中查看(如果可能,如果不可能,则通过其他方式查看)?
在 Chrome 中,您可以在开发者工具的“网络”选项卡中执行此操作。但是,默认情况下不显示协议:您需要右键单击其中一个列名称并选择“协议”。
2-在 ssl 之后,我是否仍然只需要添加“http2”指令即可在我的 vhost 中启用它?所以我不需要将它添加到我的非 ssl / 监听端口 80 行,因为这种情况将在请求期间在浏览器和服务器之间自动处理,对吗?
你是对的,你只需要在 ssl 行后添加“http2”指令,因为非安全请求会使用 HTTP/2 重定向到安全请求。