2022年，你网站还不支持HTTP2吗？

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

文章目录

• • @[TOC](文章目录) var code = "465a3680-ed7b-41fc-87f5-48ab7e0a584b"
  • SSL/HTTP2 简介
  • 实操配置
  • 参考
  • 总结

var code = “465a3680-ed7b-41fc-87f5-48ab7e0a584b”

欢迎关注公众号：逻魔代码

大人，都 2022 年了，你的网站还不支持 HTTP2 吗？

什么？你甚至还没有开启 SSL/TLS 模式？!

SSL/HTTP2 简介

SSL(Secure Sockets Layer, 安全套接字层)，是用于建立计算机之间授权与加密连接的一种协议。事实上，SSL 协议已经在 1999 年 TLS(Transport Layer Security，传输层安全) 1.0 版本发布时已经被废弃了，但通常仍以 SSL 或者 SSL/TLS 指代这类技术。本文中，SSL 特指对于 HTTPS 的支持。

SSL/TLS 协议本身是很复杂的，我们这里不去细究其原理，感兴趣的可以去找一下相关资料学习。

HTTPS(SSL/TLS) 支持，需要为域名配置安全证书，通常这类证书对于个人而言都是比较昂贵的，好在开源社区早有实现方案。任何拥有域名的人，都可以使用 Let’s Encrypt 免费获取受信的证书。本文选用的是基于 letsencrypt 的另一个开源实现 acme.sh!

HTTP2 是区别于 HTTP1.1 的网络请求协议，它通过多路复用等机制，大幅度提高 HTTP 协议的性能，关于其协议详情，可以查看 RFC 7540 文档

实操配置

通过 yum 或者 rpm 安装 nginx，假定其配置目录在 /etc/nginx

查看 nginx 配置根本目录:

使用 tree 命令查看 /etc/nginx 的文件结构

.
├── conf.d
│   └── default.conf
├── default.d
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── nginx.conf.rpmnew
├── scgi_params
├── scgi_params.default
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

创建 ssl 目录

在 nginx 配置根目录下，创建 ssl 目录

$ mkdir /etc/nginx/ssl

创建 SSL/TSL 通用配置

在上一步的 ssl 目录中，创建 SSL/TLS 通用配置 ssl.conf
内容如下：

# Optimize ssl session
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
 
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam ssl/dhparam.pem;
 
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
ssl_prefer_server_ciphers on;
 
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
 
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate ssl/trusted_primary.pem;
 
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
# add_header Strict-Transport-Security max-age=15768000;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# HPKP
# add_header Public-Key-Pins 'pin-sha256="trusted_primary_base64_key"; pin-sha256="trusted_backup_base64_key"; max-age=2592000; includeSubDomains' always;
# CSP
# add_header Content-Security-Policy "upgrade-insecure-requests; default-src 'none'; script-src 'self' data: 'unsafe-inline' 'unsafe-eval' https:; object-src 'self' https:; style-src 'self' data: 'unsafe-inline' https:; img-src 'self' data: https:; media-src 'self' data: https; frame-src 'self' https:; font-src 'self' data: https:; connect-src 'self' https:" always;
# 告诉 IE8 使用最新的浏览器渲染
add_header X-UA-Compatible "IE=Edge" always;
# 控制 Referrer 信息显示，同源完整显示，跨域仅显示 host 部分
add_header Referrer-Policy "origin-when-cross-origin" always;
# 网页只在同源情况允许被 iframe 嵌套
add_header X-Frame-Options "SAMEORIGIN" always;
# 让浏览器对 Content-Type 不要瞎猜测
add_header X-Content-Type-Options "nosniff" always;
# 开启浏览器 XSS 过滤，一旦发现自动 block 掉
add_header X-XSS-Protection "1; mode=block" always;
 
resolver 223.5.5.5 114.114.114.114 8.8.8.8 valid=60s;
resolver_timeout 5s;

创建中间证书和受信密钥

在 ssl 目录中，创建 certs.sh 脚本。
内容如下：

#!/bin/bash
 
###### DH Params
# 使用openssh dhparam 生成 DH Params
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem
 
 
##### HPKP
# 下载 Let's Encrypt 中间证书
wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt -O trusted_primary.pem
wget https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt -O trusted_backup.pem
 
# 验证证书是否有效
openssl x509 -in trusted_primary.pem -noout -subject
openssl x509 -in trusted_backup.pem -noout -subject
 
# 生成 trusted_primary 公钥
openssl x509 -in trusted_primary.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key
openssl dgst -sha256 -binary public.key | openssl enc -base64
 
# 生成 trusted_backup 公钥
openssl x509 -in trusted_backup.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key
openssl dgst -sha256 -binary public.key | openssl enc -base64
 

执行 /etc/nginx/ssl/certs.sh 生成中间证书和受信密钥：

dhparam.pem
public.key
trusted_backup.pem
trusted_primary.pem

注意这一步执行比较消耗性能，会略微有点慢。

最终，在 /etc/nginx/ssl 目录中，包含三个 PEM 文件和一个 key 文件，此外还有 ssl.conf 和 certs.sh，总共六个文件。

生成 SSL/TSL 证书

通过 acme.sh 为自己的域名颁发证书。
假定你已经安装了 acme.sh 证书颁发工具，在任意地方执行颁发证书命令：

acme.sh --issue -d example.com -d *.example.com --dns dns_ali

第一个为 example.com 主域名，生成的证书会以这个主域名在 .acme.sh 目录中创建子目录，存放证书文件。

注意我这里是是阿里云域名，已经预先在.bashrc 中导出了阿里云域名相关的 key 配置

## 用于acme.sh根据DNS颁发通配符证书
export Ali_Key="LTAI*****vgZC"
export Ali_Secret="tmCh*****R3j5q"

默认情况下，acme.sh 会安装在用户目录下的 .acme.sh 中，生成的域名也在此目录下

配置站点

在 /etc/nginx/conf.d 下面创建一个站点配置文件 example.com.conf

server {
    listen 80;
    # listen [::]:80;
    listen 443 ssl http2;
    # listen [::]:443 ssl http2;
    server_name example.com www.example.com;
 
        # force https-redirects
    if ( $scheme = http ){
        return 301 https://$server_name$request_uri;
    }
 
    # SSL 证书配置
    ssl_certificate      /root/.acme.sh/example.com/fullchain.cer;
    ssl_certificate_key  /root/.acme.sh/example.com/example.com.key;
 
    # SSL 通用配置
    include  ssl/ssl.conf;
 
    error_page  404              /404.html;
 
    client_max_body_size 20m;
 
    # 反向代理
    location /api {
        # Use IPv4 upstream address instead of DNS name to avoid attempts by nginx to use IPv6 DNS lookup
        proxy_pass http://127.0.0.1:8080/api;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
 
    # 静态资源
    location / {
        root  /opt/www/example.com/;
        index  index.html index.htm;
    }
}

查看目录结构

再次用 tree 命令查看 /etc/nginx 目录结构

.
├── conf.d
│   ├── default.conf
│   └── example.com.conf
├── default.d
├── fastcgi.conf
├── fastcgi.conf.default
├── fastcgi_params
├── fastcgi_params.default
├── koi-utf
├── koi-win
├── mime.types
├── mime.types.default
├── nginx.conf
├── nginx.conf.default
├── nginx.conf.rpmnew
├── scgi_params
├── scgi_params.default
├── ssl
│   ├── certs.sh
│   ├── dhparam.pem
│   ├── public.key
│   ├── ssl.conf
│   ├── trusted_backup.pem
│   └── trusted_primary.pem
├── uwsgi_params
├── uwsgi_params.default
└── win-utf

重新加载 nginx 配置或者重启服务，打开 Chrome 浏览器访问 https://example.com ，看到站点已经带上了健康锁，大功告成！

参考

Let’s Encrypt

acme.sh

SSL/TLS 安全评估报告

SSL Server Test

Mozilla SSL Configuration Generator

---

总结

本文旨在记录如何为自己的服务器开启 HTTP2 + SSL/TSL 的优雅方式，只需按部就班的照做配置即可，希望对大家有用~！

欢迎关注公众号：逻魔代码