最近给张戈博客全站开启了 https,所以对这块关注比较多。昨天脑补的时候发现 http2.0 只支持 SSL 加密的网站,即 https。于是心血来潮,给张戈博客开启了 http 2.0,尝尝鲜。
查了下资料,发现 Nginx 不久前发布的 1.9.5 版本支持 http2.0,而 1.8.x 时代只是对 SPDY 进行了支持。一直用的 1.62 稳定版,此次为了测试 http2.0,直接进行了版本跳跃,升级到了 1.9.5 版本,下面简单的分享下部署分解。
Ps:特别说明的是,http2.0 只支持开启了 https 的网站,所以没开启 https 的网站就只能看看了!
一、编译 Nginx
编译 Nginx 是我博客老生常谈的问题,之前都不想赘述的内容,这次还是耐着性子说一下在已有 Nginx 的服务器上重新编译一个 Nginx 的做法。
①、下载 Nginx 最新版
目前 Nginx 最新版是今年 11 月份发布的 1.9.7 版本,反正 1.9+是没有稳定版,所以干脆弄个最新版:
cd /usr/local/src wget http://nginx.org/download/nginx-1.9.7.tar.gz
话说 1.9+版本还支持 TCP 负载均衡呢,感兴趣的可以看下张戈博客之前的分享:
②、编译 Nginx
在已有环境下编译 Nginx,一般做法是先取得目前运行的 Nginx 的运行参数,然后在这个参数的基础上加上本次编译想新增的参数即可。所以,我们先执行 nginx -V 查看它的编译参数是什么:
[root@MyAlyServer src]# /usr/local/nginx/sbin/nginx -V Tengine version: Tengine/2.1.0 (nginx/1.6.2) built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (GCC) TLS SNI support enabled configure arguments: --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_gzip_static_module --add-module=../ngx_cache_purge-2.3
可以看到张戈博客目前用的是 1.6.2 版本,当然也是淘宝定制过的 Tengine。
如果你发现参数里面也存在 --add-module=../xxx 这种使用相对路径的参数,就得注意了。你重新编译的时候得保证新的 Nginx 编译文件夹的相对路径存在对应的模块,否则请重新指定一个正确的路径,比如上面代码中出现的 ngx_cache_purge-2.3,否则会提示找不到路径啦!
既然知道了老的 Nginx 的编译参数,那么直接按照下面操作,解压、编译、平滑升级搞定 Nginx1.9x:
#解压 tar zxvf nginx-1.9.7.tar.gz #进入源码目录 cd nginx-1.9.7 #编译,在已有 Nginx 编译参数前面加上 ./configure ,并在最后加一个激活 http 2.0 模块的参数 ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_gzip_static_module --add-module=../ngx_cache_purge-2.3 --with-http_v2_module #编译完成,如果没有报错(可以运行一下 echo $? 查看输出是不是 0 ),直接 make,这里会需要几分钟左右。 make #平滑升级,先移走现有的 nginx 二进制文件 mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old #然后复制新生成的 Nginx 二进制文件到 sbin 目录 cp objs/nginx /usr/local/nginx/sbin #最后执行升级命令 make upgrade #若有报错可以尝试使用如下命令重启下 Nginx,当然如果是配置错误那就得另外检查了 killall -9 nginx && /usr/local/nginx/sbin/nginx
二、配置 http2.0
配置 Nginx 开启 http 2.0 特别简单,只要在 Nginx 配置文件中找到你要开启 http2.0 的域名 server 模块,然后将 listen 443 ssl;改成 listen 443 ssl http2; 即可。
比如,张戈博客之前的 Server 模块配置如下:
server
{
listen 443 ssl;
ssl_certificate /usr/local/nginx/ssl/zhang.ge.crt;
ssl_certificate_key /usr/local/nginx/ssl/zhang.ge.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM;
ssl_prefer_server_ciphers on;
server_name zhang.ge;
#以下内容略
直接改成:
server
{
listen 443 ssl http2; #加一个 http2 即可
ssl_certificate /usr/local/nginx/ssl/zhang.ge.crt;
ssl_certificate_key /usr/local/nginx/ssl/zhang.ge.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;//SSL 协议版本需新增 TLSv1.1 TLSv1.2 否则 http2.0 访问无法打开!
ssl_ciphers HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM;
ssl_prefer_server_ciphers on;
server_name zhang.ge;
Tips:开启 http2.0 后,谷歌浏览器无法访问,显示如下信息?
无法显示此网页
ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
网址为 https://zhang.ge/ 的网页可能暂时无法连接,或者它已永久性地移动到了新网址。
吐下苦水,张戈博客配置好 http2.0 之后,得知谷歌浏览器支持 http2.0,于是访问看了下,居然提示以上错误!关掉 http2 之后,又正常了!!搜遍了都没找到为什么!最终,鬼使神差的把 SSL 额外配置全部屏蔽,只剩下指定证书和 key 部分,发现居然好了?
后来发现 Nginx 官方给出的 SSL 中都用到了 TLSv1.2,而我的配置还停留在 TLSV1!
保存配置文件之后,重启或重载 Nginx 即可生效:/usr/local/nginx/sbin/nginx -s reload
三、测试 http2.0
配是配好了,到底有没有生效呢?还需要测试下才行。
①、在线测试[乌龙了]
直接访问 https://spdycheck.org/#你的域名 即可测试是否成功开启 http2.0:
比如访问:https://spdycheck.org/#zhang.ge,可以看到如下信息:
发现居然是 SPDY 有木有?想了半天为什么,才想起来我用了腾讯云的 CDN,这个 SPDY 肯定是腾讯云 CDN 为了优化 https 启用的!跟上文的操作没有半毛钱关系!所以,目前张戈博客虽然开启了 http2.0,但是走了 CDN 之后,就只有 SPDY 了,本次权当测试。。。
于是,试着搜了下 http2 check,没想到还真有!不过可惜功能不可用,测任何网站都是失败:
②、浏览器测试
看来要得到确切的结果,还得借助谷歌、火狐等浏览器了。
打开谷歌浏览器,先访问一下你的网站,比如访问下张戈博客
然后,在谷歌浏览器地址栏输入 chrome://net-internals/#http2 并回车,列表里面即为已支持 http2.0 的域名:
没错,开启成功!
进一步看一下 Nginx 日志,可以很明显的发现刚刚的访问是走的 http2.0 协议:
四、简单总结
上文仅仅是简单配置,http2.0 其实还有其他几个优化参数,感兴趣的朋友可以前往 Nginx 官方文档查看:http://nginx.org/en/docs/http/ngx_http_v2_module.html
http2.0 是下一代 http 协议,现在还没普及,而且大部分浏览器都不支持使用 http2.0 访问。只有少数浏览器,比如谷歌、火狐,貌似 IE10 也在蠢蠢欲动,具体行不行有待测试。所以,测试这个功能也只是抱着尝鲜和学习的目的。
对 http2.0 感兴趣,并希望了解 http2.0 优点特性的朋友,可以看下开源中国对 http2.0 的详细介绍。当然,网上还有很多对 HTTP1.0、SPDY 及 HTTP2.0 详细测试对比的技术文章,都可以很明显看出 http2.0 绝对是以后互联网的主流趋势!
开启 http2.0 的前提是你的网站已经支持了 https,所以开启 https 是第一步!
以下是相关文章:
不长不短,又是一篇折腾分享,希望你能用得上~
等百度分享支持https再弄。。。
那不是一天,二天的事情,还是把百度分享放在本地调用吧。
VPS真是折腾人啊 :evil:
不是VPS折腾人,而是博主废话一大堆,看得好累.
博客文章大部分并非技术教程,觉得啰嗦的话去看WIKI就好。
过来看看
就是不知道2.0有啥用处呢,搜了一下看看只对加密网址有用处?
第一次来博主的博客,看着不错
过了今晚博主的博客就2周岁了,过几天打算也用鸟哥的主题建个站点,祝博主越做越好 :mrgreen:
http/2不知道提速效果如何,但是http/2只在自己的服务器配置下有效,而又不能直接暴露IP,只能使用CDN隐藏IP了,又回到spdy了。
实际使用上,用CDN加速的效果比直接解析主机开http/2好。。只能自己用着爽下了。
你现在这个天津的ip是腾讯的CDN吗
基本还是在用iis搭建,技术这块还是小白
感觉不像是TLSv1.2影响的,我测试的时候,把TLSv1.2删除了,但是还是不行,后来删除了,后面几行SLL才打开的,纠结
还真是代码问题,从网页编辑器贴过去之后带上了html标签了:
第7行应该是:
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
文章已修正,注意代码中这种标签都是不需要的。。
自从网站更换php后,爽就一个字
我的博客 刚刚也升级到了HTTP/2 域名www.wujunze.com
博主为啥不用https了啊?
话说我查阅nginx配置文件的时候,发现“gzip_http_version 1.1”,那启用HTTP2.0的话,是不是要把“1.1”改成“2”,还是说不影响不需要改?!
求解惑 :oops: