或许是 Nginx 上配置 HTTP2 最实在的教程了

导读	从 2015 年 5 月 14 日 HTTP/2 协议正式版的发布到如今已经快有一年了，愈来愈多的网站部署了 HTTP2，HTTP2 的普遍应用带来了更好的浏览体验，只要是 Modern 浏览器都支持，因此部署 HTTP2 并不会带来太多困扰。

虽然 h2 有 h2c （HTTP/2 Cleartext） 能够经过非加密通道传输，可是支持的浏览器初期仍是比较少的，因此目前部署 h2 仍是须要走加密的，不过因为 Let’s Encrypt 大力推行免费证书和证书的廉价化，部署 h2 的成本并不高。

介绍

HTTP 2.0即超文本传输协议 2.0，是下一代HTTP协议。是由互联网工程任务组（IETF）的Hypertext Transfer Protocol Bis (httpbis)工做小组进行开发。是自1999年http1.1发布后的首个更新，HTTP/2 协议是从 SPDY 演变而来，SPDY 已经完成了使命并很快就会退出历史舞台（例如 Chrome 将在「2016 年初结束对 SPDY 的支持」；Nginx、Apache 也已经全面支持 HTTP/2 ，并也再也不支持 SPDY），通常的你们把 HTTP2 简称为 h2，尽管有些朋友可能不怎么愿意，可是这个简称已经默认化了，特别是体如今浏览器对 HTTP2 都是这个简写的。

配置

普通的 HTTPS 网站浏览会比 HTTP 网站稍微慢一些，由于须要处理加密任务，而配置了 h2 的 HTTPS，在低延时的状况下速度会比 HTTP 更快更稳定！

如今电信劫持事件频发，网站部署了 HTTPS 加密后能够杜绝大部分劫持，但不是彻底。像电子商务行业对 HTTPS 加密但是标配啊，所以部署 h2 更是势在必行。

Web 服务器

说明

默认编译的 Nginx 并不包含 h2 模块，咱们须要加入参数来编译，截止发文，Nginx 1.9 开发版及以上版本源码须要本身加入编译参数，从软件源仓库下载的则默认编译。 Tengine 能够同时部署 h2 和 SPDY 保证兼容性，Nginx 则是一刀切再也不支持 SPDY。

安装/编译

若是你编译的 Nginx 不支持，那么在

 ./configure

中加入：

--with-http_v2_module

，若是没有 SSL 支持，还须要加入

 --with-http_ssl_module

而后 make && make install 便可。

配置

主要是配置 Nginx 的 server 块， 。
修改相关虚拟机的

.conf

文件，通常在

 /usr/local/nginx/conf/vhost/

或者

/etc/nginx/conf/

，具体参考你的环境指导，不懂请回复。

server {
listen 443 ssl http2 default_server;
server_name www.mf8.biz;

ssl_certificate /path/to/public.crt;
ssl_certificate_key /path/to/private.key;

注：将 server_name www.mf8.biz; 中的 www.mf8.biz 替换为你的域名。

而后经过

 /usr/local/nginx/sbin/nginx -t

或者

nginx -t

来检测是否配置正确，而后重启 Nginx ，便可。

检验

在 Chrome 浏览器上能够经过，HTTP/2 and SPDY indicator 来检验，若是地址栏出现蓝色的闪电就是 h2

也能够在 chrome://net-internals/#http2 中检查。注意版本要新，姿式要帅！

配置进阶

你们都知道去年的心血漏洞将 SSL 推到了风口浪尖，因此单单支持了 h2 ，咱们任然须要对 SSL 作一些安全的优化！

配置赫尔曼密钥

openssl dhparam -out dhparam.pem 2048 // 在 ssh 运行， openssl 生成 2048 位的密钥而不是看成参数写入 nginx.conf 文件。

ssl_dhparam /path/to/dhparam.pem; //在 .conf 中配置

禁止不安全的 SSL 协议，使用安全协议

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

禁止已经不安全的加密算法

ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';

缓解 BEAST 攻击

ssl_prefer_server_ciphers on;

**启用 HSTS**

此举直接跳过 301 跳转，还下降了中间人攻击的风险！配置在 .conf 中便可

add_header Strict-Transport-Security max-age=15768000;

**301 跳转**

80 端口跳转到 443 端口

server {
 listen 80;
 add_header Strict-Transport-Security max-age=15768000;
 return 301 https://www.yourwebsite.com$request_uri;
}

缓存链接凭据

ssl_session_cache shared:SSL:20m;
ssl_session_timeout 60m;

OCSP 缝合

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 233.5.5.5 233.6.6.6 valid=300s;

免费提供最新Linux技术教程书籍，为开源技术爱好者努力作得更多更好：http://www.linuxprobe.com/