NPN 대신 ALPN을 사용하기 위해 openssl 1.0.2의 데비안 jessie nginx

내 서버에서 debian jessie를 실행 중이고 최근에 http / 2 지원 (nginx 1.10)을 사용하여 새로운 nginx 웹 서버로 업그레이드했습니다. 오늘날처럼 잘 작동하고 웹 서버는 http2 프로토콜로 콘텐츠를 제공하고 있습니다.

나는, 읽고 크롬 NPN 지원을 떨어지고 만 2016년 5월 15일 후 ALPN 수 있습니다. ALPN은 확장이며, openssl 1.0.2가 설치되어 있어야하지만 데비안에서는 jessie는 openssl 1.0.1 만 있습니다 (데비안 백 포트 및 다른 저장소에도이 데비안 용 openssl 1.0.2 버전이 없습니다).

그리고 문제가 있습니다-SPDY에서 http2로 업그레이드했으며 며칠 안에 http2를 꺼야 하며이 버전의 nignx에는 http2 만 있기 때문에 SPDY를 사용할 수 없습니다. 또한이 버전의 데비안은 openssl 1.0.1을 고수하고 데비안 스트레치 만 openssl 1.0.2를 갖게됩니다. 그러나 날짜를 발표하기 위해 거의 연도가 있으며 크롬은 곧 지원을 중단 할 것이므로 http2 프로토콜의 이점을 잃고 싶지 않습니다.

자체 빌드 (나쁜 유지 관리)를 구축하거나 백 포트 리포지토리에 대기하지 않고이 시스템에 openssl 1.0.2를 설치하는 방법이 있습니까? 또한 하나의 시스템에 두 개의 버전의 openssl이 수동으로 연결되고 유지 관리되어야하는 경우에는 원하지 않습니다.

도움을 주셔서 감사합니다.

2016/08/08 업데이트 : nginx in jessie-backports(버전 1.9.10-1~bpo8+3은에 대해 빌드되었습니다 openssl >= 1.0.2~. ALPN실행 jessie하기 위해 패키지를 필요로하는 경우 지금 작업 jessie-backports하려면 더 이상 패키지를 꺼내지 않아도 stretch됩니다.

-

원래 답변 : 글쎄, 여기에 내 의견에 따르면, 의견에 따르면 : 내 의견으로는 오늘 2016/05/09 현재 이것을 해결하는 방법은 많지 않습니다. 기본적으로 당신은 어떻게 든 현대 nginx에 당신의 시스템에 들어가서에 대해 컴파일 하려고 시도했습니다 >= openssl 1.0.2~.

현재 내가 볼 수있는 유일한 두 가지 옵션 : 당신이하고 싶지 않은, 스스로 이해할 수 있거나 컴파일 할 수 있거나 현대적인 패키지를 Debian stretch시스템으로 가져 오는 것입니다 . 다른 하나 안정적인 환경을 혼합하고 있기 때문에, 약간의 위험을 수반하지만, 내 의견으로는 이러한 위험은 매우 낮은 때문에 사용중인 Debian.

자, 이것을 시도해 봅시다 :

• 에 Debian stretch저장소를 추가 하십시오 apt sources. 이것을 사용하지 말고 /etc/apt/sources.list대신 전용 파일을 사용하여 파일 /etc/apt/sources.list.d/을 깨끗하게 유지하십시오 stretch.list. 개인적으로 사용하고 있습니다.

  이 줄을 안에 넣으십시오.

  deb http://httpredir.debian.org/debian/ stretch main contrib non-free
  deb-src http://httpredir.debian.org/debian/ stretch main contrib non-free
  
  deb http://security.debian.org/ stretch/updates main contrib non-free
  deb-src http://security.debian.org/ stretch/updates main contrib non-free
  
  # stretch-updates, previously known as 'volatile'
  deb http://httpredir.debian.org/debian/ stretch-updates main contrib non-free
  deb-src http://httpredir.debian.org/debian/ stretch-updates main contrib non-free
  

• 설정 쉽다 고정을 당신이 단지에서 패키지로 끌어 만들 수 Debian stretch있는 당신이있는 거 지정합니다. 이것에 사용할 파일은 /etc/apt/preferences안에 있습니다.

  Package: *
  Pin: release n=jessie
  Pin-Priority: 900
  
  Package: * 
  Pin: release a=jessie-backports
  Pin-Priority: 500
  
  Package: *
  Pin: release n=stretch
  Pin-Priority: 100
  

  환경에 맞게 제품군 및 우선 순위를 변경해야 할 수도 있습니다.

• /를 apt-get update통해 실행 하여 패키지 캐시를 업데이트하십시오.sudoroot

• 설치 nginx에서 Debian stretch: apt-get install -t stretch nginx(통해이 작업을 수행 sudo으로 / root). 이익!

• 필자의 의견에서 설명했듯이 관련 위험을 낮추려면 chroot 또는 LXC 와 같은 컨테이너 솔루션을 사용할 수 있습니다 . 경우에 당신은 가고 싶어 chroot,이 작업을 수행하려면보고있다 : 당신은 내부가 네트워크 인터페이스를 설정해야합니다, 방법을 예를 들어이 블로그 게시물에 대한 소개를 제공 network namespaces.

• 도움이 되었기를 바랍니다; 더 궁금한 점이 있으면 언제든지 문의 해주세요. 의견을 보내 주시면 감사하겠습니다.

또 다른 방법은 jessie-backports에서 OpenSSL 1.0.2를 설치하고 nginx의 자체 저장소 에서 Ubuntu 16.04 LTS 빌드를 사용하는 것 입니다. 그렇게하면 적어도 Jessie 용으로 작성된 OpenSSL 패키지를 사용하고 있습니다.

추가 /etc/apt/sources.list:

# jessie-backports, from stretch-level but with no dependencies
deb http://httpredir.debian.org/debian/ jessie-backports main contrib non-free
deb-src http://httpredir.debian.org/debian/ jessie-backports main contrib non-free

# Nginx repository - use Ubuntu 16.04 LTS Xenial to get packages compiled with OpenSSL 1.0.2
deb http://nginx.org/packages/mainline/ubuntu/ xenial nginx
deb-src http://nginx.org/packages/mainline/ubuntu/ xenial nginx

그런 다음 다음을 실행하십시오.

apt-get update
apt-get install -t jessie-backports openssl
apt-get install nginx

이것은 분명히 당신을 공식적으로 지원되지 않는 구성으로 만들지 만 패키지를 전혀 갖지 않는 것보다 낫습니다. 그리고 그것은 나를 위해 일했습니다. 또한 nginx의 저장소를 사용하면 새로운 업데이트를받을 수 있습니다.

또 다른 방법은 jessie-backports를 사용하고 쉽게 nginx를 다시 빌드하는 것입니다

/etc/apt/sources.list 백 포트에 추가

deb http://ftp.debian.org/debian jessie-backports main

그런 다음 루트로 실행

apt-get update
apt-get install -t jessie-backports openssl

그런 다음 nginx를 다시 빌드하십시오. https://wiki.debian.org/BuildingAPackage의 지침을 따르십시오.

나를 위해 가장 쉬운 방법은 다른 Nginx Docker 이미지를 사용하는 것 입니다 .Docker Hub 의 공식 Nginx 빌드를 참조하십시오 . 기본 Docker Nginx 빌드는 Debian Jessie를 사용하여 문제를 해결하지는 않지만 Alpine Linux 기반의 대체 빌드도 제공합니다 . 최신 빌드는 OpenSSL 1.0.2를 사용합니다!

따라서이 솔루션은 Docker 를 설치 했으며 Alpine Linux대신 Nginx를 실행하는 것이 좋습니다 Debian Jessie.

Nginx 컨테이너를 시작하려면 :

sudo docker run --name nginx-container -p 80:80 -p 443:443 -v /path/to/your/nginx/directory/:/etc/nginx/ /path/to/your/files/to/serve/:/usr/share/nginx/html/ -d nginx:1.11-alpine

Docker를 시작하는 간단한 설명 :

• docker run: Docker 이미지 (이 경우 nginx:1.11-alpine)가 없으면 이 이미지를 다운로드 하고이 이미지를 기반으로 Docker 컨테이너를 시작합니다.
• --name nginx-container: Docker 컨테이너에 이름을 지정합니다 ( 중지 된 컨테이너를 사용 sudo docker ps하거나 sudo docker ps -a중지 하는 데 사용 하는 모든 Docker 컨테이너를 볼 수 있음)
• -p 80:80 -p 443:443: 호스트 시스템의 포트 80 및 443을 Docker 컨테이너의 포트 80 및 443에 각각 바인딩합니다.
• -v /path/to/your/nginx/directory/:/etc/nginx/: Nginx 구성을 포함하는 호스트 시스템의 /etc/nginx/디렉토리를 Docker 컨테이너 의 디렉토리에 마운트합니다.
• /path/to/your/files/to/serve/:/usr/share/nginx/html/: Nginx가 제공 할 파일을 포함하는 디렉토리를 호스트 시스템에 마운트합니다.
• -d: 백그라운드에서 컨테이너를 시작합니다 (을 사용하여 컨테이너를 중지 할 수 있음 docker stop nginx-container)
• nginx:1.11-alpine:이 이미지를 사용하여 컨테이너를 시작하십시오 ( 공식 Nginx Docker 이미지는 여기에 나열되어 있습니다 )

또한 유용합니다 :

• 호스트 시스템에서 구성 파일을 변경 한 후 sudo docker exec nginx-container <command>컨테이너에서 명령을 실행하는 데 사용 ( 예 : sudo docker exec nginx-container nginx -s reloadNginx를 다시로드)
• 또는 sudo docker exec -it nginx-container bash컨테이너에 bash 쉘을 입력하여 직접 작업 할 수 있습니다 (권장하지 않지만 때로는 유용합니다)

다른 방법은 대신 BoringSSL을 사용하는 것인데, OpenSSL 환경을 해치지 않습니다. https://www.admon.org/hardwares/enable-http2-support-for-nginx-on-debian-jessie 를 참조 하십시오.

내 상황에서는 Dotdeb apt 저장소를 사용했습니다. 이 웹 사이트 의 지침은 “완전한”HTTP2 지원으로 Nginx를 설치할 수있는 저장소를 추가하는 옵션을 제공합니다. 현재 버전은 1.14이며 마지막 릴리스보다 약간 미미하므로 너무 뒤지지 않습니다 (현재 백 포트는 1.10입니다).