2

问题

当我击中时kevinsuttle.com,我得到

"No data received ERR_EMPTY_RESPONSE".

当我点击时https://kevinsuttle.com,我得到了网站。

幽灵 0.7.5
nginx 1.4 => 1.9.9
让我们加密 0.2.0

数字海洋:Ubuntu 14.04 Ghost 1-click droplet

Networking > Domains下,我同时拥有kevinsuttle.comwww.kevinsuttle.com作为A指向服务器 IP 地址 ( @) 的记录。

DNSsimple 记录 

| 类型 | 姓名 | TTL | 内容 |
|-------- |---------- |--------------- |---- -------------------- |
| 网址 | www.kevinsuttle.com | 3600 (1 小时) | http://kevinsuttle.com |

Ghost 的 config.js 中唯一修改的部分是我的域。 

url: 'http://kevinsuttle.com',

Nginx 1.9

nginx 1.9 默认不创建以下目录:
/etc/nginx/sites-available
/etc/nginx/sites-enabled

并且通常的defaultconf 不会在这两个目录中创建。

相反,有一个etc/nginx/conf.d/default.conf和重要的,etc/nginx/conf.d/nginx.conf。您会看到很多教程告诉您删除 default.conf,这似乎很好,但无论您做什么,都不要删除nginx.conf

此外,您应该将您的移动/创建ghost.conf/etc/nginx/conf.d/目录中。这就是解决我的一个问题的原因,因为在目录中etc/nginx/conf.d/nginx.conf查找的最后一行/conf.d/包含那里的所有文件:include /etc/nginx/conf.d/*.conf;

这是我的/etc/nginx/conf.d/ghost.conf文件: 

  server {
  root /usr/share/nginx/html;
  index index.html index.htm;

  listen 443 ssl http2;

  server_name kevinsuttle.com www.kevinsuttle.com;
    ssl_certificate /etc/letsencrypt/live/kevinsuttle.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/kevinsuttle.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

  location ~ /.well-known {
      allow all;
      root /var/www/;
  } 

  location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header HOST $http_host;
        proxy_set_header X-NginX-Proxy true;

        proxy_pass http://127.0.0.1:2368;
        proxy_redirect off;
        root /var/www/;
    }
      location /.well-known/ {
        root /var/www/;
    }
}

server {
    listen 80 ssl http2;
    server_name kevinsuttle.com;
    return 301 https://$host$request_uri;
}

现在,我一切正常,并尝试将 nginx 升级到 1.9+,以便通过 http/2 服务。DigitalOcean 的 1-click Ghost droplet 默认使用 nginx 1.4。

长话短说,我一直收到这个错误: 

dpkg: error processing archive /var/cache/apt/archives/nginx_1.9.9-1~trusty_amd64.deb (--unpack):

我找到的唯一解决方案是 

apt-get purge nginx nginx-common

然后我可以通过将以下行添加到我的/etc/apt/source.list文件来安装 nginx 1.9。

deb http://nginx.org/packages/mainline/ubuntu/ trusty nginx
deb-src http://nginx.org/packages/mainline/ubuntu/ trusty nginx

现在我简单地添加了listen 80 ssl http2;and listen 443 ssl http2;,并且 http/2 工作正常。但仅当https://明确输入 URL 时。

我发现了一些证据express表明不支持的事实http/2,但我不是 100% 的。

任何想法将不胜感激。

4

1 回答 1

6

我认为这不是 Ghost 的问题,也不是 DNS 的问题。

您可以排除 DNS,因为 www 和 not-www 都解析为配置的 IP。

➜  ~  dig kevinsuttle.com +short
162.243.4.120
➜  ~  dig www.kevinsuttle.com +short
162.243.4.120

DNS 协议在比 HTTP 更低的级别上工作,它不关心 HTTP 版本或您是否使用 HTTP 与 HTTPS。因此,我们可以排除 DNS 并转而检查更高级别的协议。

我也排除了 Ghost/Express 的问题,因为当我使用 HTTPS 时,我可以向您的博客发送 HTTP/2 请求。

➜  ~  curl --http2 -I https://kevinsuttle.com/
HTTP/2.0 200
server:nginx/1.9.9
date:Sun, 24 Jan 2016 19:34:30 GMT
content-type:text/html; charset=utf-8
content-length:13594
x-powered-by:Express
cache-control:public, max-age=0
etag:W/"351a-fflrj9kHHJyvRRSahEc8JQ"
vary:Accept-Encoding

只要我使用网站的 HTTP 版本,我也可以回退到 HTTP 1.1。

➜  ~  curl -I https://kevinsuttle.com/
HTTP/1.1 200 OK
Server: nginx/1.9.9
Date: Sun, 24 Jan 2016 19:35:36 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 13594
Connection: keep-alive
X-Powered-By: Express
Cache-Control: public, max-age=0
ETag: W/"351a-fflrj9kHHJyvRRSahEc8JQ"
Vary: Accept-Encoding

因此,问题在于 Nginx 配置。具体来说,问题在于 HTTP-only 块的 Nginx 配置。

我现在不能尝试,但我个人认为问题出在这一行:

listen 80 ssl http2;

它应该是

listen 80;

ssl指令用于强制监听套接字理解ssl。但是,在您的情况下,让套接字侦听 80 以使用 HTTPS 是没有意义的。此外,使用的套接字ssl必须声明关联的 SSL 配置(也就是至少一个有效的证书和密钥)。

通常,您用于ssl配置处理 HTTP 和 HTTPS 请求的单个服务器:

server {
    listen              80;
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ...
}

另请注意,如Nginx 文档中所述

因此,不鼓励在现代版本中使用 ssl 指令。

http2与非 https 套接字结合使用也可能导致麻烦。

引用这篇文章

虽然该规范并未强制任何人通过 TLS 实现 HTTP/2,但允许您通过明文 TCP 来实现,但 Firefox 和 Chrome 开发团队的代表都表达了他们仅在 TLS 上实现 HTTP/2 的意图。这意味着 HTTPS:// URL 是唯一可以为这些浏览器启用 HTTP/2 的 URL。

因此,假设有可能,通过 HTTP/2 为非 https 站点提供服务可能没有用。实际上,考虑到这张票中描述的问题似乎与您的问题相匹配,我怀疑它甚至可能从今天开始。

总而言之,简单地改变

server {
    listen 80 ssl http2;
    server_name kevinsuttle.com;
    return 301 https://$host$request_uri;
}


server {
    listen 80;
    server_name kevinsuttle.com;
    return 301 https://$host$request_uri;
}
于 2016-01-24T19:44:48.067 回答