Apache/Apache+HTTP2+PHP-FPM+TLS1.3: Unterschied zwischen den Versionen

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen
Zeile 154: Zeile 154:
...
...
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* ALPN, server accepted to use h2

Version vom 11. November 2020, 16:11 Uhr

Diese Seite beschreibt, wie man Apache so einrichtet, dass es HTTP/2 beherrscht. Dabei wird gleich auch TLS 1.3 und für PHP-Anwendungen PHP-FPM eingerichtet. Die Beispiele sind unter openSUSE entstanden.

Info zu HTTP/2

PHP-FPM

PHP-FPM wird benötigt, da Apache für HTTP/2 nicht im Prefork-Modus laufen kann, sondern ein anderes Multi-Processing-Modul wie "event" verwendet werden muss (siehe unten). Das Standard-PHP-Modul für Apache funktioniert jedoch nicht mehr mit "event", so dass für PHP-Anwendungen eine andere Lösung implementiert werden muss. PHP-FPM läuft als eigenständiger Dienst und kann sowohl per TCP als auch per Unix Socket angesprochen werden.

Info

Konfiguration

Datei /etc/php7/fpm/php-fpm.conf: Default-Datei kann verwendet werden.

Datei /etc/php7/fpm/php-fpm.d/www.conf (Erste Variante für TCP, zweite für Unix Socket - geht aber nicht parallel):

user = wwwrun
group = www
listen = 127.0.0.1:9000
listen = /run/php-fpm/php-fpm.sock
listen.owner = wwwrun
listen.group = www
listen.mode = 0660

Datei /etc/php7/fpm/php.ini:

  • Hier sollte manuell eine Kopie der für Apache gültigen Ini-Datei abgelegt werden.
cp -p /etc/php7/apache2/php.ini /etc/php7/fpm/
  • Achtung: Ohne diese Datei fehlen viele Konfigurationseinstellungen!!

Dienst einrichten und starten

systemctl enable php-fpm
systemctl start php-fpm

Prüfen

  • Prozesse laufen als wwwrun:
ps -ef|grep php-fpm
wwwrun    7295 22565  1 07:43 ?        00:00:08 php-fpm: pool www
wwwrun    9294 22565  2 07:51 ?        00:00:00 php-fpm: pool www
wwwrun    9406 22565  1 07:51 ?        00:00:00 php-fpm: pool www
root     22565     1  0 Nov10 ?        00:00:05 php-fpm: master process (/etc/php7/fpm/php-fpm.conf)
  • Datei für Unix Socket (Rechte):
ls -la /run/php-fpm/php-fpm.sock
srw-rw---- 1 wwwrun www 0 10. Nov 15:47 /run/php-fpm/php-fpm.sock
  • Für TCP:
netstat -an|grep 9000
  • Prüfen per phpinfo():
Configuration File (php.ini) Path 	/etc/php7/fpm
Loaded Configuration File 	/etc/php7/fpm/php.ini
Scan this dir for additional .ini files 	/etc/php7/conf.d 

Fallstricke

AppArmor

  • Unter openSUSE läuft AppArmor. Die Default-Konfiguration /etc/apparmor.d/php-fpm schränkt PHP-FPM aber zu sehr ein. Es gibt im Browser einen Fehler "Access denied" bei PHP-Anwendungen.
  • AppArmor zum Testen temporär deaktivieren:
aa-teardown
aa-status
  • Lösung: AppArmor Profile deaktivieren:
aa-disable php-fpm

Apache

Info

MPM

Als MPM kann für HTTP/2 nicht "prefork" verwendet werden, sondern am besten "event".

MPM aktivieren in Datei /etc/sysconfig/apache2:

APACHE_MPM="event"

PHP Modul

Das Standard-Modul "php7" kann nicht mehr verwendet werden, stattdessen wird "proxy_fcgi" verwendet.

Modul installieren:

zypper in apache2-mod_fcgid

Modul aktivieren in Datei /etc/sysconfig/apache2 ("php7" entfernen):

APACHE_SERVER_FLAGS="... proxy proxy_http proxy_fcgi"

Modul konfigurieren in Datei /etc/apache2/conf.d/mod_fcgid.conf (oder an anderer Stelle):

<IfModule proxy_fcgi_module>

DirectoryIndex index.php
<FilesMatch "\.ph(p[345]?|tml)$">
    #SetHandler "proxy:fcgi://127.0.0.1:9000"
    SetHandler "proxy:unix:/run/php-fpm/php-fpm.sock|fcgi://localhost/"
</FilesMatch>
<FilesMatch "\.php[345]?s$">
    SetHandler application/x-httpd-php-source
</FilesMatch>

</IfModule>
Achtung: mod_fcgid.conf unter openSUSE war fehlerhaft!

Apache neu starten:

systemctl restart apache2

Prüfen ob Module und Konfig-Dateien geladen wurden

apachectl -t -D DUMP_MODULES
apachectl -t -D DUMP_INCLUDES

HTTP/2

HTTP/2 grundsätzlich aktivieren in Datei /etc/sysconfig/apache2:

APACHE_SERVER_FLAGS="... HTTP2"

HTTP/2 Modul aktivieren in Datei /etc/sysconfig/apache2:

APACHE_SERVER_FLAGS="... proxy proxy_http proxy_fcgi http2"

HTTP/2 Protokoll aktivieren in Datei /etc/apache2/protocols.conf:

 <IfDefine HTTP2>
  <IfModule mod_http2.c>
    Protocols h2 h2c http/1.1
  </IfModule>
 </IfDefine>
Achtung: Die Datei protocols.conf muss durch httpd.conf geladen werden.

Apache neu starten:

systemctl restart apache2

Prüfen ob Module und Konfig-Dateien geladen wurden

apachectl -t -D DUMP_MODULES
apachectl -t -D DUMP_INCLUDES

TLS 1.3

TLS 1.3 kann pro Virtual HOst konfiguriert werden:


Endprüfung

HTTP/2 und TLS prüfen:

curl -s -v --http2 https://www.kruedewagen.de/

Ausgabe sollte enthalten:

* ALPN, offering h2
* ALPN, offering http/1.1
...
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
...
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x5559c77602a0)
...