生命之中的最大错误在于:终日担心犯错误。— 爱尔伯特·哈伯德 (Elbert Hubbard 1856-1915),《笔记》
本来定义好letsencrypt每个月更新的,结果发现并没有完成更新。
手动更新,发现是网络故障,无法更新软件,导致证书无法正常更新。

引用
  File "/opt/eff.org/certbot/venv/lib/python2.7/site-packages/pip/_vendor/requests/packages/urllib3/response.py", line 246, in _error_catcher
    raise ReadTimeoutError(self._pool, None, 'Read timed out.')
ReadTimeoutError: HTTPSConnectionPool(host='pypi.python.org', port=443): Read timed out.


这只能翻了,有socks5的访问可以用,但命令行只有http代理,所以需要转换一下:

yum install privoxy

安装好后,增加配置
vi /etc/privoxy/config

增加两行:
listen-address  10.0.0.3:8118
forward-socks5   /               127.0.0.1:7070 .


service privoxy restart

然后要记得开启socks5服务
命令行单独使用,可以在访问网络前,执行这个

http_proxy=10.0.0.3:8118
https_proxy=10.0.0.3:8118
export http_proxy https_proxy


正常了
引用
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。


对于个人网站或者要求一般的网站都适合用Let's Encrypt的免费证书,安装简单。

主要步骤:
1 安装环境
2 申请证书
3 配置nginx
4 定期更新证书

1 安装环境

yum -y install git python
cd /Data/apps/
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto —-help


正常来说,运行最后一个没有出错就算没有问题啦

2 申请证书

首先你需要在你的网站根目录生成一个检查授权的目录,然后命令行直接申请证书
mkdir -p /Data/webapps/www.aslibra.com/.well-known/acme-challenge


配置nginx可以通过80端口访问到
server
{
    listen       80;
    server_name  www.aslibra.com aslibra.com test.aslibra.com;
    location /.well-known {
        root   /Data/webapps/www.aslibra.com/;
    }
    location / {
        rewrite ^/(.*)$ https://www.aslibra.com/$1 redirect;
    }
}


申请证书:
/Data/apps/letsencrypt/letsencrypt-auto certonly \
--webroot --email youremail@gmail.com \
-w /Data/webapps/www.aslibra.com \
-d www.aslibra.com \
-d aslibra.com \
-d test.aslibra.com

email是用来通知你证书过期的提醒
-d是同一个网站的各个域名,可以一起申请

申请成功会有提示:
引用
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/www.aslibra.com/fullchain.pem. Your cert
   will expire on 2017-09-16. To obtain a new or tweaked version of
   this certificate in the future, simply run letsencrypt-auto again.
   To non-interactively renew *all* of your certificates, run
   "letsencrypt-auto renew"
- If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le


3 配置nginx

server
{
    listen 443;
    ssl on;

    ssl_certificate /etc/letsencrypt/live/www.aslibra.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.aslibra.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/www.aslibra.com/chain.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 60m;

    server_name  www.aslibra.com aslibra.com test.aslibra.com;

#...


4 定期更新证书

创建一个脚本:
/Data/scripts/letsencrypt-renew.sh

#!/bin/bash
/Data/apps/letsencrypt/letsencrypt-auto renew
/Data/apps/nginx/sbin/nginx -s reload


定时任务加上:
0 23 28 * * root /Data/scripts/letsencrypt-renew.sh >>/Data/logs/letsencrypt.log


每个月28号运行一次,因为证书有效期是2个月,所以一个月更新一次即可
折腾过一两天,结果最后还是使用一键安装的方案解决的:

https://github.com/quericy...

因为ios10不支持之前的vpn了,所以需要用新的协议
安装过程不多说,按照步骤处理即可,主要说一些注意的事项:

1 ca.cert.pem证书需要导入才能使用

Mac电脑可以下载后点击安装,自己生成的是不可信的
安装后,在密钥管理里找到 VPN CA,双击查看,选择信任,始终信任

iPhone需要放服务器下载用safari打开或者通过邮件
打开文件后会提示安装,确认即可,安装此证书后,建立vpn才正常

2 iphone新建vpn即可,填写相关数据,文章介绍的苹果配置文件的方式貌似怎么样都不行

多谢互联网的精彩分享
1 安装git

yum -y install git

2 建立git用户

useradd -s /usr/bin/git-shell git

3 创建证书登录,方便提交版本

cd /home/git/
mkdir .ssh
vi .ssh/authorized_keys
# 把本地用户的公钥加进来
chown git:git -R .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys

4 创建仓库

mkdir test.git
cd test.git/
git --bare init

chown git:git -R test.git

5 本地下载并提交

aquan:git hqlulu$ git clone git@server.domain:/path/to/test.git
Cloning into 'test'...
warning: You appear to have cloned an empty repository.
Checking connectivity... done.
aquan:git hqlulu$ cd test/
aquan:test hqlulu$ vi a.txt
aquan:test hqlulu$ git add a.txt
aquan:test hqlulu$ git commit -m test
[master (root-commit) 14d99af] test
1 file changed, 1 insertion(+)
create mode 100644 a.txt
aquan:test hqlulu$ git push
No refs in common and none specified; doing nothing.
Perhaps you should specify a branch such as 'master'.
fatal: The remote end hung up unexpectedly
error: failed to push some refs to 'git@server.domain:/path/to/test.git'
aquan:test hqlulu$ git push origin master
Counting objects: 3, done.
Writing objects: 100% (3/3), 198 bytes | 0 bytes/s, done.
Total 3 (delta 0), reused 0 (delta 0)
To server.domain:/path/to/test.git
* [new branch]      master -> master


6 备份本地库到远程并且添加远程库同步

#复制本地库镜像,比如这个Xcode项目刚开始只是本地git库
git clone --mirror ~/Xcode/ABC/
Cloning into bare repository 'ABC.git'...
done.

#同步文件到服务器,也可以是别的方式
rsync -av ABC.git server.domain::DIR/

#回到本地项目,添加远程库
git remote add origin git@server.domain:/path/to/ABC.git

Tags: ,
监控本地http请求其实就是把流量都导向一个代理服务器即可,代理服务器加上日志记录,就可以了。
如果有两个服务器,那其实操作很简单,就是简单的导向代理,本机的话,略微麻烦些。

1 安装squid

安装squid很简单,比如
yum -y install squid


简单配置一下即可,本机使用的话,可以运行在本机,修改一条记录
http_port 127.0.0.1:3128 transparent


仅本机,可以把权限问题放开,deny all 改成 allow all
http_access allow all


service squid start 启动squid

2 运行iptables脚本
nat表里,把80请求导向squid的3128端口即可,但会有个死循环
squid代理,也是80请求,所以,我们简单的把squid的请求过滤即可


//清空规则
iptables -t nat -F
//也可以设置一些白名单,比如某些目标ip
iptables -t nat -A OUTPUT -p tcp --dport 80 --dst 123.57.1.1 -j ACCEPT
//squid用户发出的请求过滤掉
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner squid -j ACCEPT
//把其他80端口请求导向代理
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3128


3 查看结果

tail -f /var/log/squid/access.log
1471921782.672    252 1.2.3.4 TCP_MISS/301 467 HEAD http://g.cn/ - DIRECT/203.208.39.210 text/html
1471922623.099  41199 1.2.3.4 TCP_MISS/000 0 GET http://g.cn/ - DIRECT/g.cn -
1471922632.107   5052 1.2.3.4 TCP_MISS/000 0 HEAD http://g.cn/ - DIRECT/g.cn -
1471922634.520     63 1.2.3.4 TCP_MISS/301 332 HEAD http://z.cn/ - DIRECT/54.222.60.252 text/html

分页: 1/361 第一页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]

阅读推荐

服务器相关推荐

开发相关推荐

应用软件推荐