[更新]しらSSL 免费AlphaSSL野卡(通配符、泛域名证书)Wildcard SSL申请

  1. 更新

更新内容(更改每天免费名额为12个)

Beta0.5.2更新说明
1.line机器人一上线,详细见下面qr码
2.修复cli调用问题
3.完成无缝升级
4.修复几处bug

更新福利
12个名额目前补满,今晚23:59还会重置

目前状态
每日免费名额12个,line获取py码名额20个
每个line账户只可获取1个
名额于Asia/Tokyo的23:59执行

提示
下一版本加入PY码有效期限,预计定为24小时,PY码生成24小时内使用,24小时之后失效!

历史问题
2017-11-21 21:43 解决不能正常获取执行状态的错误(500),页面未关闭时将会自动继续
2017-11-21 20:37 解决不选邮箱无法进入下一步的问题(第一行加入选择提示)
2017-10-13 13:17 修了下邮箱灰化问题,顺便增加了10个名额(仅限今日)
2017-10-14 06:41:有人反馈额度没更新,后发现cron路径写错,现在已更新。
2017-10-15 00:45 发现cron又莫名其妙的爆炸了,现在又手动更新了下.
2017-10-18 07:57 早上拉屎的时候发现cron每日执行+上次执行判断时间导致每2日才会重置一次免费名额,现已修正,今日名额已手动重置.
2017-10-18 15:04 由于升级时未更新入口文件,导致cli程序不能确定项目目录无**常运行签发程序,现在此问题已经解决.

  1. 泛域名证书

什么是通配符、泛域名证书?
即:Wildcard SSL Certificates
简单点说就是这个SSL证书包含这个域名domain.com以及所有二级子域名*.domain.com
更多关于ssl证书的信息,还请自行了解,这里不多赘述!

  1. 信息来源

信息来自hostloc论坛大佬 @dream7758521
http://www.hostloc.com/thread-400833-1-1.html
大佬博客:https://blog.ni-co.moe

  1. 申请限制
    目前只有每日签发的32个!!!(请看更新、说明)

刷新时间为GTM+9:00 每天23:59
大佬提示:
诸位请轻撸,如果我发现多次签同一域名的话会想办法吊销这域名的全部ssl
博主友情提示:如果你确实需要,签发一个两个就可以了!

  1. 申请准备

a.首先你需要一个域名(这都是废话...)
b.如果域名有whois保护,请先提前关闭(否则无法向你的whois邮箱发送申请验证邮件)
c.提前生成 SSL证书请求CSR文件和SSL证书密钥KEY文件
注意:这里建议whois邮箱是国外邮箱,博主之前也在其他途径申请过(最早提供的地方,已经关闭https://assl.loovit.com),后面发现国内邮箱很多都无法接收到验证邮件,至于为什么?撸太多?大家自己想想吧!

  1. CSR文件和密钥KEY生成

证书请求CSR文件和SSL证书密钥KEY文件,一般在linux系统下通过命令生成,这里推荐一个方便的在线生成工具:
https://csr.chinassl.net/generator-csr.html
第一步:填写基本信息
参考图一
20171013215340.jpg

点击生成,建议勾选发送到邮箱,避免SSL证书密钥KEY文件丢失,这里可以用国内邮箱!
得到图二
20171013215745.jpg

  1. 申请地址

大佬提供的项目地址:https://ssl.ni-co.moe
申请具体地址:
https://ssl.ni-co.moe/ssl/create/free.html

  1. 开始申请

打开申请地址,参考截图填写!CSR一栏,填写前面生成的CSR信息即可!填写好后,点击获取whois邮箱,选择正确的邮箱后,点击提交签发!(可能会有一个需要 勾选人机验证,且可能需要特别方法才能完成验证,具体自行体验!!!)
20171013214507.jpg
签发后,去whois邮箱,查收验证邮件!一般几分钟可以收到!
20171013225957.jpg
打开邮箱中的验证邮件,点击验证的链接。点击I APPROVE我同意。等待几分钟就会收到证书邮件了。
证书会发送到你在申请地址https://ssl.ni-co.moe/ssl/index/create.html这里填写的邮箱!
证书内容在邮件的最后,开始部分为-----BEGIN CERTIFICATE-----
结尾部分为-----END CERTIFICATE-----
完整的证书文件内容必须包含这两部分!!!

  1. SSL证书链补全

证书安装后,某些手机浏览器访问可能提示有风险,则需要补全证书链!如下:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
注意:不同web环境可能安装方法不同
nginx下:将以上证书内容直接补充到你的域名签发的ssl证书内容后面即可
apache下:可以直接将以上内容新建文本文档,复制粘贴后另存为xxx.crt文件,并直接在站点配置文件中添加SSLCertificateChainFile 字段后引用xxx.crt文件路径即可!

  1. 写在后面

最后,所有资源都来自网络!虽然是免费的,大家更应该珍惜!不要变成蝗虫!!!!

Windows下查询whois小工具

  • 写在前面
    平常你查询whois是否都是通过各种网页查询?还得麻烦打开各种查询网站!用这个小工具就比较方便了,还可以查询比较冷门的域名后缀!
  • 工具下载
    微软页面:

http://technet.microsoft.com/en-us/Sysinternals/bb897435.aspx
https://docs.microsoft.com/zh-cn/sysinternals/downloads/whois
直接下载地址:https://download.sysinternals.com/files/WhoIs.zip

  • 安装方法

下载压缩包并解压,放到系统盘C:\Windows\System32目录下即可!
windows vista或者windows 7系统可能需要需要管理员权限!

  • 普通使用方法

打开cmd命令界面:直接输入whois+空格+域名(第一次运行命令可能会弹出条款同意界面,点击Agree同意即可)
例如:whois baidu.com
20171007082515.jpg

  • 进阶使用方法

Usage: whois -v domainname whois.server
此方法未测试,可自行探究

  • 小瑕疵

因为工具是微软出的,在查询的时候,如果注册商或者注册者名称为中文,则会显示乱码!

如果有什么特别的用法,欢迎评论提出!

...

Openssl 升级编译安装教程

  1. 前言

这次为大家带来的是linux下openssl的编译安装教程!nginx https等各种程序和环境都需要openssl的支持!
本次安装环境系统为:CentOS 6.9

  1. 安装准备

先更新系统,然后安装必要的依赖库文件等:
yum update
yum upgrade
yum install -y patch libtool gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel make unzip git wget

  1. 下载openssl安装包

这里我们下载官网最新的1.1.0f版本:
wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.0f.tar.gz
解压:
tar zxvf openssl-1.1.0f.tar.gz
并进入解压后的目录:
cd openssl-1.1.0f

  1. 执行编译安装命令

./config shared zlib --prefix=/usr/local/openssl && make && make install
其中--prefix=/usr/local/openssl 表示安装路径,安装时间可能比较长,请耐心等待滚屏结束!

  1. 移除旧版本的openssl,并创建新的软连接

mv /usr/bin/openssl /usr/bin/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
ln -sf /usr/local/openssl/lib/libcrypto.so.1.0.0 /lib/libcrypto.so.6

  1. 添加如下内容在/etc/ld.so.conf文件的最后面:

/usr/local/openssl/lib
命令:echo "/usr/local/openssl/lib" >>/etc/ld.so.conf

  1. 添加OPESSL的环境变量

添加以下内容到/etc/profile文件最后一行:
export OPENSSL=/usr/local/openssl/bin
export PATH=$OPENSSL:$PATH:$HOME/bin
命令:
echo "export OPENSSL=/usr/local/openssl/bin" >>/etc/profile
echo "export PATH=$OPENSSL:$PATH:$HOME/bin" >>/etc/profile

  1. 查看动态链接库

ldconfig -v

  1. 安装升级到此基本结束

查看安装是否成功
a.查看openssl所需的库文件是否连接正常:
ldd /usr/local/openssl/bin/openssl
以上命令会出现类似如下图信息:
20171002114726.jpg
如果提示没有提示错误,则表示正常
b.查看路径:
which openssl
c.查看版本:
openssl version
d.查看是否正常运行:
openssl
OpenSSL> version -a
如输出如下图内容,则表示正常运行了!
20171002115115.jpg

Nginx 编译安装http2教程

  1. 前言
    这次为大家带来的是 linux 下 Nginx 的编译安装http2教程!http2与http的区别和优势差异,这里就不再赘述了。相信了解的大都会选择http2,如果你也想尝试或者了解可以参考本教程来尝试安装!

还是老话:新手建议修改任何文件之前,先备份!如造成生产环境或者数据异常,请自行负责!

本次安装环境系统为:CentOS 6.9

  1. 安装准备

同样先更新系统,然后安装必要的依赖库文件等:
yum update
yum upgrade
yum install -y patch libtool gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel make unzip git wget

  1. 下载 openssl 安装包

这里我们下载官网最新的 1.1.0f 版本:
wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.0f.tar.gz
解压:
tar zxvf openssl-1.1.0f.tar.gz
注意,记住openssl解压文件存放目录,后面编译安装nginx需要用到

  1. 下载 nginx安装包

同样这里我们下载官网最新的nginx 1.13.5版本:
wget -c http://nginx.org/download/nginx-1.13.5.tar.gz
解压并进入解压文件目录:
tar zxvf nginx-1.13.5.tar.gz
nginx-1.13.5

  1. 开始执行编译安装

a.生成/var/cache/nginx 目录,用于存放 Nginx 反向代理的缓存文件
mkdir -p /var/cache/nginx
b.新建nginx的运行用户www(这里用户自行设置)
useradd www
c.选择编译模块,这里我们要安装http2,则选择以下模块(如需要其他模块,请自行选择添加):
http_v2_module
http_ssl_module
d.本次教程的完整编译命令如下:
./configure --prefix=/usr/local/nginx --user=www --group=www --conf-path=/etc/nginx/nginx.conf --with-openssl=/nginx/openssl-1.1.0f --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --without-http_uwsgi_module --without-http_scgi_module --with-http_stub_status_module --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp
其中--prefix=/usr/local/nginx表示将nginx编译安装到/usr/local/nginx目录下,--user=www --group=www表示nginx运行的用户和组名称,--conf-path=/etc/nginx/nginx.conf表示nginx配置文件路径
特别注意:--with-openssl=/nginx/openssl-1.1.0f 这里就需要填写前面下载并解压的openssl文件路径,如没有填写或者路径错误,则编译就会出错!
选择好编译的模块后执行以上命令,执行编译!并等待滚屏完成!得到如下图:
20171002120938.jpg
检查各项路径,是否正常!
e.执行安装命令
make && make install
等待安装滚屏结束

  1. 测试是否正常运行

/usr/local/nginx/sbin/nginx -t
如图则表示测试默认配置文件正常
20171002125508.jpg

  1. 查看版本以及具体模块参数等

/usr/local/nginx/sbin/nginx -V
20171002130119.jpg

  1. 将nginx添加到系统服务

在/etc/init.d/目录下创建名为nginx脚本,并写入以下内容(注意修改一些文件的路径和nginx安装配置的一致)


脚本代码开始:

!/bin/sh

. /etc/rc.d/init.d/functions
. /etc/sysconfig/network
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/etc/nginx/nginx.conf"

[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx

lockfile=/var/run/nginx.lock

start() {

[ -x $nginx ] || exit 5 
[ -f $NGINX_CONF_FILE ] || exit 6 
echo -n $"Starting $prog: " 
daemon $nginx -c $NGINX_CONF_FILE 
retval=$? 
echo 
[ $retval -eq 0 ] && touch $lockfile 
return $retval 

}

stop() {

echo -n $"Stopping $prog: " 
killproc $prog -QUIT 
retval=$? 
echo 
[ $retval -eq 0 ] && rm -f $lockfile 
return $retval 

killall -9 nginx
}

restart() {

configtest || return $? 
stop 
sleep 1 
start 

}

reload() {

configtest || return $? 
echo -n $"Reloading $prog: " 
killproc $nginx -HUP 

RETVAL=$?

echo 

}

force_reload() {

restart 

}

configtest() {
$nginx -t -c $NGINX_CONF_FILE
}

rh_status() {

status $prog 

}

rh_status_q() {

rh_status >/dev/null 2>&1 

}

case "$1" in

start) 
    rh_status_q && exit 0 
$1 
    ;; 
stop) 
    rh_status_q || exit 0 
    $1 
    ;; 
restart|configtest) 
    $1 
    ;; 
reload) 
    rh_status_q || exit 7 
    $1 
    ;; 
force-reload) 
    force_reload 
    ;; 
status) 
    rh_status 
    ;; 
condrestart|try-restart) 
    rh_status_q || exit 0 
        ;; 
*)    
  echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}" 
    exit 2 

esac


脚本代码结束

  1. 添加脚本文件权限并开启服务

chmod 755 /etc/init.d/nginx
chkconfig --add nginx
Nginx启动,停止,配置测试,重载
service nginx start
service nginx stop
service nginx configtest
service nginx reload

  1. 配置结束。

创建站点开启http2,测试http2是否正常!
A.在nginx配置文件/etc/nginx/nginx.conf中添加一行配置,方便多站点直接加载:
include /usr/local/nginx/vhost/*.conf; (这样直接创建主机站点配置文件,并上传到/usr/local/nginx/vhost/目录下即可直接读取配置)
20171002190317.jpg
B.创建主机站点配置文件www.xxx.com.conf

server {
    listen 443 ssl http2 default_server;
    server_name  www.xxx.com;
    root /data/wwwroot/www.xxx.com
    ssl_certificate      /ssl/cert.pem;
    ssl_certificate_key  /ssl/cert.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root   html;
        index  index.html index.htm;
    }
}

创建并上传到/usr/local/nginx/vhost/目录,重启nginx

C.测试地址
https://myssl.com/http2_check.html
20171002192554.jpg

SSL A+ 配置的一个注意问题(HSTS配置)

1. 前言

前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意!

 2. Apache、Nginx下HSTS代码

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 

3. 注意的问题

那就是HSTS的问题:

优势:开启HSTS后,安全评分可以达到A+

弊端:开启HSTS后,很长时间就不能换回HTTP了,同时需要全站开启HTTPS 

4. 说明

开启HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS ,同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,max-age后面的数字即表示时间 单位:秒 (15768000 seconds = 6 months)(我的教程中,这个时间我是缩短了一下的,大概两个多月的样子) 

5. 结束

这个问题就各取所需了,有些人可能一直开https,这也是全民上ssl的一个趋势吧!如果一直开上ssl且并不打算换回http,就不用担心这些问题了!但是如果你已经在用很久的http,又想尝试https,可以在配置的时候就考虑不要加上HSTS配置!

20171005155437.jpg


Warning: in_array() expects parameter 2 to be array, null given in /www/users/HK1590886/WEB/usr/plugins/TopLamuLeimu/Plugin.php on line 85