1. 更新

更新内容（更改每天免费名额为12个）

Beta0.5.2更新说明
1.line机器人一上线,详细见下面qr码
2.修复cli调用问题
3.完成无缝升级
4.修复几处bug

更新福利
12个名额目前补满,今晚23:59还会重置

目前状态
每日免费名额12个,line获取py码名额20个
每个line账户只可获取1个
名额于Asia/Tokyo的23:59执行

提示
下一版本加入PY码有效期限,预计定为24小时,PY码生成24小时内使用,24小时之后失效!

历史问题
2017-11-21 21:43 解决不能正常获取执行状态的错误(500),页面未关闭时将会自动继续
2017-11-21 20:37 解决不选邮箱无法进入下一步的问题(第一行加入选择提示)
2017-10-13 13:17 修了下邮箱灰化问题,顺便增加了10个名额(仅限今日)
2017-10-14 06:41：有人反馈额度没更新，后发现cron路径写错，现在已更新。
2017-10-15 00:45 发现cron又莫名其妙的爆炸了,现在又手动更新了下.
2017-10-18 07:57 早上拉屎的时候发现cron每日执行+上次执行判断时间导致每2日才会重置一次免费名额,现已修正,今日名额已手动重置.
2017-10-18 15:04 由于升级时未更新入口文件,导致cli程序不能确定项目目录无**常运行签发程序,现在此问题已经解决.

2. 泛域名证书

什么是通配符、泛域名证书？
即：Wildcard SSL Certificates
简单点说就是这个SSL证书包含这个域名domain.com以及所有二级子域名*.domain.com
更多关于ssl证书的信息，还请自行了解，这里不多赘述！

3. 信息来源

信息来自hostloc论坛大佬 @dream7758521
http://www.hostloc.com/thread-400833-1-1.html
大佬博客：https://blog.ni-co.moe

4. 申请限制
   目前只有每日签发的32个！！！（请看更新、说明）

刷新时间为GTM+9:00 每天23:59
大佬提示：
诸位请轻撸,如果我发现多次签同一域名的话会想办法吊销这域名的全部ssl
博主友情提示：如果你确实需要，签发一个两个就可以了！

5. 申请准备

a.首先你需要一个域名（这都是废话...）
b.如果域名有whois保护，请先提前关闭（否则无法向你的whois邮箱发送申请验证邮件）
c.提前生成 SSL证书请求CSR文件和SSL证书密钥KEY文件
注意：这里建议whois邮箱是国外邮箱，博主之前也在其他途径申请过（最早提供的地方，已经关闭https://assl.loovit.com），后面发现国内邮箱很多都无法接收到验证邮件，至于为什么？撸太多？大家自己想想吧！

6. CSR文件和密钥KEY生成

证书请求CSR文件和SSL证书密钥KEY文件，一般在linux系统下通过命令生成，这里推荐一个方便的在线生成工具：
https://csr.chinassl.net/generator-csr.html
第一步：填写基本信息
参考图一

点击生成，建议勾选发送到邮箱，避免SSL证书密钥KEY文件丢失，这里可以用国内邮箱！
得到图二

6. 申请地址

大佬提供的项目地址：https://ssl.ni-co.moe
申请具体地址：
https://ssl.ni-co.moe/ssl/create/free.html

7. 开始申请

打开申请地址，参考截图填写！CSR一栏，填写前面生成的CSR信息即可！填写好后，点击获取whois邮箱，选择正确的邮箱后，点击提交签发！（可能会有一个需要 勾选人机验证，且可能需要特别方法才能完成验证，具体自行体验！！！）

签发后，去whois邮箱，查收验证邮件！一般几分钟可以收到！

打开邮箱中的验证邮件，点击验证的链接。点击I APPROVE我同意。等待几分钟就会收到证书邮件了。
证书会发送到你在申请地址https://ssl.ni-co.moe/ssl/index/create.html这里填写的邮箱！
证书内容在邮件的最后，开始部分为-----BEGIN CERTIFICATE-----
结尾部分为-----END CERTIFICATE-----
完整的证书文件内容必须包含这两部分！！！

8. SSL证书链补全

证书安装后，某些手机浏览器访问可能提示有风险，则需要补全证书链！如下：
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
注意：不同web环境可能安装方法不同
nginx下：将以上证书内容直接补充到你的域名签发的ssl证书内容后面即可
apache下：可以直接将以上内容新建文本文档，复制粘贴后另存为xxx.crt文件，并直接在站点配置文件中添加SSLCertificateChainFile 字段后引用xxx.crt文件路径即可！

9. 写在后面

最后，所有资源都来自网络！虽然是免费的，大家更应该珍惜！不要变成蝗虫！！！！

1. 前言

前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意！

 2. Apache、Nginx下HSTS代码

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 

3. 注意的问题

那就是HSTS的问题：

优势：开启HSTS后，安全评分可以达到A+

弊端：开启HSTS后，很长时间就不能换回HTTP了，同时需要全站开启HTTPS 

4. 说明

开启HSTS 配置，这个对评分影响也比较大，开启这个需要全站开启 HTTPS ，同时也有弊端，开启 HSTS 后，很长时间就不能换回 HTTP 了，max-age后面的数字即表示时间 单位：秒 (15768000 seconds = 6 months)（我的教程中，这个时间我是缩短了一下的，大概两个多月的样子） 

5. 结束

这个问题就各取所需了，有些人可能一直开https，这也是全民上ssl的一个趋势吧！如果一直开上ssl且并不打算换回http，就不用担心这些问题了！但是如果你已经在用很久的http，又想尝试https，可以在配置的时候就考虑不要加上HSTS配置！

一. 前言
上一篇文章我们配置了Apache的ssl A+教程，这次为大家带来的是Nginx！

为什么要把 SSL 的配置安全等级设置为 A + 呢？我也不知道！好看？
各取所需嘛，不同的人肯定有不同的理解！大家随意，文章教程本就是给那些需要的人！
新手建议修改任何文件之前，先备份！如造成生产环境或者数据异常，请自行负责！

二. 演示配置环境
宝塔 linux 面板 5.1（bt.cn）
Web 服务器环境 nginx1.8

请自行安装好宝塔面板以及nginx环境，并建立好站点（开启ssl）！

三. 具体配置教程

1. 前置

同样，先了解下宝塔面板的建立的站点nginx环境下的路径：
nginx1.8 安装路径：/www/server/nginx
所有站点配置文件存放路径：/www/server/panel/vhost/nginx/
站点配置文件：/www/server/panel/vhost/nginx/你的域名.conf（本教程需要修改此文件）

2. SSL开启、证书配置

注意：大部分证书机构提供的证书都是多级，所以可能需要我们把多个证书合并成一个，可以减少浏览器额外下载中间证书的次数。具体合并方法请自行探索，这里不叙述了！
**listen 443 ssl;
ssl on; （开启ssl）
ssl_certificate /etc/letsencrypt/live/你的域名/fullchain.pem; （完整证书.crt、.pem文件位置）
ssl_certificate_key /etc/letsencrypt/live/你的域名/privkey.pem; （证书私钥.key文件位置）**

3. 生成dhparam.pem

命令:openssl dhparam -out dhparam.pem 4096
可能需要比较长的时间，具体根据你的vps服务器cpu 内存而定！我这里默认是使用的4k，如果配置比较低，也可以换成2k，即把后面的参数4096换成2048
写入到站点配置文件：ssl_dhparam /ssl/certs/dhparam.pem;（注意修改dhparam.pem文件路径为你自己的）

4. 加密套件和 ciphers 选择，ciphers 的选择比较关键，这个配置中的 ciphers 支持大多数浏览器，但不支持 XP/IE6

ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";

ssl_prefer_server_ciphers on;

5. 安全协议，选择TLS协议，禁用了不安全的 ssl 协议 SSL 2.0 和 SSL 3.0

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

6. ssl session配置

ssl_session_cache shared:SSL:10m; （ssl session缓存时间10分钟）
ssl_session_timeout 10m; （ssl session超时时间10分钟）

7. HSTS 配置，这个对评分影响也比较大，开启这个需要全站开启 HTTPS 同时也有弊端，开启HSTS后，很长时间就不能换回HTTP了，后面的数字即表示时间(15768000 seconds = 6 months)

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

8. 将以上内容写入到站点配置文件的server {} 位置

完整配置如图：

红线部分即需要添加的内容

9. 重启Nginx

重启nginx,reload配置，查看是否报错，如有报错，请检查是否修改不正确！
重启方法:
service nginx restart
/etc/init.d/nginx restart

四. SSL安全等级测试地址

测试地址：https://www.ssllabs.com/ssltest/
Hostname 后输入域名，点击 Submit 开始测试，等待测试完成即可！

五. 写在后面
写这么多，也希望能帮到一些人吧！如有疑问，可以评论提出！
这些内容均为自己一年多前研究摸索获得，参考较多内容，时间太长具体那些已经忘记！
基本算是原创吧，如有转载，请注明出处！谢谢！
希望大家多多支持！

一、 写在前面

新手建议修改任何文件之前，先备份！如造成生产环境或者数据异常，请自行负责！
本教程中配置后，无需再单独修改每个站点配置文件，后期直接创建站点并开启 ssl 即可！

二、 演示配置环境

演示配置环境：
宝塔 linux 面板 5.1（www.bt.cn）
Web 服务器环境 Apache2.4
至于宝塔安装教程不叙述，请自行自官方查询！
首先，请安装好宝塔面板，并在软件管理中安装 Apache2.4 环境，并添加好站点！点击站点设置，开启 SSL！（ssl 证书获取方式不多叙述，这里演示就用面板自带的自动申请 Let's Encrypt 免费证书）如下图：

三、 具体配置教程

1、前置先了解下宝塔面板的建立的站点 apache 环境下的路径：
apache2.4 安装路径：/www/server/apache（本文不需要，了解即可）
所有站点配置文件存放路径：/www/server/panel/vhost/apache/（本教程需要上传 / 新建 SSL 配置文件到此路径）
站点配置文件：/www/server/panel/vhost/apache / 你的域名. conf（本教程可能需要修改此文件）
2、SSL 安全设置
为 apache 添加安全配置：
创建 ssl.conf 文件，并录入以下内容：
#侦听 ssl 443 端口

0. Listen 443  

#加密套件和 ciphers 选择，ciphers 的选择比较关键，这个配置中的 ciphers 支持大多数浏览器，但不支持 XP/IE6

0. SSLCipherSuite  ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS  

#安全协议，禁用了不安全的 ssl 协议 SSL 2.0 和 SSL 3.0

0. SSLProtocol All  -SSLv2 -SSLv3  

#启用优先级 正向保密

0. SSLHonorCipherOrder  On  

#HSTS 配置，这个对评分影响也比较大，开启这个需要全站开启 HTTPS 同时也有弊端，开启 HSTS 后，很长时间就不能换回 HTTP 了，后面的数字即表示时间 (15768000 seconds = 6 months)

0. Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"  
1. Header always set X-Frame-Options DENY  
2. Header always set X-Content-Type-Options nosniff  

将上述文件 ssl.conf 上传到 / www/server/panel/vhost/apache / 目录下
此处需要说明：
a. 此文件内容本是需要加载到 apache 的配置文件 httpd.conf 的内容中，即 / www/server/apache/conf/httpd.conf 但是宝塔面板的这个配置文件中已经加载一条命令直接读取 / www/server/panel/vhost/apache / 下的配置文件，所以这里就直接单独设置一个文件上传到这里即可！
b. 如果你是其他环境，或者自行编译安装的，请自行将以上内容添加到 httpd.conf 配置文件中！
3、站点 ssl 证书配置文件设置编辑 / www/server/panel/vhost/apache / 你的域名. conf 中，具体内容为：

0. #SSL  
1. SSLEngine On  
2. ​SSLCertificateFile /etc/letsencrypt/live / 你的域名 / fullchain.pem  
3. SSLCertificateKeyFile /etc/letsencrypt/live / 你的域名 / privkey.pem  

修改位置和方法：
#开启站点 ssl：
SSLEngine On
#站点 ssl 证书文件路径：
SSLCertificateFile /xxx/ssl/ssl.crt（不同地方下载的证书格式可能不同，自行根据你的文件存放路径和名称填写）
#ssl 证书私钥 key 路径：
SSLCertificateKeyFile /xxx/ssl/key.key（不同地方下载的证书私钥 key 格式可能不同，自行根据你的文件存放路径和名称填写）
#增加一项，ssl 的根证书位置，一般是需要这一项的，如没有根证书，可能某些浏览器会报不安全！（为什么默认这里没有，因为我这里是直接使用的宝塔后台 Let's Encrypt 免费证书，自动已经将根证书和你所申请域名的 ssl 证书合并在一个文件中）
SSLCertificateChainFile /xxx/ssl/root.crt
关于这里的一些配置，对 ssl 配置有一定了解的，基本都清楚怎么配置的，也比较适合喜欢折腾自己弄的朋友！
新手建议直接在宝塔后台操作就可以了，也避免出错！
当然你想自己弄，学点东西也是可以的！其他地方不清楚建议不要修改！
自此，配置基本技术，重启 apache 服务器，查看是否报错，如有报错，请检查是否修改不正确！
重启方法：

0. service httpd restart  
1. /etc/init.d/httpd restart  

四、 SSL安全等级测试

测试地址：https://www.ssllabs.com/ssltest/
Hostname 后输入域名，点击 Submit 开始测试，等待测试完成即可！

五、 写在后面

写这么多，也希望能帮到一些人吧！如有疑问，可以评论提出！这些内容均为自己一年多前研究摸索获得，参考较多内容，时间太长具体那些已经忘记！基本算是原创吧，如有转载，请注明出处！谢谢！希望大家多多支持！