存档

‘未分类’ 分类的存档

为SpringBoot做了一个Docker的Dockerfile

2017年7月25日 没有评论

话不多说,帖文件:

FROM java:openjdk-8u111-jdk

VOLUME /tmp

ADD springboot.jar app.jar

ENV JAVA_OPTS=""

ENTRYPOINT [ "sh", "-c", "java $JAVA_OPTS -jar /app.jar" ]

分类: 未分类 标签:

关于服务器数字证书的几个问题

2017年7月17日 没有评论

1.数字证书的一般流程

数字证书一般要自己生成私钥(key文件),然后用私钥生成证书申请(csr文件),然后用证书申请文件去要求证书颁发机构来颁发签名证书(cer文件或者crt文件)。证书办法机构可以是企业的RootCA或者分支CA,也可以是第三方受信任的CA。

2.数字证书的格式

目前一般第三方受信任的CA的签名证书都是用PEM格式,也就是Base64文件方式,这种正式一般只有签名证书部分。在Nginx或者Aliyun的CDNShang,这种证书一般需要配合私钥使用。IIS上一般使用PKS格式的证书,这种可是的证书是包含私钥的,所以一般的PKS格式证书,需要用PEM格式的证书和私钥合并而成,合并的时候,还会要求密码。

Java使用另一套证书格式,比如Tomcat上要求的证书格式为jks文件,这是一种java使用的所谓的证书库

3.数字证书的加工

数字证书到手后,一般不需要加工,可以直接使用。但是随着现在浏览器环境的多样化,以及Google对于https的不懈推广,导致不使用https的网站,会被chrome或者firefox等浏览器直接标记为不可信任,,而使用了https的网站,证书或者ssl有什么问题,会被直接标记为不安全。在中文字面上,不安全在中文字面上反而比不被信任更让中国人不安。

这里面基于数字证书的加工,主要是将拿到手的第三方信任办法的数字证书与信任的根证书之间的中间证书与我们拿到手的数字证书做合并。

为什么会有中间证书?这是因为证书信任机制,是我们信任第三方根CA,相应其办法的证书,和使用其证书签名的下级证书,都是被信任的。因此,一般第三方CA不直接发证书,而是下级CA办法,这样,看上去就是我们到手的证书是由子级CA办法的,并且是由其证书签名的,而子级CA的证书是由根CA颁发的,由根CA的证书签名。这样子级CA的证书就被叫做中间证书。在一般的证书查看工具中,都能看到一整个证书链(当前证书->中间证书->根证书)。

为什么要将中间证书合并?前面提到,证书信任的不是证书本身,信任的是一条证书链,或者说链上的所有证书都被信任。但是现在一些浏览器不会自动的获取中间证书,也就是没有办法信任整条证书链,反而是一些ie浏览器对此支持的很好。这种情况下,为避免因此导致的不安全提示,所以,我们一般都获取中间证书再与手中的证书合并。

怎么做证书合并?首先要确保手中的证书是PEM格式的,因为PEM格式证书是Base64编码的,也就是说所有字节都是文本编辑器打开时可读的。PEM格式的证书是以—–BEGIN CERTIFICATE—–开头,并以—–END CERTIFICATE—–结尾的,中间内容为Base64编码的证书内容。而中间证书有两种方式获取,一种是直接从办法机构下载,下载的时候注意要下载PEM格式的。我们打开中间证书,可以看到也是以—–BEGIN CERTIFICATE—–开头的,并以—–END CERTIFICATE—–结束的。我们只需要将中间证书的全部内容复制,并粘贴在到手证书的新一行内,并保存就完成了证书合并。

另外一种获取中间证书的方式,就是在windows中打开证书,查看证书链,然后直接将证书链的中间证书保存。中间证书可能不只一个,所以有几个中间证书,就需要合并几个中间证书。保存的证书需要检查格式,如果不是PEM格式的话,就需要转换格式为PEM。

4.服务器使用数字证书的后期设置

服务器上使用数字证书,也会被浏览器标记为不安全,这是因为服务器可能使用了被浏览器认为不安全握手协议或者加密算法。比如SSL3安全漏洞、Diffie-Hellman安全漏洞、RC4安全漏洞。IIS上可以使用注册表,将这些不安全的因素关闭掉。但是可能造成一些兼容性问题,比如XP上的IE6最高只支持SSL3,不支持新的TLS1,这样关闭了SSL3和SSL2之后,IE6就没办法连接了。

如果不考虑这些问题,可以直接使用下面链接提供的pwoershell脚本来开启所有安全设置。https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

或者自己手动来做,可以参考前面连接,或者微软KBhttps://support.microsoft.com/zh-cn/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

5.检验服务器安全

使用网站https://www.ssllabs.com/ssltest/ 来检验服务器安全

分类: 未分类 标签:

解决在使用AUR编译pgadmin4的安装包的时候遇到找不到公钥的问题

2017年5月2日 没有评论

提示RSA的ID为某个值的公钥找不到。这个时候,需要用pgp命令下载公钥。

命令为pgp –recv-keys 公钥

参考链接:

http://www.cnblogs.com/daemon369/p/3204020.html

http://www.2cto.com/kf/201703/607171.html

分类: 未分类 标签:

Eagle PCB设计软件的元件库

2015年12月10日 没有评论

原来以为Eagle的元件库都是个人创建的,结果在e络盟的网站上发现了其维护的一个Eagle的元件库,貌似不翻墙下不来,特此共享:

e络盟原址:

http://www.element14.com/community/community/cadsoft_eagle/eagle_cad_libraries

共享地址:

http://pan.baidu.com/s/1pJXiv8J

下载时间:

2015-12-10 18:00

分类: 未分类 标签:

关于ArchLinux 2015.11上迷你USB无线网卡的对比测试

2015年11月7日 1 条评论

今天中午到了昨天收的7个网卡,加上原来手里的睡醒MW150US 2.0,一起在树莓派2B上的ArchLinux ARM 2015.11进行了测试,结果总结如下:

1,完美的网卡

RTL8191SU芯:

磊科net-core NW360 300M无线网卡

lsusb信息:Bus 001 Device 006: ID 0bda:8172 Realtek Semiconductor Corp. RTL8191SU 802.11n WLAN Adapter

参考《树莓派1&2 ArchLinux ARM 2015.11目前最完美的USB无线网卡

2,需要手动驱动的网卡

MT7601U芯:

必联B-Link BL-D88 150M迷你USB无线网卡

lsusb信息:Bus 001 Device 007: ID 148f:7601 Ralink Technology, Corp. MT7601U Wireless Adapter

参考《ArchLinux内核4上面的B-Link BL-D88迷你USB无线网卡

3,自动驱动但是报错的网卡

RTL8188CUS芯:

EDUB EP-N8508GS 150M迷你USB无线网卡

lsusb信息:Bus 001 Device 008: ID 0bda:8176 Realtek Semiconductor Corp. RTL8188CUS 802.11n WLAN Adapter

参考《ArchLinux内核4上面的EDUB EP-N8508GS迷你USB无线网卡

RTL8188EUS芯:

水星Mercury MW150US 2.0 150M迷你USB无线网卡

lsusb信息:Bus 001 Device 009: ID 0bda:8179 Realtek Semiconductor Corp. RTL8188EUS 802.11n Wireless Network Adapter

COMFAST CF-WU810N 150M迷你USB无线网卡

lsusb信息:Bus 001 Device 009: ID 0bda:8179 Realtek Semiconductor Corp. RTL8188EUS 802.11n Wireless Network Adapter

COMFAST CF-WU720N 150M迷你USB无线网卡

lsusb信息:Bus 001 Device 009: ID 0bda:8179 Realtek Semiconductor Corp. RTL8188EUS 802.11n Wireless Network Adapter

参考《ArchLinux内核4上面的水星MW150US v2.0迷你USB无线网卡

4,无法驱动的网卡

COMFAST CF-WU825N 300M迷你USB无线网卡

lsusb信息:Bus 001 Device 004: ID 0bda:818b Realtek Semiconductor Corp.

COMFAST CF-WU725B 蓝牙4.0和300M迷你USB无线网卡

lsusb信息:Bus 001 Device 005: ID 0bda:b720 Realtek Semiconductor Corp.

 

测试环境:

1.根据ArchLinuxARM 2015.11新生成的RaspberryPi 2 B环境

2.在pacman -Syu更新到最新的环境

3.用pacman –S dialog wpa_supplicant crda安装最新的wifi组件

4.修改/etc/conf.d/wireless-regdom文件,去掉WIRELESS_REGDOM="CN"之前注释用的“#”。

分类: 未分类 标签:

ArchLinux内核4上面的B-Link BL-D88迷你USB无线网卡

2015年11月7日 没有评论

在树莓派和PC的ArchLinux的2015.11上,驱动都没有问题。

lsusb显示:

Bus 001 Device 004: ID 148f:7601 Ralink Technology, Corp. MT7601U Wireless Adapter

lsmod显示:

使用的是mt7601u的驱动,使用mac80211和cfg80211栈。

dmesg的时候会提示firmware文件mt7601文件无法读取,可以用《在ArchLinux上驱动mt7601u无线usb网卡》文章中的方法解决。解决之后,dmesg信息中会有firmware加载成功的信息。

使用wifi-menu连接的时候,没有任何错误,接入点后面是其信号强度的分贝值。

分类: 未分类 标签:

ArchLinuxARM关于root登录ssh的新限制

2015年8月21日 没有评论

最近的2015.8版本的ArchLinuxARM已经开始限制root来登录ssh。这对于那些习惯只用root的人来说,可能突然就没办法远程访问了,比如我,即使pacman –Syu也不会幸免……..

我的几个rasp都重弄了,开始还以为被黑了……

分类: 未分类 标签:

Piwik升级,提示curl_exec超时问题解决

2015年3月7日 没有评论

如果你的Piwik升级的时候提示curl_exec出错的话,恭喜你,估计你是在2.11.0或2.11.1这两个版本。2.11.0默认是10秒,2.11.1默认是30秒。如果这个时间搞不定,就报错。估计没谁的主机能这么快,比如我的。

查了一下,可以修改plugins/CoreUpdater/Controller.php的175行。

如果你是2.11.0,应该是如下的样子

Http::fetchRemoteFile($url, $this->pathPiwikZip);

如果你是2.11.1,应该是如下的样子

Http::fetchRemoteFile($url, $this->pathPiwikZip, 0, 30);

2.11.2以后的样子:

Http::fetchRemoteFile($url, $this->pathPiwikZip, 0, 120);

 

修改版本很简单,修改为2.11.2的样子就好,因为2.11.2就没有这个问题了。

分类: 未分类 标签:

4个月前的旧闻:WindowsLiveWriter要开源?

2014年10月11日 没有评论

原文地址:http://www.ithome.com/html/soft/89817.htm

在找WindowsLiveWriter2012的安装包的时候看到的,不知道是不是原始链接。

不过真是喜闻乐见。

分类: 未分类 标签:

D630安装ArchLinux

2014年4月3日 没有评论

U盘的安装盘制作,参考前文:http://just4fun.cn/?p=685。安装过程参考Arch Linux Wiki的Beginner’s Guid

1.开机使用U盘启动以后,直接选择“Boot Arch Linux (x86_64)”。机器已经支持64位了,又是4G内存,没有理由还选择i686的方式了,启动之后会自动登录的root账号。

2.由于咱也不懂其他的语言,暂时不修改键盘和语言之类的内容,直接开始配无线。我的这个D630是4965无线网卡,当前版本的Arch直接支持,使用“ip link”命令已经可以看到网卡的设备名为wlp12s0,所以直接使用“wifi-menu wlp12s0”连接无线。如果没提示直接出来了,那么就是已经连接成功,这个时候可以ping一下某个知名网站看看。说个题外话,有人说www.baidu.com 的存在意义就是用来ping网通不通的,很有意思10年前大家都是在ping www.sina.com.cn,突然有一天大家发现自己和别人都开始ping www.baidu.com 了,这是一个有意思的现象。

3.接下来准备存储,其实就是分区。U盘启动以后,机器的硬盘设备名为sda,U盘的设备名为sd2。我习惯使用fdisk,所以接下来就是”fdisk /dev/sda”。先删除所有存在的分区,再创建两个主分区。第一个分区为4G,主当交换分区,剩下的都给/。好处就是省事。创建完成以后,将sda1的类型改为82,将sda2设置为可启动,然后保存退出。fdisk删除使用d命令,创建使用n命令,修改类型使用t命令,修改启动标志使用a命令,查看分区表使用p命令,查看帮助使用m命令,保存退出使用w命令。

分区之后是格式化,使用“mkfs.ext4 /dev/sda2”格式化根分区,使用”mkswap /dev/sda1”格式化交换分区,使用”swapon /dev/sda1”启用交换分区。

格式化完毕使用“mount /dev/sda2 /mnt”将根分区挂在当前目录的/mnt位置。

4.在向sda2灌rootfs之前,先修改pacman的镜像列表。当前镜像列表的最后一项就是163的镜像服务器,可以把前面的都删掉。如果你有多个其他的镜像网站可选,可以先ping一下,选一个最快的。使用“vi /etc/paman.d/mirrorlist”开始编辑。vi怎么用自己去网上查吧

5.修改好以后,使用“pacstrap –i /mnt base”来安装基本系统,也就是灌rootfs。后面是一路回车,就可以完成。从屏幕提示看,可以知道Arch不是使用光盘上的安装包,而是从刚才修改的mirrorlist里面的镜像服务器来下载安装需要的文件。

6.安装完成以后,使用“genfstab –U –p /mnt >> /mnt/etc/fstab”来生成系统的fstab文件。

7.接下来就可以使用“arch-chroot /mnt /bin/bash”将当前shell的根目录换成/mnt了。这时我们可以看到提示符已经和刚才不一样了。

8.接下来在更换过来的根目录里面分别设置/etc/locale.gen文件并使之生效,然后修改/etc/locale.conf。这个是设置新系统的语言环境。使用“vi /etc/locale.gen”命令打开这个文件,然后把需要使用的语言前面的#号去掉,我这里使用的是en_US.UTF-8,另外我还打开了zh_CN.UTF-8,执行“locale-gen”生成locale。然后使用“echo LANG=en_US.UTF-8 > /etc/locale.conf”来生成这个文件。

9.由于中国人都是使用国际标准键盘,所以键盘和控制台字体就都不修改了,直接使用默认设置。

10.接下来执行“ln –s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime”设置当前时区为上海。然后使用“hwclock –systohc –utc”来设置系统硬件时钟为UTC模式,也就是说机器BIOS时间代表格林威治时间。根据Arch Linux Wiki的说法,这是建议设置,也可以设置为localtime,但是会有一些一直bug,而且没有计划修改这些。我很郁闷,我用了这么多年电脑,BIOS里面的时间都是本地时间。没办法,改吧。

11.核心模块这个时间点不配置,跳过。

使用“echo myhostname > /etc/hostname”设置机器名。hosts文件不需要修改,使用默认就好。

接下来网络配置这块比较重要,因为需要安装一些组件,一边重启后可以继续使用wifi-menu。这需要执行“pacman –S iw wpa_supplicant dialog wpa_actiond”安装相应的程序包。相关配置重启之后再做。

使用“mkinitcpio –p linux”创建ramdisk环境。

使用passwd修改root的密码。

使用“pacman –S syslinux”安装bootloader,然后执行“syslinux-install_update –i –a -m”来使syslinux生效。之后使用“vi /boot/syslinux/syslinux.cfg”修改bootloader启动时加载的分区。

之后就可以重启了,执行“exit”返回之前的shell,执行“umount –R /mnt”去掉/mnt挂载的sda2,然后就可以“reboot”了。

重启之后,可以创建新用户,或者安装其他软件。我是用命令“systemctl enable netctl-auto@wlp12s0.service”打开了自动登录无线。

分类: 未分类 标签: