ESXi 更换 HTTPS 证书

简单记录一下 ESXi 主机更换 HTTPS 证书的方法:

# castore 用处尚未查证,不建议修改
/etc/vmware/ssl/castore.pem
# crt 使用 nginx 格式,将证书和中间证书合并在一个文件里
/etc/vmware/ssl/rui.crt
/etc/vmware/ssl/rui.key

services.sh restart

因为不建议开启 SSH 服务,所以不推荐远程更换的方法。

如果需要 Let’s Encrypt 解决方案,建议参考这个脚本:

使用 Nginx 反代 Apache 安装 WordPress

最近由于原先博客主机极度不稳定,所以准备了很久,准备进行主机迁移。由于迁移前的环境和迁移后还是有较大的区别,整体架构也不太一样,所以在这里说说迁移过程中遇到的问题。

环境对比

原主机 新主机
操作系统 CentOS 6 CentOS 7
Web 服务器 Apache 2.2 Openresty 1.9.7 + Apache 2.4
PHP 版本 5.5 5.6
其他 SELinux

SELinux

很多人为了省事,在拿到主机的第一时间就直接禁用了 SELinux。不过在学习了一段时间之后,我发现其实 SELinux 是一个很好的保护机器的手段。

这里简单列举几个需要注意的 SELinux 的配置:

 

httpd_can_network_connect_db boolean <a href="https://maoxian.de/2016/05/1395.html#more-1395" class="more-link"><span aria-label="继续阅读使用 Nginx 反代 Apache 安装 WordPress">(更多…)</span></a>

使用 stunnel 加密原本不支持加密的连接

之前在国内的 TX 云主机上安装了 cow 作为连接国外 ss 的跳板。最近由于 Wifi 安全问题被各种关注,就想到 cow 本身是只支持 http 协议的。也就是说,我跟这个代理的任何通信理论上都能被同一 AP 下的其它机器截获。

为了解决这个问题,同时也作为某些公众 Wifi 禁止连接 VPN 的解决方案,我使用了 stunnel 来将 cow 变为支持 https 的代理服务器。

PS:之所以使用 cow 而不是其它的专业代理服务器,是因为在使用 cow 的时候可以无缝连上国外网站,无痛上 Google ,所以。。。

下面说说配置过程:

因为 stunnel 已经发布到了 epel 源中,所以如果你的 CentOS 添加了 epel 源的话,可以直接 yum install stunnel. 如果想自己编译也不困难,下载源码 ./configure && make (更多…)

博客正式开启全站强制SSL

由于 Google 宣即将在Chrome浏览器中全面将HTTP网站标记为不安全(http://www.chromium.org/Home/chromium-security/marking-http-as-non-secure),我很早就想将博客开启全站HTTPS了。不过由于我的主机带宽不够,而且地理位置是在香港,所以无法在开启全站HTTPS之后提供较快的图片下载速度。而国内的CDN支持HTTPS的又少的可怜,只好开启了后台HTTPS,但是前台页面都没有开启HTTPS。
今天收到邮件看到七牛云存储做活动,发布了海外加速服务,于是就顺手去看了一眼。没想到无意中发现七牛已经开始给CDN部署HTTPS了。虽然只能使用自定义域名,但是对我没有影响,因为我是使用WP Super Cache插件将博客页面中的资源文件的链接在输出的时候直接替换成CDN的链接的,所以终于可以真正的开启全站HTTPS了。
现在再访问我的博客,如果使用HTTP访问,会被强制302到HTTPS的链接。在这个页面里查看源文件的话可以看到,资源文件都是从
https://dn-maoxian.qbox.me/
这个域名下载的。这就是七牛云存储的CDN域名。有了这个,再也不用担心HTTPS的页面什么CSS都加载不了被浏览器直接Block啦~

附上我的七牛邀请链接:

https://portal.qiniu.com/signup?code=3l7i9c6vk7qky

PS:不过七牛不好的一点是想得到免费额度需要身份认证。。。不过。。。这是国内CDN的通病了。。。没办法。。。这个就要自己权衡了~

Chrome下强制http重定向到https的方法

使用Google的https搜索的时候,我们会发现搜索结果虽然可以显示,但是有时候结果的链接却无法打开。这里的原因是因为Google的https的搜索结果链接往往使用的是http的方式打开,因此有时候会无法访问,本文将介绍在Chrome下解决这个问题的方法。

如果你使用的是Chrome浏览器,只需要经过一些简单的设置,就可以强制Google的https搜索结果链接也使用https的方式打开。

打开Chrome,在地址栏输入chrome://net-internals/

之后,在HSTS选项卡下的Domain中输入 www.google.com (或 www.google.com.hk ),然后点击Add按钮。

3270_2

现在你再使用Google的Https搜索,就会发现搜索结果的链接可以打开了。

如果想针对别的网站启用强制HTTPS,只需要将域名添加进去就可以了。