12
返回列表 發帖
vpn-learner

Rank: 1
1# 跳轉到 » 倒序看帖
打印
tT
發表於 2021-9-22 23:44 | 只看該作者

為V2Ray 申請acme 證書問題?

本帖最後由 vpn-learner 於 2021-9-23 00:02 編輯

最近想把在家裡的Raspberry Pi  安装 Vray + ws + tls + Nginx, 可是跟著網上的教程來做, 到了申請證書時就失敗了,原因不明, 多數是顯示 timeout,不知道是否家裡的防火墻擋住了, 還是我在cloudflare 裡還需要做什麼設定?
請問師兄, 如果要讓 V2ray 安裝證書, 我家裡的router的防火墻 需要 怎樣設定, 是否要做port forward 或者打開某個 port? 還是要disable 某些Firewall rules?
在 cloudflare 的設定裡 又有什麼要注意呢?
謝謝!

補充一下我抄下來的error message: (域名 我在這裡改動過)
ddyystore.com:Verify error:Fetching http://ddyystore.com/.well-known ... 8A2LF1F2a1mT80y_Ps: Timeout during connect (likely firewall problem)
收藏 分享

tomleehk

Rank: 1
2#
發表於 2021-9-23 07:22 | 只看該作者
本帖最後由 tomleehk 於 2021-9-23 09:38 編輯

申請證書,簡單來說,喺向某d單位, 認證你擁有某個域名, 認證完畢後取回一d cert/key files, 你可獨立去睇同處理, 與CDN, v2ray 沒有關係..
申請過程有好多方法, 有manual, 有自動化, 有些方法需要連到相關域名嘅webserver讀取一d files, 有些方法不需要...
因你無提及相關細節同方法, 好難估, 但見你 error message 有  .well-known , 相信認證過程需要涉及到相關域名讀取一d files, 估計你要喺firewall 打開 port 80 (http), 完成後, 你可以先檢查你server上有無殘留嘅http://ddyystore.com/.well-known ... 8A2LF1F2a1mT80y_Ps:, 有嘅話先用手機打開, 睇吓讀唔讀到, 讀到的話可能會有download 反應, 所以大前題喺你要先確保外界經wan 可以access到 http://ddyystore.com/.well-known/acme-challenge/呢個directory所装住嘅files

另外, -1Q4hzyju0m42YtmHNiG-nrSZ8A2LF1F2a1mT80y_Ps:呢個 file name 可能每一次申請都唔问, 但http://ddyystore.com/.well-known/acme-challenge/呢個directory就會次次一樣

TOP

tomleehk

Rank: 1
3#
發表於 2021-9-23 08:59 | 只看該作者
本帖最後由 tomleehk 於 2021-9-23 09:01 編輯

另外, 我用嘅方法不涉及讀取files, 用 API credentials from DDNS provider

http://www.telecom-cafe.com/foru ... =7749&pid=47347

視乎相關DDNS provider 及 相關 acme能否支援

TOP

vpn-learner

Rank: 1
4#
發表於 2021-9-23 10:19 | 只看該作者
本帖最後由 vpn-learner 於 2021-9-23 10:38 編輯

thanks 師兄,
我是根據網上教程申請證書的, 具體如下:
1. 安装依赖,debian或ubuntu执行:
apt-get update && apt-get -y install socat
2. 让环境变量生效,以后无论在哪个路径,直接使用acme.sh:
source ~/.bashrc
3.  要输入command to register  e-mail:
acme.sh --register-account -m xxxx@gmail.com
4.  用 acme.sh 脚本申请证书:
开始签发证书,注意请将example.com替换成我的域名
acme.sh --issue -d example.com --standalone -k ec-256 --force
5.  创建一个目录用于存放你的证书,注意请将example.com替换成我的域名:
mkdir /data
mkdir /data/example.com
6. 复制/安装证书
acme.sh --installcert -d example.com --fullchainpath /data/example.com/fullchain.crt --keypath /data/example.com/example.com.key --ecc --force

這個方法不成功, 執行到 第4點 時就失敗了,我要學習用其他方法申請證書了!!
起初我還以為有一個有效域名,申請證書就很簡單, 點知還是波折重重!

TOP

tomleehk

Rank: 1
5#
發表於 2021-9-23 12:39 | 只看該作者
本帖最後由 tomleehk 於 2021-9-23 13:40 編輯
thanks 師兄,
我是根據網上教程申請證書的, 具體如下:
1. 安装依赖,debian或ubuntu执行:
apt-get upda ...
vpn-learner 發表於 2021-9-23 10:19


   
咁喺啦..

acme個script 過程裡會download一個指定 file, 放喺相關網址(即ddyystore.com ) 嘅指定位置 (即 /.well-known/acme-challenge/ ), 之後認證單位會經wan去access, 從而確認你是持有人

所以, 你要先確保外界經wan 可以access到 http://ddyystore.com/.well-known/acme-challenge/呢個directory所装住嘅files

firewall 一定要打開 port 80 (http), 否則一定無法access

檢查你server上有無殘留嘅http://ddyystore.com/.well-known ... 8A2LF1F2a1mT80y_Ps:, 有嘅話先經wan打開, 睇吓讀唔讀到, 讀到的話可能會有download 反應, 讀唔到的話先研究吓點解, 當確定有讀到嘅反應之後再繼續 acme

有時要google 吓過程為乜同做緊乜, 一旦遇到有問題就有嘢可依

你嗰種方法其實喺將ssl-for-free手動的驗證方法用script 去一次過執行, 参考
https://free.com.tw/ssl-for-free/

TOP

vpn-learner

Rank: 1
6#
發表於 2021-9-23 14:07 | 只看該作者
咁喺啦..

acme個script 過程裡會download一個指定 file, 放喺相關網址(即ddyystore.com ) 嘅指定位 ...
tomleehk 發表於 2021-9-23 12:39


Thanks 師兄! 我今晚試下把我的Mikrotik router 設定 一下port 80.....

TOP

vpn-learner

Rank: 1
7#
發表於 2021-9-24 13:29 | 只看該作者
看了SSL For Free 的 網站, 根據它的內容,它會generate 出三個檔案, 分別是  私密金鑰(Privacy Key)、CA_bundle.crt 和 certificate.crt , 請問 其中的CA_bundle.crt 和 certificate.crt 是否 兩者如何 選擇? 是否可以只是選用其中一個就可以?

因為我在NGINX的 配置文件中,只見到需要使用兩個檔案:
ssl_certificate   /data/example.com/fullchain.crt;
    ssl_certificate_key  /data/example.com/example.com.key;

我估計 example.com.key 就是Privacy Key,但是 以上的 fullchain.crt 是 應該用 CA_bundle.crt 還是 certificate.crt?? 或者是合拼呢?

謝謝指教!

TOP

tomleehk

Rank: 1
8#
發表於 2021-9-24 18:10 | 只看該作者
本帖最後由 tomleehk 於 2021-9-24 18:33 編輯

這個是因應webserver的要求, 隻隻手法都可能唔同, 我用lighttpd, 三個files都要涉及, 而且需要先將Privacy Key同certificate.crt合併成一個lighttpd.pem, lighttpd config file 再指住 lighttpd.pem 同 CA_bundle.crt

我對NGINX一無所知

example.com.key 明顯應指住Privacy Key
fullchain.crt 明顯應是另一種合併, 與lighttpd 唔同

我估計
CAT   certificate.crt  CA_bundle.crt  >> fullchain.crt

你可以試吓, 或 google 網上 d example

如果d 合併 file 唔work, NGINX 唔會被啟動

TOP

vpn-learner

Rank: 1
9#
發表於 2021-9-24 21:41 | 只看該作者
這個是因應webserver的要求, 隻隻手法都可能唔同, 我用lighttpd, 三個files都要涉及, 而且需要先將Privacy  ...
tomleehk 發表於 2021-9-24 18:10



    謝謝師兄! 說得很清楚! 我從 零 開始, 現在有了一點點的知識! 基本有了概念,這兩天就動手去試試。

Thanks again!

TOP

vpn-learner

Rank: 1
10#
發表於 2021-9-25 17:57 | 只看該作者
把 router 的 port80 打開了, 成功申請證書!!

後續我會試下再用不同的方法申請證書。。。。。

TOP

tomleehk

Rank: 1
11#
發表於 2021-9-25 20:33 | 只看該作者
把 router 的 port80 打開了, 成功申請證書!!

後續我會試下再用不同的方法申請證書。。。。。 ...
vpn-learner 發表於 2021-9-25 17:57



    好的..

TOP

scottlio

Rank: 1
12#
發表於 2021-9-30 22:24 | 只看該作者
回復 8# tomleehk


    caddy 好易

TOP

vpn-learner

Rank: 1
13#
發表於 2021-10-3 23:38 | 只看該作者
本帖最後由 vpn-learner 於 2021-10-4 00:31 編輯

終於試了用幾個方法來申請證書,在這裡真的獲益良多,感謝師兄們的指導。

但後來又發現一些不理解的問題,因為我想在家裡的樹莓設置 V2ray+ws+tls+cdn,基本上 安裝NGINX,官方的V2ray, 申請證書等事情已搞好,config.json 上 的port no 用了443(根據教程)。 在網頁打上我域名的地址可以解析到 偽裝網站。
跟住我就把我的router 做了port forward ,包括443 和 80。
用 WiFi 連接 手機與 router, 打開BristV 測試 V2ray connection,發現可以打開Youtube, Facebook, google play store, 但不能打開 NOW 新聞apps,而且手機右上角那個WiFi 符號旁邊還出現了一個感歎號。(不知什麼原因)。
後來改用手機網絡連接V2ray, 情況一樣,可以打開Youtube, Facebook, google play store, 但不能打開 NOW 新聞, 請教師兄們知道是什麼原因嗎?

還有一點, 就是做了port forward 443 之後, 我的PC就不能去哪些有安全證書要求的網站,而其他沒有安裝證書的網站就可以瀏覽。

做了port forward443 後訪問Yahoo等網站有以下message:

造訪不受信任的網站被禁止
此網站的一個或多個憑證無效,所以我們無法保證其真實性。當網站擁有者沒有及時更新憑證,或者它是詐騙分子建立的虛假網站時,會發生這種情況。造訪此類網站會讓您易受攻擊。

但disable port forward 443之後就沒有問題了。

TOP

tomleehk

Rank: 1
14#
發表於 2021-10-4 11:26 | 只看該作者
本帖最後由 tomleehk 於 2021-10-4 11:40 編輯

為何要喺router做 port forward ? 你真的明白 port forward 功用 ?

https://en.wikipedia.org/wiki/Port_forwarding

我出嘅教程從來無教人亦無需喺router做任何 port forward

TOP

vpn-learner

Rank: 1
15#
發表於 2021-10-4 12:24 | 只看該作者
我的V2ray安裝在Raspberry Pi 上, 而這個Raspberry Pi 又在我家裡的LAN內, 外面要連線過來我的樹莓v2ray,先經過我的router, 所以我以為需要做 port forward。 但是如果我樹莓的 V2ray + ws + tls + cdn 需要用到port 443,那我應該如何處理?還是在 v2ray client side 需要做什麼設定? 謝謝!

TOP

12
返回列表