返回列表 發帖
tomleehk

Rank: 1
1# 跳轉到 »
發表於 2021-9-23 07:22 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-9-23 09:38 編輯

申請證書,簡單來說,喺向某d單位, 認證你擁有某個域名, 認證完畢後取回一d cert/key files, 你可獨立去睇同處理, 與CDN, v2ray 沒有關係..
申請過程有好多方法, 有manual, 有自動化, 有些方法需要連到相關域名嘅webserver讀取一d files, 有些方法不需要...
因你無提及相關細節同方法, 好難估, 但見你 error message 有  .well-known , 相信認證過程需要涉及到相關域名讀取一d files, 估計你要喺firewall 打開 port 80 (http), 完成後, 你可以先檢查你server上有無殘留嘅http://ddyystore.com/.well-known ... 8A2LF1F2a1mT80y_Ps:, 有嘅話先用手機打開, 睇吓讀唔讀到, 讀到的話可能會有download 反應, 所以大前題喺你要先確保外界經wan 可以access到 http://ddyystore.com/.well-known/acme-challenge/呢個directory所装住嘅files

另外, -1Q4hzyju0m42YtmHNiG-nrSZ8A2LF1F2a1mT80y_Ps:呢個 file name 可能每一次申請都唔问, 但http://ddyystore.com/.well-known/acme-challenge/呢個directory就會次次一樣

TOP

tomleehk

Rank: 1
2#
發表於 2021-9-23 08:59 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-9-23 09:01 編輯

另外, 我用嘅方法不涉及讀取files, 用 API credentials from DDNS provider

http://www.telecom-cafe.com/foru ... =7749&pid=47347

視乎相關DDNS provider 及 相關 acme能否支援

TOP

tomleehk

Rank: 1
3#
發表於 2021-9-23 12:39 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-9-23 13:40 編輯
thanks 師兄,
我是根據網上教程申請證書的, 具體如下:
1. 安装依赖,debian或ubuntu执行:
apt-get upda ...
vpn-learner 發表於 2021-9-23 10:19


   
咁喺啦..

acme個script 過程裡會download一個指定 file, 放喺相關網址(即ddyystore.com ) 嘅指定位置 (即 /.well-known/acme-challenge/ ), 之後認證單位會經wan去access, 從而確認你是持有人

所以, 你要先確保外界經wan 可以access到 http://ddyystore.com/.well-known/acme-challenge/呢個directory所装住嘅files

firewall 一定要打開 port 80 (http), 否則一定無法access

檢查你server上有無殘留嘅http://ddyystore.com/.well-known ... 8A2LF1F2a1mT80y_Ps:, 有嘅話先經wan打開, 睇吓讀唔讀到, 讀到的話可能會有download 反應, 讀唔到的話先研究吓點解, 當確定有讀到嘅反應之後再繼續 acme

有時要google 吓過程為乜同做緊乜, 一旦遇到有問題就有嘢可依

你嗰種方法其實喺將ssl-for-free手動的驗證方法用script 去一次過執行, 参考
https://free.com.tw/ssl-for-free/

TOP

tomleehk

Rank: 1
4#
發表於 2021-9-24 18:10 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-9-24 18:33 編輯

這個是因應webserver的要求, 隻隻手法都可能唔同, 我用lighttpd, 三個files都要涉及, 而且需要先將Privacy Key同certificate.crt合併成一個lighttpd.pem, lighttpd config file 再指住 lighttpd.pem 同 CA_bundle.crt

我對NGINX一無所知

example.com.key 明顯應指住Privacy Key
fullchain.crt 明顯應是另一種合併, 與lighttpd 唔同

我估計
CAT   certificate.crt  CA_bundle.crt  >> fullchain.crt

你可以試吓, 或 google 網上 d example

如果d 合併 file 唔work, NGINX 唔會被啟動

TOP

tomleehk

Rank: 1
5#
發表於 2021-9-25 20:33 | 顯示全部帖子
把 router 的 port80 打開了, 成功申請證書!!

後續我會試下再用不同的方法申請證書。。。。。 ...
vpn-learner 發表於 2021-9-25 17:57



    好的..

TOP

tomleehk

Rank: 1
6#
發表於 2021-10-4 11:26 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-10-4 11:40 編輯

為何要喺router做 port forward ? 你真的明白 port forward 功用 ?

https://en.wikipedia.org/wiki/Port_forwarding

我出嘅教程從來無教人亦無需喺router做任何 port forward

TOP

tomleehk

Rank: 1
7#
發表於 2021-10-4 16:29 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-10-4 16:32 編輯

建議你先將pi 直接連上internet, 測試清楚v2ray功能才搞router 嘅port forward

我用openwrt, 基本上所有嘢all-in-one, 無port forward需要

憑想像你router open 80,443而將 wan in coming 嘅 80, 443 port forward 去 部pi 嘅 80,443

只要config正當, 就應該會work

另一樣嘢要check, 你部router同pi嘅時間要確保正確

TOP

tomleehk

Rank: 1
8#
發表於 2021-10-4 19:11 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-10-4 19:15 編輯

如你要經cloudflare再轉連至家中組合就未必work啦, 因免費嘅cloudflare未必支援80,443呢d大路以外嘅port, 而且喺國內80, 443以外嘅port有機會被封

你嘅router無法做80, 443 嘅port forward, 我懷疑因為呢d port已被你嘅router admin page使用緊, 如果喺, 你可以硏究吓有無辨法改用例如8080, 8083做admin page, 放番80, 443出嚟, 跟住router 嘅80,443再port forward 去pi 嘅80 , 443

TOP

tomleehk

Rank: 1
9#
發表於 2021-10-6 17:24 | 顯示全部帖子
本帖最後由 tomleehk 於 2021-10-6 20:50 編輯

1) 做戲要做全套
2) 有證書同key file就可以假装成有https/tls特徵包封嘅packet, 就算被規範監控亦無咁易被發現, 大隱隱於林, 每日數之不盡443 packet出出入入, 你唔好用超高流量突出你就得

TOP

返回列表