為V2Ray 申請acme 證書問題？

vpn-learner

最近想把在家裡的Raspberry Pi  安装 Vray + ws + tls + Nginx, 可是跟著網上的教程來做， 到了申請證書時就失敗了，原因不明， 多數是顯示 timeout，不知道是否家裡的防火墻擋住了， 還是我在cloudflare 裡還需要做什麼設定？
請問師兄， 如果要讓 V2ray 安裝證書， 我家裡的router的防火墻 需要 怎樣設定， 是否要做port forward 或者打開某個 port？ 還是要disable 某些Firewall rules？
在 cloudflare 的設定裡 又有什麼要注意呢？
謝謝！

補充一下我抄下來的error message： （域名 我在這裡改動過）
ddyystore.com:Verify error:Fetching http://ddyystore.com/.well-known ... 8A2LF1F2a1mT80y_Ps: Timeout during connect (likely firewall problem)

vpn-learner

thanks 師兄，
我是根據網上教程申請證書的， 具體如下：
1. 安装依赖，debian或ubuntu执行：
apt-get update && apt-get -y install socat
2. 让环境变量生效，以后无论在哪个路径，直接使用acme.sh：
source ~/.bashrc
3.  要输入command to register  e-mail：
acme.sh --register-account -m xxxx@gmail.com
4.  用 acme.sh 脚本申请证书：
开始签发证书,注意请将example.com替换成我的域名
acme.sh --issue -d example.com --standalone -k ec-256 --force
5.  创建一个目录用于存放你的证书,注意请将example.com替换成我的域名：
mkdir /data
mkdir /data/example.com
6. 复制/安装证书
acme.sh --installcert -d example.com --fullchainpath /data/example.com/fullchain.crt --keypath /data/example.com/example.com.key --ecc --force

這個方法不成功， 執行到 第4點 時就失敗了，我要學習用其他方法申請證書了！！
起初我還以為有一個有效域名，申請證書就很簡單， 點知還是波折重重！

vpn-learner

咁喺啦..

acme個script 過程裡會download一個指定 file, 放喺相關網址(即ddyystore.com ) 嘅指定位 ...
tomleehk 發表於 2021-9-23 12:39

Thanks 師兄！ 我今晚試下把我的Mikrotik router 設定 一下port 80.....

vpn-learner

看了SSL For Free 的 網站， 根據它的內容，它會generate 出三個檔案， 分別是  私密金鑰（Privacy Key）、CA_bundle.crt 和 certificate.crt ， 請問 其中的CA_bundle.crt 和 certificate.crt 是否 兩者如何 選擇？ 是否可以只是選用其中一個就可以？

因為我在NGINX的 配置文件中，只見到需要使用兩個檔案：
ssl_certificate   /data/example.com/fullchain.crt;
    ssl_certificate_key  /data/example.com/example.com.key;

我估計 example.com.key 就是Privacy Key，但是 以上的 fullchain.crt 是 應該用 CA_bundle.crt 還是 certificate.crt？？ 或者是合拼呢？

謝謝指教！

vpn-learner

這個是因應webserver的要求, 隻隻手法都可能唔同, 我用lighttpd, 三個files都要涉及, 而且需要先將Privacy  ...
tomleehk 發表於 2021-9-24 18:10

    謝謝師兄！ 說得很清楚！ 我從 零 開始， 現在有了一點點的知識！ 基本有了概念，這兩天就動手去試試。

Thanks again！

vpn-learner

把 router 的 port80 打開了， 成功申請證書！！

後續我會試下再用不同的方法申請證書。。。。。

vpn-learner

終於試了用幾個方法來申請證書，在這裡真的獲益良多，感謝師兄們的指導。

但後來又發現一些不理解的問題，因為我想在家裡的樹莓設置 V2ray+ws+tls+cdn，基本上 安裝NGINX，官方的V2ray, 申請證書等事情已搞好，config.json 上 的port no 用了443（根據教程）。 在網頁打上我域名的地址可以解析到 偽裝網站。
跟住我就把我的router 做了port forward ，包括443 和 80。
用 WiFi 連接 手機與 router， 打開BristV 測試 V2ray connection，發現可以打開Youtube, Facebook, google play store， 但不能打開 NOW 新聞apps，而且手機右上角那個WiFi 符號旁邊還出現了一個感歎號。(不知什麼原因)。
後來改用手機網絡連接V2ray， 情況一樣，可以打開Youtube, Facebook, google play store， 但不能打開 NOW 新聞， 請教師兄們知道是什麼原因嗎？

還有一點， 就是做了port forward 443 之後， 我的PC就不能去哪些有安全證書要求的網站，而其他沒有安裝證書的網站就可以瀏覽。

做了port forward443 後訪問Yahoo等網站有以下message：

造訪不受信任的網站被禁止
此網站的一個或多個憑證無效，所以我們無法保證其真實性。當網站擁有者沒有及時更新憑證，或者它是詐騙分子建立的虛假網站時，會發生這種情況。造訪此類網站會讓您易受攻擊。

但disable port forward 443之後就沒有問題了。

vpn-learner

我的V2ray安裝在Raspberry Pi 上， 而這個Raspberry Pi 又在我家裡的LAN內， 外面要連線過來我的樹莓v2ray，先經過我的router， 所以我以為需要做 port forward。 但是如果我樹莓的 V2ray + ws + tls + cdn 需要用到port 443，那我應該如何處理？還是在 v2ray client side 需要做什麼設定？ 謝謝！

vpn-learner

經過一輪的 trial and error 測試， 發現了自己的問題。
因為我要在LAN裡的 樹莓建立 V2ray +ws +tls +cdn, 知道要用上port443的， 於是把我的router 做port forward， 問題是 我錯在把 dst-nat port 443  forward to 樹莓 Lan IP 的 port 443.
這就出事了。
後來我把 dst-nat 的port 改成另一個port no. (e.g. 22833) forward  去 樹莓 Lan IP 的 port 443，跟住在手機的V2ray client 內的設置 由port 443 改成 port 22833， 咁就成功了！
現在可以連上我的v2ray了。
謝謝師兄們的指導。

下次我要試下把偽裝網站換成 WordPress 網站，建立個個人網站。。。希望成功。。

vpn-learner

如你要經cloudflare再轉連至家中組合就未必work啦, 因免費嘅cloudflare未必支援80,443呢d大路以外嘅port,  ...
tomleehk 發表於 2021-10-4 19:11

    謝謝提示， 我可能要去隔離版塊問問 Mikrotik Router 的高手了。 我試過很多遍都搞不掂！

vpn-learner

雖然幾經努力終於為我的 v2ray + ws + tls + cdn 申請證書，並搭建完成， 但是心裡還是有個問題：

既然我的偽裝網站只是為了翻墻， 沒有什麼具體的功能，沒必要擔心安全問題， 為何又需要有證書呢？

vpn-learner

啊！原來如此。。。