lua-resty-openssl: 基于FFI的Lua OpenSSL库

0   9840 转为繁体

FFI-based OpenSSL binding for OpenResty
https://github.com/fffonion/lua-resty-openssl
48 forks.
147 stars.
4 open issues.

Recent commits:

支持OpenSSL 1.1.x, 1.0.x和1.0.2系列

lua-resty-acme: ACMEv2客户端和Let’s Encrypt证书的自动化管理

0   15799 转为繁体

Automatic Let's Encrypt certificate serving and Lua implementation of ACMEv2 procotol
https://github.com/fffonion/lua-resty-acme
41 forks.
177 stars.
4 open issues.

Recent commits:

 

 

安装

使用opm:

opm中没有luaossl库,所以这种安装使用的是基于FFI的Openssl后端;需要OpenResty链接了大于等于1.1版本的OpenSSL。

也可以使用luarocks安装:

使用

以/etc/openresty目录为例,如果目录不存在,请自行修改。

生成一个账户密钥

生成一个默认证书

在Nginx配置的http 节插入以下内容

首次配置时,建议将init_by_lua_block中的staing = true取消注释,以防错误过多触发限流;测试通过后再加回注释使用生产API。

在需要使用证书的server节插入

CentOS/Fedora等系统的根证书在/etc/ssl/certs/ca-bundle.crt,请根据实际情况修改lua_ssl_trusted_certificate。

保存后,reload nginx。

在一般情况下,domain_whitelist必须配置,以防止恶意请求通过伪造SNI头进行拒绝服务攻击。

如果要匹配一系列域名,可以使用__index来实现。比如下面的例子仅匹配example.com的子域名:

RSA+ECC双证书

将init_by_lua_block中的domain_key_types = { 'rsa', 'ecc' }取消注释后,即可同时申请两套证书。

为了让申请到证书前的握手不出错断开,给Nginx配置默认的ECC证书

然后在server节中原有的ssl_certificate下增加两行

关于加密套件等的选择可借助搜索引擎。

TLS-ALPN-01

0.5.0开始支持tls-alpn-01,可以支持在只开放443端口的环境里完成验证。方法是通过蜜汁FFI偏移找到当前请求的SSL结构,然后设置了新的ALPN。需要多个stream server多次proxy,拓扑结构如下:

第一个stream server打开了443端口,根据请求的ALPN分发到不同的后段;如果是acme-tls则转发到我们的库,否则转发到正常的https。

示例配置见Github

交叉编译openresty,修复支持大文件 (LFS)

0   10449 转为繁体

老文存档,有时间补全

http://www.gnu.org/software/libc/manual/html_node/Feature-Test-Macros.html

http://cgit.openembedded.org/meta-openembedded/tree/meta-webserver/recipes-httpd/nginx/files/nginx-cross.patch

https://stackoverflow.com/questions/4357570/use-file-offset64-vs-file-offset-bits-64

https://digital-domain.net/largefiles.html

https://stackoverflow.com/questions/35575749/how-to-define-file-offset-bits-large-files-macro-for-solaris-and-hp-aix

http://users.suse.com/~aj/linux_lfs.html

Jenkins 中构建有私有模块的Go项目

0   9302 转为繁体

更新:

可以使用 athens 来建立全局go modules缓存,管理SSH密钥会更加方便。

 

go get 的底层会调用git来clone模块,因此我们只要保证git clone repo_url 可以无交互正常运行,就可以让go get 也正常下载模块。

如果是在本地使用, 则可以安装hub或者设置将https重写成ssh地址,以自动使用私钥下载,而无需交互输入用户名密码。

如果在Jenkins中使用,就算可以马上使用后删除,任何时候让一个ssh私钥保存在磁盘上都是不安全的。所以我们使用credential.helper + 环境变量,并且用https地址的方式来给git提供用户名密码。

使用credential.helper 可以允许git调用配置的命令获取用户名和密码,我们使用一个一行的shell脚本把环境变量$USERNAME  和 $PASSWORD 打印出来:

这样,任何时候我们都不会在磁盘上保存用户名和密码,所有信息都在内存里。

然后,因为go get 会clone一个新的repo到本地,我们没有办法在这之前设置每个repo的credential.helper,所以这个配置必须是全局的设置。我们用一个docker容器来完成整个项目,然后把这个配置通过docker volume挂载到$HOME/.gitconfig下:

注意Jenkins的docker插件会传递当前的HOME等环境变量,这个目录往往在容器中不存在,所以我们覆盖容器中的用户目录到/tmp。

完整的Jenkinsfile如下:

 

HPE Microserver Gen8 升级安装 Windows Server 2019

0   16535 转为繁体

原先安装的是Windows Server 2016鲜嫩多汁学生版,决定安装一个成人版操作系统。

下载MSDN的iso镜像,挂载之后,双击setup.exe

  • 提示 Windows安装程序无法找到存储临时安装文件所在的位置。若要安装Windows,请确保启动磁盘上分区至少具有xxx兆字节(MB)的可用空间

我这里的原因是用了TF卡启动,windows发现启动分区和系统分区不一致,就哭了。解决办法是恢复用系统分区引导进入系统。我把存储池的四块硬盘都拔掉了,装完之后可以重新识别,不怕。

还需要把这个注册表的值改成0或者删掉:

 

  • 提示 Windows无法从无人参与应答文件读取<ProductKey>设置

因为之前用了HP的Intelligent Provisioning,系统分区的辣鸡还没清理,删除系统分区下的autounattend.xml后,问题解决。

安装前,需要关闭Hyper-V的虚拟机,如果虚拟机用了直通磁盘,则不能为“已保存”状态。

安装时,选择保留用户设置和文件,泡一杯茶,等待安装完成。