Status-1386

记录一下,用certbot更新已有的Let’s Encrypt证书、并添加/删除SAN(Subject Alt Names),以CN(Common Name)为web.example.com为例,只要再次重新指定本次申请证书所有在SAN中的域名即可(以将sub1.example.comsub2.example.com加入SAN、并将web.example.com从SAN删除为例),以下命令参考[*]:

sudo certbot certonly --cert-name web.example.com -d sub1.example.com -d sub1.example.com

程序会交互地依次询问验证方式(比如Apache/NGINX安装器、certbot自己的临时web服务器、或指定webroot等[注]),如果该域名web.example.com证书已存在,则会依次提示本次新添加进入SAN的域名与从SAN中删除的域名,然后询问并确认后,会完成证书更新。这比起直接修改域名证书申请的配置文件要安全一些[*]。

[注]:这些安装器、临时服务器及指定webroot的方式实际采用的是“HTTP-01 challenge”,需要将正在申请证书的域名开放80端口;除此之外,还有“DNS-01 challenge”;参考[12]。

NGINX默认站点及自签名SSL证书

这篇日志记录一些配置NGINX和SSL证书的杂项。主要涉及NGINX的默认站点和SSL自签名证书生成,自己做个备份好查找。

这种情况应当是很常见的,即一台配置了HTTP服务的服务器同时伺服了多个域名(或多个IP)的网站。有时就需要有一个所谓可以catch-all的站点,来为以下这种访问来服务:

  • 所有指向这台服务器的访问;
  • 该访问不在已有提供HTTP服务范围内。

因此,面对各种IP的直接HTTP访问,如果该IP本身没有已部署的服务,则应有一个“默认HTTP站点”响应其请求;面对各种指向该服务器的域名的HTTP访问,如果这些域名没有部署响应的HTTP服务,则应至少有一个“默认HTTP站点”响应其请求。加上现在已是HTTPS的天下,也应使配置兼容通过https://的访问。当然我们可以把这个默认HTTP站点做的很像模像样,但还是考虑到这个默认HTTP站点所响应的页面并不是什么十分正规的页面,甚至根本不希望有人能访问到,所以这个站点的SSL证书就不用大费周章,直接在服务器上生成一个自签名证书就好了。下面的内容,就记录这两点吧。

Continue reading “NGINX默认站点及自签名SSL证书”

有关Cloudflare的几条小提示

似乎算不上知识,就叫做提示吧。比较零散,又怕自己忘记,随手写在这里:

  • 关于SSL证书,非自定义的全局证书有两种(参考):
    • Universal:Common Name (CN)为sni.cloudflaressl.com,仅颁发给当前管理的根域名(如example.com)及泛域(如*.example.com),可参看证书Subject Alt Name项。
    • Universal (Shared):Common Name (CN)为sni123456.cloudflaressl.com,是在Cloudflare成为CA之前的旧版证书,与多个其他域名共享,可参看证书Subject Alt Name项。
  • 关于Cloudflare的CNAME Setup(参考):
    • 仅Business及Enterprise套餐(参见)。
    • 不要与域名的CNAME记录混淆。
    • 大概应该是这样的:对其他域名的CNAME记录指到Cloudflare管理的当前域名的子域名(包括www,不包括根域名)启用CNAME解析,同时启用其他域名别名的SSL证书(参考)。

网络服务配置笔记:WordPress w/ SSL on Ubuntu w/ NGINX, PHP and MySQL

这次重新开站,暂时以这个博客打头阵(实际上好像也只有这个),方便自己乱丢一些文字在上面。以前的备份是2013年初的,这次的开站除了配置几个网络服务之外,也涉及到从旧WordPress的数据备份恢复并升级到最新版,这个过程也是很有趣的,一并写在这篇日志里。

注意:这篇日志为我记录与获取方便而发布;内容中有很多处未涉及严格的考究和对选择的充分讨论,代码部分亦有存在纰漏的可能;请酌情参考,小心使用!

一套网络服务的配置,涉及服务器系统、网络服务器端软件、系统相应账户的配置和网络服务的配置。一个搜索可以找到很多XXX VPS提供商网站就有提供相应的教学,我主要翻看了Digital OceanLinode这两家的。这样来看,如果删掉这些啰嗦的、随意的文字,这篇日志也可以起名叫做“Use Your Old WordPress Backup to Build a New Site”,“Install or Upgrade WordPress on Ubuntu 16.04”,“Setup an LEMP environment with HTTPS support on XXX”等等了。后面内容的目录如下:

Continue reading “网络服务配置笔记:WordPress w/ SSL on Ubuntu w/ NGINX, PHP and MySQL”