Lobo826

回復  Lobo826

喺指nginx 嘅config, 假如你有用host=乜乜,要加番host=new domain
certificate 唔駛重新再 ...
tomleehk 發表於 2020-4-4 00:28

    感謝, 再試試先

tomleehk

回復 16# Lobo826

我嘅lighttpd config 例子, 留意

$HTTP["host"] == "nogfw.cf"

視乎你ngnix 原本config 有無check client send 過嚟嘅host url header

Lobo826

回復  Lobo826

我嘅lighttpd config 例子, 留意

$HTTP["host"] == "nogfw.cf"

視乎你ngnix 原本config ...
tomleehk 發表於 2020-4-4 00:42

    剛改了Nginx 的config.json, server name 將原本是synology ddns 個address 改到新domain

開web browser入原本synology ddns address (https://xxx.myDS.me) 就冇問題
用新的domain (https://xxx.ga) 就出現ERR_SSL_VERSION_OR_CIPHER_MISMATCH

是唔是在Cloudflare proxy status 只可以set DNS only?

tomleehk

回復 18# Lobo826


   
cloudflare proxy 可以用ip 去set, 但用DNS比較好, 因ip難免會被isp改

出現ERR_SSL_VERSION_OR_CIPHER_MISMATCH, 一般喺cloudflare同webserver(即 nginx) 之間setting 問題
https://community.cloudflare.com ... r-mismatch/24462/12
https://support.cloudflare.com/hc/en-us/articles/200170416
例如SSL option應選擇Full, 唔好用Full (strict), 又或者tls version 有關嘅setting, webserver(即 nginx)同cloudflare唔夾

Lobo826

回復  Lobo826


   
cloudflare proxy 可以用ip 去set, 但用DNS比較好, 因ip難免會被isp改

出現ERR_SSL ...
tomleehk 發表於 2020-4-4 09:55

    感謝師兄指點方向, 好似成功了... 再繼續測試先

tomleehk

回復 20# Lobo826

長遠最好做到無論經cdn或直連都可以同時連到

我嘅lighttpd config 例子, 留意
  $HTTP["host"] == "nogfw.cf" {
  ....
  }
  else {
     $HTTP["host"] == "testhost.ddnsfree.com" {
   ...
     }

雙途徑都最好可以同時通行

Lobo826

回復  Lobo826

長遠最好做到無論經cdn或直連都可以同時連到

我嘅lighttpd config 例子, 留意
  $HTTP["h ...
tomleehk 發表於 2020-4-4 13:55

    再次感謝師兄提點, 你唔講我都唔知可以咁玩
跟左下面個web site設定, 試左直連&經CDN都可以同時連到了^-^

http://www.jishuwen.com/d/2h0U/zh-hk

tomleehk

回復 22# Lobo826

我嘅lighttpd sample, lighttpd唔需要2個domain嘅cert, 只要用番router本身domain單一嗰張已經得, 但各師各法..

經cdn,  throughput會被拖低, 但唔怕被block ip
直連有被block ip 風險, 但速度高d

client 當然有兩組setting, 用嘅時候睇環境執生

用埋acme + cron job + scripting 每星期自動幫webserver更新張let's encrypt cert, 長遠更加慳水慳力, 而家我只要間中得閒用browser 去 check吓cert 嘅 renewal成唔成功就得, 唔駛每3個月到期嘅時候又要人手搞一輪

one-off工夫雖然多, 但防守性最强

Lobo826

回復 23# tomleehk


    呢個對我黎講有D難度,不過最終我都想咁樣玩,再研究下先@@...Thx

Lobo826

抱歉師兄 可否再請教或有沒網頁可以參考

我跟下面web site 個步驟第一步已經不行了...
https://github.com/acmesh-offici ... /%E8%AF%B4%E6%98%8E

# curl  https://get.acme.sh | sh
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   775    0   775    0     0   9174      0 --:--:-- --:--:-- --:--:--  9226
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  191k  100  191k    0     0  1478k      0 --:--:-- --:--:-- --:--:-- 1487k
[Sun Apr  5 00:33:04 CST 2020] Installing from online archive.
[Sun Apr  5 00:33:04 CST 2020] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
[Sun Apr  5 00:33:06 CST 2020] Extracting master.tar.gz
[Sun Apr  5 00:33:06 CST 2020] It is recommended to install crontab first. try to install 'cron, crontab, crontabs or vixie-cron'.
[Sun Apr  5 00:33:06 CST 2020] We need to set cron job to renew the certs automatically.
[Sun Apr  5 00:33:06 CST 2020] Otherwise, your certs will not be able to be renewed automatically.
[Sun Apr  5 00:33:06 CST 2020] Please add '--force' and try install again to go without crontab.
[Sun Apr  5 00:33:06 CST 2020] ./acme.sh --install --force
[Sun Apr  5 00:33:06 CST 2020] Pre-check failed, can not install.

tomleehk

回復 25# Lobo826

我只用openwrt, 從未遇過呢個問題

睇d error messages, 不排除因linux本身無cron function, 你要先搞掂 cron 部份, 先可以install acme

亦google過 linux+acme+pre-check failed 無乜發現, 如果搞掂cron 之後都仲喺install唔到acme, 建議你開一個獨立嘅post, 睇吓其他linux網友有無相關經驗

milanolarry

回復  milanolarry

v2rayNG 及 Kitsunebi

參考
Openwrt v2ray server + tls + websocket + webserver +  ...
tomleehk 發表於 2020-4-3 10:44

吾該

milanolarry

del..........