自签名全平台通用的IP证书

 前言:由于阿里云的限制,所有带域名的,不管有没有SSL,都无法逃过被拦截,所以可以用IP+域名的方式访问。之前有介绍过IP+PORT转发到DENO和CLOUDFLARE。但是我拿来下文件看视频肯定是会被DENO发现的,所以还是直接访问阿里云为妙,这样延迟也能低点。再者,之前http都是明文传输,我可不想被管理员看见,毕竟我已经见识过他们的技术力了。

 效果:


以下教程这段,我参考了:

1. openssl为IP签发证书(支持多IP/内外网) https://www.jianshu.com/p/cad3377692c9

2. Install self-signed certificates no longer working in Android Q https://stackoverflow.com/questions/58500892/install-self-signed-certificates-no-longer-working-in-android-q#:~:text=A%20private%20key%20is%20NOT,certificate%20AFTER%20it%20is%20generated.

3. One self-signed cert to rule them all? Chrome, Android, and iOS https://stackoverflow.com/questions/57565665/one-self-signed-cert-to-rule-them-all-chrome-android-and-ios

主要是靠第三篇。

关于IP签名适用于Windows和Mac的可以直接参考第一篇。

关于域名签名适用于全平台的,参考第三篇。

如果要让第三篇适用于IP证书,把所有的 DNS:test.com 换成 IP:你的IP (这一步我卡了很久)

在最后加上[ alt_names ] IP.1=你的IP。


Contents of openssl.cnf (⚠️可以翻动):

[ req ]
default_bits        = 2048
default_keyfile     = ca.key
default_md          = sha256
default_days        = 825
encrypt_key         = no
distinguished_name  = subject
req_extensions      = req_ext
x509_extensions     = x509_ext
string_mask         = utf8only
prompt              = no

[ subject ]
countryName                 = US
stateOrProvinceName         = Oklahoma
localityName                = Stillwater
organizationName            = My Company
OU                          = Engineering

commonName              = 你的IP
emailAddress            = me@home.com

# Section x509_ext is used when generating a self-signed certificate. I.e., openssl req -x509 ...

[ x509_ext ]
subjectKeyIdentifier      = hash
authorityKeyIdentifier    = keyid:always,issuer

basicConstraints        = critical, CA:TRUE
keyUsage            = critical, digitalSignature, keyEncipherment, cRLSign, keyCertSign
subjectAltName          = IP:你的IP
extendedKeyUsage = serverAuth


extendedKeyUsage    = TLS Web Server Authentication

[ req_ext ]
subjectKeyIdentifier        = hash
basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName          = IP:你的IP

nsComment           = "OpenSSL Generated Certificate"
[alt_names}
IP.1=你的IP


然后用命令生成就行:
openssl req -config openssl.cnf -new -x509 -days 825 -out ca.crt

openssl x509 -in ca.crt -text -noout

- 其它的问题不大。最后导入还是挺方便的。导入.CRT就行, IOS稍微麻烦点。

在 Debian / Ubuntu / Alpine 系统中信任证书: 

cp *.crt /usr/local/share/ca-certificates/

update-ca-certificates


- 关于nginx配置 

ssl_certificate /home/ssl/xxx/ca.crt;

ssl_certificate_key /home/ssl/xxx/ca.key;

- 关于安全

但是nps从家里到阿里云那段应该没有加密。据说现在但凡是个高级点的路由都有识别功能了,但是无所谓了。我只是不想让学校管理员看到我在nas上看的那些PT。你知道这国外的技术有多高超,所有电脑账号都是拿学号登录的,桌面的文件都是同步的,Windows的登录感觉是在线验证,我国内从来没见识过。用户没有管理员,无法U盘启动,BIOS有密码,真是全面加固啊。我上网的时候,经常来给我提示,好多网站都禁了。就怕群晖有什么漏洞,给我来个勒索病毒。那个nps的漏洞就是无法进shell,造不成什么影响。

这个SSL也有好多公司靠着赚钱的,互联网也是这样,压根就依附于域名,dns,服务器,运营商的链路。完全不在掌控之内。

关于nps,目前所知nps-auth-bypass的漏洞,我把阿里云上的修复了,但是由于种种原因换掉nps还是算了。

关于这个漏洞:

https://jireh.xyz/articles/2022/08/10/1660122191957.html

https://github.com/carr0t2/nps-auth-bypass

Comments

Post a Comment

Popular posts from this blog

openwrt设置定时任务-远程唤醒计算机

 -去年我写了一篇用华硕路由器定时启动的教程,最近换了新的openwrt做主路由。自然也要改改版了。 1.如果需要可以先去找找之前那个教程。 2.试验是否有命令可用。 openwrt 这个系统里面wake-on-line的命令不同。 usage: etherwake [-i <ifname>] [-p aa:bb:cc:dd[:ee:ff]] 00:11:22:33:44:55 3.显然是可以唤醒的,现在添加一下计划任务,有GUI界面,我就不麻烦自己了。 50 4 * * 0 etherwake 1C:39:47:CE:11:C9 #LenovoSunday# 55 3 * * 1 etherwake 1C:39:47:CE:11:C9 #LenovoMonday# 00 5 * * 2 etherwake 1C:39:47:CE:11:C9 #LenovoTuesday# 40 4 * * 3 etherwake 1C:39:47:CE:11:C9 #LenovoWednesday# 10 5 * * 4 etherwake 1C:39:47:CE:11:C9 #LenovoThursday# 33 3 * * 5 etherwake 1C:39:47:CE:11:C9 #LenovoFriday# 05 5 * * 6 etherwake 1C:39:47:CE:11:C9 #LenovoSaturday#  
Read more

海外回国代理分流

Image
前言: 之前,用的 ShadowsocksX-NG 连接 Shadowsocks 节点,在国外访问国内 Shadowsocks 足以,用不着配置WS+TLS那类的。用的加密方法是chacha20-ietf-poly1305。而且 Shadowsocks 老方便转发了, NPS 直接随便转,不用考虑域名问题。        但是,这个回国的分流,这些软件怎么都没设计好,导致我每次都要开全局代理。还有上篇文章提到的 Emby ,我这直连打不开。所以来解决下这个问题。 解决方法:突然想起以前有 QV2Ray ,只是已经停更了,不过用 Shadowsocks 肯定是可以的。看了下VLESS也是支持的。记得 QV2Ray 安装完了要配置内核的,这里就不写了。 1. 访问内网:Preference=》Connection Settings=》Bypass Private Address不要打勾☑️就行。 2. 回国分流:配置Advanced Route Settings就可,官方文档: https://www.v2ray.com/chapter_02/03_routing.html geosite:category-ads //包含了常见的广告域名。 geosite:category-ads-all //包含了常见的广告域名,以及广告提供商的域名。 geosite:cn //相当于 geolocation-cn 和 tld-cn 的合集。 geosite:google  //包含了 Google 旗下的所有域名。 geosite:facebook //包含了 Facebook 旗下的所有域名。 geosite:geolocation-cn //包含了常见的国内站点的域名。 geosite:geolocation-!cn //包含了常见的非国内站点的域名。 geosite:speedtest //包含了所有 Speedtest 所用的域名。 geosite:tld-cn: //包含了所有 .cn 和 .中国 结尾的域名。 这个是我的配置,可以点开来看。 Direct: geosite:google geosite:facebook geosite:geolocation-!cn geosite:category-scholar-!c...
Read more

从Blogger转移

 Blogger虽然挺好用,但是我现在打算用纯HTML+Javascript+Markdown来实现轻量级的Blog,基础的部分我已经弄好了,后续需要优化,导出Blogger的文章,所以Blogger可能以后不会更新,反正没人看,甚至删除掉。 https://sheng.pages.dev/ 这个计划将在2023年2月结束前完成。
Read more