代码之美

分类: 未分类

  • openssl生成CA和EV SSL证书

    #生成CA私钥
openssl genrsa -out ./private/cakey.pem 2048
#生成CA证书
openssl req -config openssl.cnf -x509 -new -nodes -key ./private/cakey.pem -days 3650 -out cacert.pem -extensions v3_ca
#转换证书格式,用于Windows上导入证书
openssl x509 -in cacert.pem -outform DER -out cacert.der

    以上是生成了一个符合EV SSL要求的CA证书
    命令不复杂,但是配置文件复杂,我把参数都配置到openssl.cnf中了,这个文件是从/etc/ssl/openssl.cnf复制过来,然后根据需要做对应的修改。下面只列出了需要修改的部分

    [ new_oids ]
# 自定义证书策略oid,EV SSL CA必须,oid的值是自定义的,全球唯一就行。
ev_policy = 2.16.840.1.113730.1.100
[req]
default_bits = 2048
distinguished_name = dn
# 禁止提示输入
prompt             = no
req_extensions     = v3_req
x509_extensions    = v3_ca
[dn]
# 这部分根据需要修改
C="CN"
ST="Shanghai"
L="Shanghai"
O="hetao"
OU="squid"
emailAddress="tao@hetao.me"
# 如果域名证书这一项是域名,对于CA证书可以随便填
CN="Squid CA"
[ v3_req ]

# Extensions to add to a certificate request
# 这个区段是签发客户证书用的
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
[ v3_ca ]

# Extensions for a typical CA
# PKIX recommendation.
# subjectKeyIdentifier,authorityKeyIdentifier,basicConstraints,keyUsage这几项是任何CA证书都必须的,尤其是basicConstraints,keyUsage。如果没有basicConstraints = critical, CA:true在Firefox上会不认这个CA证书(其它浏览器可以)
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign, keyEncipherment
# 这一项Root CA非必须,中间CA需要
extendedKeyUsage = serverAuth, clientAuth, codeSigning,emailProtection
#DV SSL证书: CA/B Forum OID:2.23.140.1.2.1
#IV SSL证书: CA/B Forum OID:2.23.140.1.2.3
#OV SSL证书: CA/B Forum OID:2.23.140.1.2.2
#EV SSL证书: CA/B Forum OID:2.23.140.1.1
#这4个oid是客户域名证书需要的,对于EV SSL CA只需要添加ev_policy这个自定义的oid就行了(非EV SSL CA不需要)。
certificatePolicies = 2.23.140.1.1,2.23.140.1.2.1,2.23.140.1.2.2,2.23.140.1.2.3,@polsect
policyConstraints = requireExplicitPolicy:3
# 证书吊销查询,EV SSL CA必须,非EV SSL CA不需要
authorityInfoAccess = OCSP;URI:https://ocsp.hetao.me/

[polsect]
# 经用自定义oid
policyIdentifier=2.16.840.1.113730.1.100
CPS.1 = "https://cer.hetao.me"
CPS.2 = "https://ca.hetao.me"
userNotice.1 = @notice

[notice]
explicitText = "UTF8:squid notice"
organization = "hetao"
noticeNumbers = 1, 2, 3, 4

    以上生成的CA证书我是在squid里面用的,当然用这个CA手动签发域名证书也是可以的。因为squid只需要CA证书就行,关于签发域名证书方法就不赘述了。
    参考:
    https://vircloud.net/operations/sign-ip-crt.html
    https://vircloud.net/exp/openssl-ev.html
    https://blog.csdn.net/sinat_38816924/article/details/124233402

    Views: 18

  • squid配置SSL Bump缓存HTTPS流量

    默认情况下squid是不能解密https流量的,也就不能缓存https流量。但配置SSL Bump功能可以实现对HTTPS流量进行缓存。

    生成证书

    openssl生成CA和EV SSL证书


    参考这篇文章

    配置squid

    http_port 3128 ssl-bump tls-cert=/opt/web/data/squid/ssl/cert1/squid_ca.pem tls-key=/opt/web/data/squid/ssl/cert1/squid_ca.key dynamic_cert_mem_cache_size=128MB generate-host-certificates=on
sslproxy_cert_error allow all # 即使原始服务器证书错误仍然进行连接
ssl_bump stare all #所有域名开启解密,默认配置是不解密的

    也可以用ssl_bump bump all配置与stare的区别是bump生成的证书除了域名外没有其它扩展字段,比如国家,单位什么的,stare则复制了原始证书中的甩的字段。
    完了以后重启Squid发现系统自带的squid不支持ssl-bump,然后docker中的squid也不支持ssl-bump,然后只能自己编译了。

    squid编译

    • 源码下载

      http://www.squid-cache.org/Versions/v6/

    • 安装依懒包
      apt-get update && apt-get install -y build-essential libssl-dev openssl libxml2-dev libexpat1-dev libsasl2-dev libpam0g-dev libkrb5-dev pkg-config apache2-utils net-tools libecap3-dev libldap2-dev
    • 编译
    ./configure \
--prefix /usr \
--enable-arp-acl \
--enable-linux-netfilter \
--enable-linux-tproxy \
--enable-async-io=100 \
--enable-err-language="Simplify_Chinese" \
--enable-poll \
--enable-gnuregex \
--build=x86_64-linux-gnu \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--enable-build-info="Ubuntu linux" \
--disable-translation \
--with-filedescriptors=65536 \
--with-large-files \
--with-openssl \
--enable-ssl \
--enable-ssl-crtd \
--enable-inline \
--disable-arch-native \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,PAM,POP3,RADIUS,SASL,SMB \
--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake,SMB_LM \
--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,SQL_session,unix_group,wbinfo_group \
--enable-security-cert-validators=fake \
--enable-storeid-rewrite-helpers=file \
--enable-url-rewrite-helpers=fake \
--enable-eui \
--enable-esi \
--enable-icmp \
--enable-zph-qos \
--enable-ecap \
--enable-underscore
make -j4 && make insstall

    启动之前需要执行这条命令初始化证书数据库,squid自己执行的security_file_certgen会报错,初始化后squid就不需要再执行了。
    security_file_certgen -c -s /usr/var/cache/squid/ssl_db -M 128
    或者配置

    “`sslcrtd_program /usr/libexec/security_file_certgen -s /usr/var/cache/squid/ssl_db -M 128MB“`
    在/usr/var/cache/squid/ssl_db/certs/目录下可以看到所有生成的证书
    #添加/usr/libexec到环境变量
    “`export PATH=$PATH:/root/.local/bin:/usr/libexec“`

    参考:

    如何熟悉Squid的SSL碰撞?

    Views: 17

  • pve安装windows 7

    • 创建虚拟机




    • 安装补丁
      如果不安装基本的补丁的话驱动和自动更新都不能用
      依次安装以下补丁:
      windows6.1-kb4474419
      Windows6.1-KB3135445
      windows6.1-kb3125574
      Windows6.1-KB3102810
      Windows6.1-KB3020369
      windows6.1-kb2533552
      安装好后再执行
      LegacyUpdate-1.9.exe
      https://github.com/LegacyUpdate/LegacyUpdate
      然后打开系统更新进行更新
    • 激活
      https://github.com/abbodi1406/KMS_VL_ALL_AIO/releases
      KMS_VL_ALL进行激活
    • 安装驱动
      运行virtio-win-gt-x64.msi提示不支持windows 8以下的系统,使用低版本的qemu guest tools直接没有virtio-win-gt-x64.msi这个文件了,索性用最新版本一个一个装驱动。

      全部装完后还有一个设备找不到驱动
      下载
      windows6.x-hypervintegrationservices-x64.cab
      https://support.microsoft.com/en-gb/topic/hyper-v-integration-components-update-for-windows-virtual-machines-that-are-running-on-a-windows-10-or-windows-server-2016-based-host-bd22f4f6-feec-89f4-8a1d-405076ff4222
      然后执行
      Dism /online /Add-Package /PackagePath:C:\Users\Administrator\Desktop\windows6.x-hypervintegrationservices-x64.cab
    • 安装qemu guest agent
      下载101.2.0版本
      https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/archive-qemu-ga/qemu-ga-win-101.2.0-1.el7ev/
      然后直接安装即可,如果安装不上可以用这里的方法
      https://forum.proxmox.com/threads/qemu-guest-fails-to-install.86030/page-2#post-628055

    Views: 4

  • conan中开启Package Revisions

    Package Revisions的目的是为了让上传的二进制包不会互相覆盖,然后用conan.lock对二进制包版本(PRev)进行锁定实现构建的稳定性。这导致了一些行为上的变化,需要特别注意。

    Package Revisions字面意思是包修订,这里指的是同一个包不同的二进制rev可以同时存储在conan仓库中。

    配置

    • 方法1

    conan config set general.revisions_enabled=1
    conan config set general.full_transitive_package_id=1

    • 方法2

    在conan.conf的general段中配置
    revisions_enabled=1
    full_transitive_package_id=1

    • 方法3

    配置环境变量
    CONAN_REVISIONS_ENABLED=1

    说明

    • full_transitive_package_id=1是conan2中的默认行为,是官方推荐的配置-
    • 当rev版本不同时不会被覆盖
    • 包的package id由包名,版本号,settings,options,requires共同决定
    • 包的PRev由包的内容hash组成
    • 包的RRev由conanfile.py的hash组成
    • 在conan2中Package Revisions是默认开启的,不用另外配置
    • jfrog artifactory版本大于等于6.9
    • conan客户端版本大于等于1.13
    • artifactory中revision特性是默认开启的(不可关闭),conan2中也是默认开启的(不可关闭),而且服务端与客户端必须一致(同时开启同时关闭)
    • 当conanfile.py改变时(RREV改变)或源代码改变时(如果需要上传源代码时)所有不同架构二进制包要重新编译,不然conan会找不到未重编译架构的二进制包,这是因为默认conan只查找最后一次的RREV下的二进制包
      比如修改版本号,requires等都会修改conanfile.py文件,这时候就需要重新上传所有的二进制包。另外不同的换行符格式,不同的空白符号也会导致Conanfile.py文件的hash不一样(hash就是RREV)。
      英文原话:
      If you generate and upload N binary packages for a recipe with a given revision, then if you modify the recipe, and thus the recipe revision, you need to build and upload N new binaries matching that new recipe revision.
      如果不想重新上传所有二进制包,则需要明确指定所要引用的RRev版本,而不是使用最新的RRev如:
      self.requires("hello/1.0#2475ece651f666f42c155623228c75d2")
      https://docs.conan.io/1/versioning/revisions.html

    查看conan仓库中的包(conan2)

    • 列出所有RRev
      conan list hello/1.1#* -r conan
    • 列出指定RRev的二进制包
      conan list hello/1.1#2d62851f23cc70eb930774045906cd5d:* -r conan
    • 列出最新RRev的二进制包
      conan list hello/1.1:* -r conan

    Views: 9

  • ubuntu on arm install qt creator

    qt安装器下载地址
    https://download.qt.io/archive/online_installers/
    https://mirrors.sau.edu.cn/qt/archive/online_installers/
    https://download.qt.io/official_releases/online_installers/
    curl https://mirrors.sau.edu.cn/qt/official_releases/qtcreator/13.0/13.0.1/qt-creator-opensource-linux-arm64-13.0.1.run –outputfile qt-creator-opensource-linux-arm64-13.0.1.run
    curl https://download.qt.io/official_releases/online_installers/qt-unified-linux-arm64-online.run -o qt-unified-linux-arm64-online.run
    apt install libdouble-conversion3 libxcb-cursor0 libxkbcommon-x11-dev
    qt creator是IDE,qt-unified是SDK

    Views: 2

  • 关于Go/OpenSSL对ECH的支持

    go stdlib中已经计划在go1.23中支持各户端的ECH,但是服务端的ECH支持要等到go1.24中,界时caddy也将能支持ECH,这样Caddy将成为第一个支持ECH功能的HTTP服务端。这个时间点大概是2025年2月,这个时候会发布go1.24。
    另外openssl 3.4将在2024年10月31日发布,openssl 3.4提供了QUIC的支持,界时nginx将能获取正式的HTTP/3功能(现在是实验性的支持)。
    openssl也正在合并ECH支持的PR,预计会合并到OpenSSL3.5版本中,OpenSSL3.5将会在2025年4月发布。也就是说在2025年上半年go标准库和openssl都会支持ECH,到时候nginx支持ECH应该也会很快。
    这个commit添加了server端的ech支持
    https://github.com/golang/go/commit/f69711434ae0ab383fb6088000736af9bd5638f4
    https://github.com/golang/go/milestone/212?closed=1
    https://github.com/golang/go/issues/32936 (服务端支持的讨论,已经列入proposal)
    https://github.com/golang/go/issues/68500
    https://github.com/orgs/golang/projects/17 (所有proposal)
    https://github.com/orgs/golang/projects/17/views/1?filterQuery=Encrypted+Client+Hello
    https://github.com/golang/go/issues/63369
    https://github.com/openssl/project/issues/52
    https://github.com/openssl/openssl/pull/22938
    https://github.com/openssl/openssl/milestone/48
    https://trac.nginx.org/nginx/milestone/nginx-1.27
    https://github.com/nginx/nginx/issues/266 nginx关于ech的issue
    https://github.com/yaroslavros/nginx/

    Views: 4

  • 配置npm仓库镜像

    npm config set registry http://mirrors.hetao.me/npm-registry/

    Views: 13

  • linux查看监听IP端口

    netstat -lpn -4 -6

    Views: 0

  • Python数据等比连续抽样算法

    numpy里面自带了几种抽样算法,但都是随机抽样,我这里要做的是等比连续抽样,就是对原始数据从前到后按固定的间隔固定的顺序去抽样数据。
    方法一:
    把列表分成n个子组,从每个子组中再抽取一个数作为样本

    def evenly_divide_list(lst, num_groups):
    """按顺序分隔列表为指定数量的子组
    Args:
        lst (list): 列表
        num_groups (int): 分隔次数
    Returns:
        list: 返回子列表的集合
    """
    quotient, remainder = divmod(len(lst), num_groups)
    group_sizes = [quotient] * num_groups
    for i in range(remainder):
        group_sizes[i] += 1
    groups = []
    i = 0
    for size in group_sizes:
        groups.append(lst[i:i + size])
        i += size
    return groups
data = [1, 2, 4, 5]
count = 3
sample_group = evenly_divide_list(data, count)
for i in range(len(sample_group)):
        print(sample_group[i][0])

    方法二:
    对列表索引分成固定的间隔然后进行进行四舍五入

    def extract_elements(lst, num_elements):
    """按顺序均匀抽样元素
    Args:
        lst (list): 列表
        num_groups (int): 抽样次数
    Returns:
        list: 返回抽样元素的集合
    """
    if num_elements > len(lst):
        return lst
    step = len(lst) / num_elements
    return [lst[round(i * step)] for i in range(num_elements)]
data = [1, 2, 4, 5]
count = 3
sample_group = extract_elements(data, count)
for i in range(len(sample_group)):
        print(sample_group[i])

    第一种方法是把不能整分的元素全部加到最前面几个组中,这样前面的组就比后面的组抽样间隔更大
    第二种方法则是把不能等分的元素按四舍五入法分散在不同的段中,这种方法显然抽样更均匀,而且方法一多了一个数组切分过程,算法复杂度更大,所以推荐用方法二。

    Views: 2

  • 正态分布及Python用法

    方差和标准差都是用来反映样本差异大小的
    方差的计算公式:

    标准差的计算公式:
    标准差就是方差的开平方,求方差的目的就是为了得到标准差,方差是求标准差过程的中间值。数学符号是:σ
    正态分布的计算公式:

    其中只有两个变量,一个是中间值,也就是总体的平均值,样本均数,总值均值,用mean表示,数学符号是μ。另一个值就是方差(这里用方差不用标准差应该只是计算方便),数学符号是

    Python用numpy生成符合正态分布的随机数:
    random.normal(loc=0.0, scale=1.0, size=None)
    loc就是中间值,scale是标准差,szie是数据结构,如果整数就是生成几条数据,如果元组就是就数组的维数

    Views: 27