贰壹 – Mr. 21

Minisforum N33 AUTO POWER ON

前阵子花了300元淘了一台N3300的迷你工控机，想着这么便宜的机器，给媳妇放在办公室连手机远程打卡不要太方便哟~
但是发现这家伙的BIOS极其简陋，没法设置来电自启……

问了卖家，表示没有这种功能，闻所未闻……我觉得他真是太菜了

Google了一下，找到了官方的海外论坛，人家主动放出了来电自启的EC控制器固件，刷入即可，亲测有效。

下载链接：
http://www.mediafire.com/file/ov53ogs5v5foj0q/N33_auto_power_on.rar/file

操作方法：

找一个空白或者可以空白的U盘，格式化为NTFS格式
将上面下载的压缩包内的文件，直接放到U盘的根目录
小机器通电后，出现MINIS FORUM的LOGO时，迅速连按F7，直到出现BOOT MENU
选择你的小U盘，引导
出现 Shell> 提示符后，输入 fs，多按几次Tab键，看看哪个才是你的U盘
type FEC64.NSH
eFuitX64 /u K8B_ECO911-autopoweron.bin /faildelay
等它刷完，正常关机
拔电重插试试呗

-EOF-

Raspberry Pi OS 中文化设置

最近从咸鱼入手了一块树莓派4B（4GB，v1.2），到手后验机就顺手刷了官方推荐的Raspberry Pi OS with desktop，启动过程……极其缓慢，当然可能是卡的原因。

随手记一下设置中文环境。

因为向导不太好用，虽然区域码设置为zh_CN.UTF-8，但是我勾上了显示为英文。
然后通过 sudo apt update 更新软件源
之后安装字体 sudo apt install *fonts-wqy* -y
再安装输入法 sudo apt install scim-pinyin -y
最后修改一下系统配置
nano /etc/default/locale
内容调整为
LC_ALL=zh_CN.UTF-8
LANG=zh_CN.UTF-8
同时注释 #LANGUAGE=en_US.UTF-8
之后重启，系统应该就变成中文环境了。

随手记Debian 8升级10

这个博客的VPS买的是Vultr的2.5刀实例……
对，就是那个绝版的2.5刀还带IPv4的Plan，512M/20G/500G

总的来说，对于这样一个小博客一切都够用，不过系统是当初预装的Debian 8/Jessis，已经失去支持了……所以今天有点时间就顺手把系统升级了，顺便把PHP升级到7.3以消除WP后台的那个insecure version的提示……
因为是随手记，所以都比较简单，请勿怪。

升级Debian当前版本到Stable版本

这里我采用了偷懒的办法，因为这个vps上只跑了博客，所以直接把版本拉到stable（当前稳定版），而不是选择具体的版本。

root@blog:~# sed -i 's/jessie/stable/g' /etc/apt/sources.list #直接替换软件源里面设置的系统版本为stable
root@blog:~# apt update
root@blog:~# apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 112695A0E562B32A 648ACFD622F3D138 DCC9EFBF77E11517 #导入几个报错的key
root@blog:~# apt upgrade -y && apt dist-upgrade -y
root@blog:~# reboot
root@blog:~# lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 10 (buster)
Release:	10
Codename:	buster

root@blog:~# sed -i 's/jessie/stable/g' /etc/apt/sources.list #直接替换软件源里面设置的系统版本为stable

root@blog:~# apt update

root@blog:~# apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 112695A0E562B32A 648ACFD622F3D138 DCC9EFBF77E11517 #导入几个报错的key

root@blog:~# apt upgrade -y && apt dist-upgrade -y

root@blog:~# reboot

root@blog:~# lsb_release -a

No LSB modules are available.

Distributor ID: Debian

Description: Debian GNU/Linux 10 (buster)

Release: 10

Codename: buster

简单说，就是大胆搞，搞完就重启，运气好没出岔子，哈哈哈哈哈。

升级PHP7.0到7.3

因为我的web server是caddy v1，所以php是以php-fpm的方式运行的，升级前跑的是php7.0，我发现7.3可以独立安装，于是没动7.0，直接装了新的7.3。

root@blog:~# apt install php7.3 php7.3-cli php7.3-common php7.3-fpm php7.3-gd php7.3-json php7.3-mbstring php7.3-mysql php7.3-opcache php7.3-readline

1	root@blog:~# apt install php7.3 php7.3-cli php7.3-common php7.3-fpm php7.3-gd php7.3-json php7.3-mbstring php7.3-mysql php7.3-opcache php7.3-readline

装好后php7.3-fpm直接就跑起来了……真是方便快捷，当年我用AMD Duron800玩Gentoo的时候，世界真的很混沌……
之后的话直接修改caddy的站点配置，把里面php7.0-fpm的路径直接修改为7.3的就好了……就是直接改个数字。
就是把

fastcgi / /run/php/php7.0-fpm.sock php

1	fastcgi / /run/php/php7.0-fpm.sock php

改成

fastcgi / /run/php/php7.3-fpm.sock php

1	fastcgi / /run/php/php7.3-fpm.sock php

之后重启一下caddy，并停用php7.0-fpm。

root@blog:~# systemctl restart caddy
root@blog:~# systemctl stop php7.0-fpm
root@blog:~# systemctl mask php7.0-fpm

root@blog:~# systemctl restart caddy

root@blog:~# systemctl stop php7.0-fpm

root@blog:~# systemctl mask php7.0-fpm

数据库自动从mysql 5.8升级到了mariadb 10.3。

结果发现WP各种报错……还好后台能进，把插件全禁用了挨个检查，发现Crayon Syntax Highlighter停止维护了，于是替换成Urvanov Syntax Highlighter

突然发现好多插件都不能用了……
唉，好多年都没正经用WP了，好像现在外面的世界流行Typecho？回头再试试。

Nginx换用Caddy

由于无聊买的50vz的NAT OVZ机器被TCP阻断，也是研究怎么通过UDP来瞎搞，但是发现V2Ray w/ mKCP会有断流的情况，虽然我极度怀疑是运营商搞的鬼，但一搜却发现有人做内网测试也是会断流……即使我升级到最新的4.2也然并卵，不过这个过程中我发现有人用Caddy搭建ws代理……于是手痒的我也把Nginx换成Caddy。

现在大概记一下，
首先是去 Caddy获取一句话安装命令，大概类似这样：

$ curl https://getcaddy.com | bash -s personal hook.service,http.cgi,http.geoip

1	$ curl https://getcaddy.com \| bash -s personal hook.service,http.cgi,http.geoip

然后在shell里面执行即可，简单的通过执行 caddy -version 就能看是否装上了；
之后根据各类教程和官方文档，建两个必须的目录：

$ mkdir /etc/caddy
$ touch /etc/caddy/Caddyfile
$ touch /var/log/caddy/caddy.log
$ mkdir /etc/ssl/caddy
$ mkdir /var/www
$ mkdir /var/log/caddy
$ chown www-data:www-data /etc/ssl/caddy -R
$ chown www-data:www-data /var/log/caddy -R
$ chown www-data:www-data /var/www -R

$ mkdir /etc/caddy

$ touch /etc/caddy/Caddyfile

$ touch /var/log/caddy/caddy.log

$ mkdir /etc/ssl/caddy

$ mkdir /var/www

$ mkdir /var/log/caddy

$ chown www-data:www-data /etc/ssl/caddy -R

$ chown www-data:www-data /var/log/caddy -R

$ chown www-data:www-data /var/www -R

写了一个很简单的配置，大概如下：

mr21.cc {
    tls email@admin.com
    root /path/to/21
    gzip
    fastcgi / /run/php/php7.0-fpm.sock php
    rewrite {
        if {path} not_match ^\/wp-admin
        to {path} {path}/ /index.php?_url={uri}
    }
}

mr21.cc {

tls email@admin.com

root /path/to/21

gzip

fastcgi / /run/php/php7.0-fpm.sock php

rewrite {

if {path} not_match ^\/wp-admin

to {path} {path}/ /index.php?_url={uri}

}

之后安装systemctl控制脚本：

$ curl -s https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service -o /lib/systemd/system/caddy.service
$ sed -i "s/;CapabilityBoundingSet/CapabilityBoundingSet/g" /lib/systemd/system/caddy.service
$ sed -i "s/;AmbientCapabilities/AmbientCapabilities/g" /lib/systemd/system/caddy.service
$ systemctl daemon-reload
$ systemctl enable caddy
$ systemctl start caddy

$ curl -s https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service -o /lib/systemd/system/caddy.service

$ sed -i "s/;CapabilityBoundingSet/CapabilityBoundingSet/g" /lib/systemd/system/caddy.service

$ sed -i "s/;AmbientCapabilities/AmbientCapabilities/g" /lib/systemd/system/caddy.service

$ systemctl daemon-reload

$ systemctl enable caddy

$ systemctl start caddy

最后打开WP，登陆后台，发现古腾堡（Gutenberg）插件有报错：

TypeError: Cannot read property 'show_ui' of undefined
    at https://mr21.cc/wp-content/plugins/gutenberg/build/editor/index.js?ver=1541761675:50:249655
    at i (https://mr21.cc/wp-content/plugins/gutenberg/vendor/lodash.min.59550321.js:6:91)
    at An.filter (https://mr21.cc/wp-content/plugins/gutenberg/vendor/lodash.min.59550321.js:99:338)
    at https://mr21.cc/wp-content/plugins/gutenberg/build/editor/index.js?ver=1541761675:50:249620
    at yh (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:95:430)
    at lg (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:120:88)
    at mg (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:120:386)
    at gc (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:127:202)
    at vb (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:126:230)
    at ub (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:126:65)

TypeError: Cannot read property 'show_ui' of undefined

at https://mr21.cc/wp-content/plugins/gutenberg/build/editor/index.js?ver=1541761675:50:249655

at i (https://mr21.cc/wp-content/plugins/gutenberg/vendor/lodash.min.59550321.js:6:91)

at An.filter (https://mr21.cc/wp-content/plugins/gutenberg/vendor/lodash.min.59550321.js:99:338)

at https://mr21.cc/wp-content/plugins/gutenberg/build/editor/index.js?ver=1541761675:50:249620

at yh (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:95:430)

at lg (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:120:88)

at mg (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:120:386)

at gc (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:127:202)

at vb (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:126:230)

at ub (https://mr21.cc/wp-content/plugins/gutenberg/vendor/react-dom.min.82e21c65.js:126:65)

一番搜索后找到解决方法，将Caddy官方建议配置中的：

    rewrite {
        if {path} not_match ^\/wp-admin
        to {path} {path}/ /index.php?_url={uri}
    }

rewrite {

if {path} not_match ^\/wp-admin

to {path} {path}/ /index.php?_url={uri}

}

换成

    rewrite { 
        if {path} not_match ^\/wp-admin 
        to {path} {path}/ /index.php?{query} 
    }

rewrite {

if {path} not_match ^\/wp-admin

to {path} {path}/ /index.php?{query}

}

就可以了。

最后，既然是HTTPS站点，就顺便跑了一下SSL Labs的测试，发现评分只有A，于是又搜了一下，找到Caddy社区的一篇问答解决，评分上到A+，只需要在站点配置里面加一句：

header / Strict-Transport-Security "max-age=31536000"

1	header / Strict-Transport-Security "max-age=31536000"

这篇就是用古腾堡写的，感觉还是不太习惯用可视化编辑器，虽然说比自己写各种标签方便很多，但是还是觉得……少了点啥……哈哈😂

Update: May 10th, 2019

鉴于我自己设置了BWH的季付GIA机器到期不续费然后没有及时备份配置，所以突然间梯子就坏了……哈哈……真是尴尬

不过因为前阵子BWH补货入了一台年付GIA的机器正好派上用场，上次在老机器上搭的WS+v2ray的方式，这次也依样画葫芦，但是发现，用root排错完成后能运行的Caddy，通过systemctl就不行了，我当然想到了是1024端口以下的权限问题，但是为什么要专门Update一下呢？因为这个设置比较隐蔽……

# nano /etc/systemd/system/caddy.service

1	# nano /etc/systemd/system/caddy.service

把下面两句配置前的「分号」去掉后保存，再启动Caddy就可以顺利绑定1024以下端口了。

;CapabilityBoundingSet=CAP_NET_BIND_SERVICE
;AmbientCapabilities=CAP_NET_BIND_SERVICE

1 2	;CapabilityBoundingSet=CAP_NET_BIND_SERVICE ;AmbientCapabilities=CAP_NET_BIND_SERVICE

之所以不专门Po个文，主要是为了隐蔽……

——————–
引用参考/Reference：

怡红院落: 使用 CADDY 代替 NGINX
NightFarmer’s Blog: 使用新一代的Web服务器Caddy代替Nginx
Diamond-Blog: 使用 Caddy 替代 Nginx，全站升级 https，配置更加简单
Gutenberg@Github: issue #8802
Caddy FORUM: Anyone archived A+ rating on SSL Labs?
扉启博客: v2ray抗封锁最优配置
V2Ray 配置指南: WebSocket+TLS+Web

公共 IPv6 DNS 服务器记录

近期发现国内三家运营商在数据网络都开始上线IPv6了，也就说每个手机现在都能获取一个公网IPv6地址……想想还是觉得那些无限流量卡是不是开始可以有点什么玩法了……😂😂

不管怎么说，接下来IPv6的公共DNS肯定需要备一些的，在这里看到有收集的，于是我只摘录几个好记的，完整的请点来源链接查看。

Google Public IPv6 DNS

2001:4860:4860::8888
2001:4860:4860::8844

OpenDNS

2620:0:ccc::2
2620:0:ccd::2

下一代互联网北京研究中心
Yeti DNS Project 注册的 IPv6 DNS 服务器

240C::6666
240C::6644

引用参考/Reference：

逍遥峡谷: 免费公共 IPv6 DNS 服务器 IP 大全

Win10安装Office2013/2016提示错误0x80131049

最近在公司搞机，集采的Dell Optiplex 3050台式机预装Win10，系统解包后会自动装一大堆垃圾App……虽然并没有什么好办法阻止，但是我会放着两天等它自己折腾完，然后再慢慢地把自动下载的全删掉……理论上这么做应该是没有任何问题的，但偏偏就出事儿了……

似乎品牌机的Win10都会自动下载安装“Microsoft Office Desktop App”和“我的Office”两个App，然后卸掉之后，安装Office2013/2016就一定会遇到

1: 1935 2:{00F4BE……} 3: 0x80131049 4: |AssemblyChachItem
5: Commit 6: Policy.14.0.Microsoft.Office.Interop.Word, fileVersion=”15.0.4420.1017″,
version=”15.0.0.00000″, culture=”neutral”,
PublicKeyToken=”71E9CE….”, processorArchitecture=”MSIL”

或

1: 1935 2: {3194323D-C74C-40E0-A864-B677608E5D6E} 3: 0x80131049 4:
IAssemblyCacheItem 5: Commit 6: Policy.14.0.Microsoft.Vbe.Interop,
fileversion=”15.0.4420.1017″,version=”15.0.0.00000000″,culture=”neutral”,
publicKeyToken=”71E9BCE111E9429C”,processorArchitecture=”MSIL”

的错误提示，而Microsoft Technet的MVP除了会让你重装之外，P用都没有。

之前我是通过重置系统来解决的，后来一批来了六台机器，WTF！实在是没办法，搜到了这个blog里面写的办法，解决了……

方法如下：

使用o15-ctrremove清理Office App的遗留残渣
http://go.microsoft.com/?linkid=9815935
使用NetFxRepairTool修复.NET环境
https://www.microsoft.com/en-us/download/details.aspx?id=30135
然后重新开始装Office即可……

特此记录一下，向作者Minglin致敬。

升级Let’s Encrypt通配符证书

喜大普奔，今天Let’s Encrypt开始支持通配符域名证书了（Wildcard，俗称野卡），第一时间升级了一下。

首先，获取acme.sh

root@local:~# curl  https://get.acme.sh | sh

1	root@local:~# curl https://get.acme.sh \| sh

或升级acme.sh最新版

root@local:~# acme.sh --upgrade

1	root@local:~# acme.sh --upgrade

然后申请新的证书

root@local:~# acme.sh --issue --dns -d mydomain.com -d *.mydomain.com\
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

1 2	root@local:~# acme.sh --issue --dns -d mydomain.com -d *.mydomain.com\ --yes-I-know-dns-manual-mode-enough-go-ahead-please

之后会出来，提示你设置TXT解析记录，比如我的是

[Wed Mar 14 09:22:39 CST 2018] Multi domain='DNS:mr21.cc,DNS:*.mr21.cc'
[Wed Mar 14 09:22:39 CST 2018] Getting domain auth token for each domain
[Wed Mar 14 09:22:40 CST 2018] Getting webroot for domain='mr21.cc'
[Wed Mar 14 09:22:40 CST 2018] Getting webroot for domain='*.mr21.cc'
[Wed Mar 14 09:22:40 CST 2018] Add the following TXT record:
[Wed Mar 14 09:22:40 CST 2018] Domain: '_acme-challenge.mr21.cc'
[Wed Mar 14 09:22:40 CST 2018] TXT value: 'qL-gleL2aMAhBewfQKkv5FyaM4gfiaIuIqozXDhst54'
[Wed Mar 14 09:22:40 CST 2018] Please be aware that you prepend _acme-challenge. before your domain
[Wed Mar 14 09:22:40 CST 2018] so the resulting subdomain will be: _acme-challenge.mr21.cc
[Wed Mar 14 09:22:40 CST 2018] Add the following TXT record:
[Wed Mar 14 09:22:40 CST 2018] Domain: '_acme-challenge.mr21.cc'
[Wed Mar 14 09:22:40 CST 2018] TXT value: 'YWFQ6mAe-wAQPP30G5R25KC29MC8iIFXD9N1b-svfbg'
[Wed Mar 14 09:22:40 CST 2018] Please be aware that you prepend _acme-challenge. before your domain
[Wed Mar 14 09:22:40 CST 2018] so the resulting subdomain will be: _acme-challenge.mr21.cc
[Wed Mar 14 09:22:40 CST 2018] Please add the TXT records to the domains, and retry again.
[Wed Mar 14 09:22:40 CST 2018] Please add '--debug' or '--log' to check more details.
[Wed Mar 14 09:22:40 CST 2018] See: https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

[Wed Mar 14 09:22:39 CST 2018] Multi domain='DNS:mr21.cc,DNS:*.mr21.cc'

[Wed Mar 14 09:22:39 CST 2018] Getting domain auth token for each domain

[Wed Mar 14 09:22:40 CST 2018] Getting webroot for domain='mr21.cc'

[Wed Mar 14 09:22:40 CST 2018] Getting webroot for domain='*.mr21.cc'

[Wed Mar 14 09:22:40 CST 2018] Add the following TXT record:

[Wed Mar 14 09:22:40 CST 2018] Domain: '_acme-challenge.mr21.cc'

[Wed Mar 14 09:22:40 CST 2018] TXT value: 'qL-gleL2aMAhBewfQKkv5FyaM4gfiaIuIqozXDhst54'

[Wed Mar 14 09:22:40 CST 2018] Please be aware that you prepend _acme-challenge. before your domain

[Wed Mar 14 09:22:40 CST 2018] so the resulting subdomain will be: _acme-challenge.mr21.cc

[Wed Mar 14 09:22:40 CST 2018] Add the following TXT record:

[Wed Mar 14 09:22:40 CST 2018] Domain: '_acme-challenge.mr21.cc'

[Wed Mar 14 09:22:40 CST 2018] TXT value: 'YWFQ6mAe-wAQPP30G5R25KC29MC8iIFXD9N1b-svfbg'

[Wed Mar 14 09:22:40 CST 2018] Please be aware that you prepend _acme-challenge. before your domain

[Wed Mar 14 09:22:40 CST 2018] so the resulting subdomain will be: _acme-challenge.mr21.cc

[Wed Mar 14 09:22:40 CST 2018] Please add the TXT records to the domains, and retry again.

[Wed Mar 14 09:22:40 CST 2018] Please add '--debug' or '--log' to check more details.

[Wed Mar 14 09:22:40 CST 2018] See: https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

那么根据提示，去DNS服务商那边，设置两个TXT记录，之后再运行

root@local:~# acme.sh --renew -d mydomain.com -d *.mydomain.com

1	root@local:~# acme.sh --renew -d mydomain.com -d *.mydomain.com

会有如下提示

[Wed Mar 14 09:24:53 CST 2018] Renew: 'mr21.cc'
[Wed Mar 14 09:24:54 CST 2018] Multi domain='DNS:mr21.cc,DNS:*.mr21.cc'
[Wed Mar 14 09:24:54 CST 2018] Getting domain auth token for each domain
[Wed Mar 14 09:24:54 CST 2018] Verifying:mr21.cc
[Wed Mar 14 09:24:56 CST 2018] Success
[Wed Mar 14 09:24:56 CST 2018] Verifying:*.mr21.cc
[Wed Mar 14 09:24:59 CST 2018] Success
[Wed Mar 14 09:24:59 CST 2018] Verify finished, start to sign.
[Wed Mar 14 09:25:00 CST 2018] Cert success.
-----BEGIN CERTIFICATE-----
我是一大堆证书字符
-----END CERTIFICATE-----
[Wed Mar 14 09:25:00 CST 2018] Your cert is in  /root/.acme.sh/mr21.cc/mr21.cc.cer
[Wed Mar 14 09:25:00 CST 2018] Your cert key is in  /root/.acme.sh/mr21.cc/mr21.cc.key
[Wed Mar 14 09:25:00 CST 2018] The intermediate CA cert is in  /root/.acme.sh/mr21.cc/ca.cer
[Wed Mar 14 09:25:00 CST 2018] And the full chain certs is there:  /root/.acme.sh/mr21.cc/fullchain.cer
[Wed Mar 14 09:25:00 CST 2018] It seems that you are using dns manual mode. please take care: The dns manual mode can not renew automatically, you must issue it again manually. You'd better use the other modes instead.
[Wed Mar 14 09:25:00 CST 2018] Call hook error.

[Wed Mar 14 09:24:53 CST 2018] Renew: 'mr21.cc'

[Wed Mar 14 09:24:54 CST 2018] Multi domain='DNS:mr21.cc,DNS:*.mr21.cc'

[Wed Mar 14 09:24:54 CST 2018] Getting domain auth token for each domain

[Wed Mar 14 09:24:54 CST 2018] Verifying:mr21.cc

[Wed Mar 14 09:24:56 CST 2018] Success

[Wed Mar 14 09:24:56 CST 2018] Verifying:*.mr21.cc

[Wed Mar 14 09:24:59 CST 2018] Success

[Wed Mar 14 09:24:59 CST 2018] Verify finished, start to sign.

[Wed Mar 14 09:25:00 CST 2018] Cert success.

-----BEGIN CERTIFICATE-----

我是一大堆证书字符

-----END CERTIFICATE-----

[Wed Mar 14 09:25:00 CST 2018] Your cert is in /root/.acme.sh/mr21.cc/mr21.cc.cer

[Wed Mar 14 09:25:00 CST 2018] Your cert key is in /root/.acme.sh/mr21.cc/mr21.cc.key

[Wed Mar 14 09:25:00 CST 2018] The intermediate CA cert is in /root/.acme.sh/mr21.cc/ca.cer

[Wed Mar 14 09:25:00 CST 2018] And the full chain certs is there: /root/.acme.sh/mr21.cc/fullchain.cer

[Wed Mar 14 09:25:00 CST 2018] It seems that you are using dns manual mode. please take care: The dns manual mode can not renew automatically, you must issue it again manually. You'd better use the other modes instead.

[Wed Mar 14 09:25:00 CST 2018] Call hook error.

按照官方教程的建议，是通过以下方式复制证书到任意其它位置，但不要直接在webserver配置里面引用 /root/.acme.sh/ 路径下的文件

root@local:~# acme.sh  --installcert  -d  <domain>.com   \
        --key-file   /etc/nginx/ssl/<domain>.key \
        --fullchain-file /etc/nginx/ssl/fullchain.cer \
        --reloadcmd  "service nginx force-reload"

root@local:~# acme.sh --installcert -d <domain>.com \

--key-file /etc/nginx/ssl/<domain>.key \

--fullchain-file /etc/nginx/ssl/fullchain.cer \

--reloadcmd "service nginx force-reload"

之后修改Nginx的站点配置，访问站点看看证书有没有就更新就好了。
下面是我的配置，仅供参考

        ssl on;
        ssl_certificate /var/cert/21/fullchain.cer;
        ssl_certificate_key /var/cert/21/mr21.cc.key;
        ssl_dhparam /var/cert/dhparam2048.pem;
        ssl_session_timeout 1d;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-G$
        ssl_session_cache builtin:1000 shared:SSL:10m;
        add_header Strict-Transport-Security max-age=15552000;

ssl on;

ssl_certificate /var/cert/21/fullchain.cer;

ssl_certificate_key /var/cert/21/mr21.cc.key;

ssl_dhparam /var/cert/dhparam2048.pem;

ssl_session_timeout 1d;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-G$

ssl_session_cache builtin:1000 shared:SSL:10m;

add_header Strict-Transport-Security max-age=15552000;

引用参考/Reference：

acme.sh: How to install, DNS manual mode

闲聊新购笔记本

写东西很没动力了，娃儿出生一个多月，一回家就忙带娃儿，啥都不容易……

上周四零点在京东抢了一台华为MateBook D (2018)首发，第三天到货的，也就是上周五，本来是要抢个联想ideaPad 720s Ryzen 7版的，心里对逼迫Intel出八代酷睿的按摩店Ryzen十分好奇，谁知道下手犹豫了一下，一分钟没货……

看来各个评测机构对这个Ryzen 5/7的720s机器还是很上心啊~

为嘛会盯着两个本子看，因为现在公司鼓励自购机器办公，所以有补贴，IT比其他多1K的预算，所以想拿个能刚好压补贴线的机器。

不过在京东年货节之前，就已经在淘宝找了渠道商拿了一台Dell Latitude 7380，号称商用版XPS，超窄边框，12寸将近11寸的小机身塞进去了13寸的屏幕，还是金属机身+类肤涂层的，抱着试试的心态入的机器，也没告诉夫人~囧

到货后很是喜欢，唯一不爽的就是CPU是七代U，不过在之后问到八代U的7390价格后，同时八代机的模具也没什么变化，我觉得，还是安安心心的用7380就好了~ 但还是对于Latitude 13寸没有小蓝点有点耿耿……解毒的方法是：听人说，小蓝点和小黑点都没有小红点好用~

今天上京东App，给MateBook D (2018)申请了退货，这当然不是因为我喜欢退货，就这机器，我大概评价一下：

黑色款金属外壳质感很好，很商务，开箱后开机前有一种想要留下来的冲动
窄边框机器，都是15.6，很明显比我的Y50-70小一圈，大概是14寸的机身
接口太少，15.6的机器，就是USB TYPE-A x3 + HDMI x1 + 3.5mm x1
背光键盘居然是没有的，我自以为默认是有的
屏幕比我的美帝良心想好不少，基本上日常使用能满足
A面金属还是蛮结实的，完全没有塑料盖按压水波纹的情况

总结：这么大机器塞个SD或者TF读卡器是会怎样，塞两个TYPE-C USB 3.1 GEN 1是会怎样……所以我的退货理由是：接口太少。

为什么不选ThinkPad？
想想X240和X250在我手上，D壳USB口附近的挡片都碎过，外加X250遇到休眠后唤醒风扇不转的问题而本地的维修站居然只修ThinkPad E系，我也是真的无F*ck可说，真心怀念当年被偷的X200和T420，塞在背包里各种结实，就没出现过问题。
当然，TP屏幕肯定都是渣渣，这个毋庸置疑的，T420的亮度一见阳光就歇菜……

为什么不选Mac？
我2010年买过一台MBP (MB990)，算是完成了儿时的一个梦想，毕竟是极致工业设计的大苹果，不过因为重度Windows用户，这台机器基本上也是半娱乐状态，外加一放Flash就风扇爆炸，后来有了T420和X200，MBP基本上就是闲置的，直到2015年把机器给好友老张拿去用了。
简单的说，离不开Windows，偶尔搞搞Linux的人，没必要买Mac，纯属充值信仰。
当然，主要还是贵，同配的Mac比PC贵太多，如果我的票子很自由的话，我还是想买一台来家里放着的。

所以，简单的说，我就希望有一台机器，有当年ThinkPad X的风范，耐艹，售后靠谱，性能够用，屏幕不要太烂，体积小便携，那么这台自带三年NBD号称通过MIL-STD 810G的Latitude 7380只能是不二之选了，唯一不满的是硬盘只有一个PCIe接口可用……要多挣钱买1T的SSD了~

14亿份明文凭证暴露

看了新闻Freebuf：《暗网出现史上最大数据库： 14亿份明文凭证暴露，个人与企业都可能遭殃》。

于是从reddit这个帖子找到一个链接，真假自辨。

magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Fglotorrents.pw%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337

magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Fglotorrents.pw%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337