如何创建自签名SSL证书教程 什么是自签名SSL证书？自签名SSL证书是由创建它的人而不是受信任的证书颁发机构签名的证书。自签名证书可以与受信任的CA签名SSL证书具有相同的加密级别。被任何浏览器识别为有效的自签名证书。如果您使用的是自签名证书，则网络浏览器将向访问者显示警告，提示该网站证书无法验证。自签名证书主要用于测试目的或内部使用。您不应该在暴露于Internet的生产系统中使用自签名证书。openssl需要使用openssl工具包来生成自签名证书。如果您的系统上未安装openssl软件包，则可以通过运行以下命令进行安装：Ubuntu和Debiansudo apt install opensslCentos和Fedorasudo yum install openssl创建自签名SSL证书要创建新的自签名SSL证书，请使用openssl req命令：openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key让我们分解命令并了解每个选项的含义：-newkey rsa:4096-创建新的证书请求和4096位RSA密钥。默认值为2048位。-x509 -创建X.509证书。-sha256 -使用265位SHA（安全哈希算法）。-days 3650 -认证证书的天数。 3650是10年。您可以使用任何正整数。-nodes -创建没有密码的密钥。-out example.crt -指定将新创建的证书写入的文件名。您可以指定任何文件名。-keyout example.key -指定要写入新创建的私钥的文件名。您可以指定任何文件名。有关openssl req命令选项的更多信息，请访问 OpenSSL req 文档页面。按下Enter键后，命令将生成私钥，并询问您将用于生成证书的一系列问题。Generating a RSA private key ......................................................................++++ ........++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----输入所需的信息，然后按Enter。比如如下：Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:Alabama Locality Name (eg, city) []:Montgomery Organization Name (eg, company) [Internet Widgits Pty Ltd]:Linuxize Organizational Unit Name (eg, section) []:Marketing Common Name (e.g. server FQDN or YOUR name) []:myfreax.com Email Address []:hello@myfreax.com将在指定位置创建证书和私钥。使用ls命令验证是否已创建文件：ls看到example.crt和example.key两个文件，说明自签完成！创建无提示的自签名SSL证书如果要生成自签名SSL证书而没有提示任何问题，请使用-subj选项并指定所有主题信息：openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"Generating a RSA private key ......................................................................++++ ........++++ writing new private key to 'example.key' -----在-subj行中指定的字段如下：C=-国家/地区名称。 ISO的两个字母缩写。ST= -州或省名。L= -地区名称。您所在的城市的名称。O= -您组织的全名。OU= -组织单位。CN= -完全限定的域名。

新版支付宝官方接口RSA密钥配置教程 新版支付宝接口改用了RSA2的密钥。操作以下步骤之前确保你有电脑，因为需要用到电脑软件生成密钥！另外要仔细分清【公】和【私】这2个字，如果你连这2个字都分不清的话就不要往下看了！！！第一步：申请支付宝官方支付接口首先需要申请支付宝官方支付接口，如果没申请接口，即使是配置上密钥也是无法使用的。申请地址是：https://b.alipay.com/signing/productSetV2.htm第二步：下载并安装“支付宝开放平台开发助手”下载地址：https://ideservice.alipay.com/ide/getPluginUrl.htm?clientType=assistant&platform=win&channelType=WEB安装完后直接运行即可。第三步：点击【生成密钥】（密钥长度和密钥格式都为默认，不用改），如下图所示 将【应用私钥】填写到网站后台相应的配置项内。第四步：进入支付宝开放平台密钥页面，可以看到APPID，将APPID填写到网站后台。然后点击【接口加签方式】后面的【设置】 接口加签模式选择“公钥”，然后将刚才在软件里面生成的【应用公钥】填写到下方输入框内： 保存设置之后，会出现一个【支付宝公钥】，将支付宝公钥复制后填写到网站后台。 至此，支付宝新版接口的密钥已经配置完毕了。要注意的是 【支付宝公钥】和【应用公钥】是不一样的 ，千万不能搞混了！ 另外【应用公钥】和【应用私钥】是一一对应的 ，也就是填写到网站后台的【应用私钥】和提交到支付宝那边的【应用公钥】是同一对才可以！

最新一句命令绕过Bt宝塔面板强制绑定账号 现在新版本的宝塔面板强制绑定宝塔官网账号，否则就无法继续使用面板。网上绕过强制绑定账号的方法也很多，但是都显得比较麻烦，不符合宝塔面板针对小白用户的定位。因此我总结了只需要在SSH输入一句命令即可。复制以下命令在SSH界面执行：echo "{"uid":1000,"username":"admin","serverid":1}" > /www/server/panel/data/userInfo.json然后在宝塔面板按Ctrl+F5刷新页面即可。以上方法宝塔7.7版本测试通过。

Tooltip和title美化网站标题提示教程 简介：浏览器自带这些的alt和title提示太丑了，所以我们需要美化一下，百度有很多，不过对我们来说是小白难听的。教程：放下面js到公用js里面var sweetTitles = { x: 10, y: 20, tipElements: "a,span,img,div ", noTitle: false, init: function() { var b = this.noTitle; $(this.tipElements).each(function() { $(this).mouseover(function(e) { if (b) { isTitle = true } else { isTitle = $.trim(this.title) != '' } if (isTitle) { this.myTitle = this.title; this.title = ""; var a = "<div class='tooltip'><div class='tipsy-arrow tipsy-arrow-n'></div><div class='tipsy-inner'>" + this.myTitle + "</div></div>"; $('body').append(a); $('.tooltip').css({ "top": (e.pageY + 20) + "px", "left": (e.pageX - 20) + "px" }).show('fast') } }).mouseout(function() { if (this.myTitle != null) { this.title = this.myTitle; $('.tooltip').remove() } }).mousemove(function(e) { $('.tooltip').css({ "top": (e.pageY + 20) + "px", "left": (e.pageX - 20) + "px" }) }) }) } }; $(function() { sweetTitles.init() });css另外归用css文件里面/*tips*/ .tooltip { font-size:12px; position:absolute; padding:5px; z-index:100000; opacity:.8; font-family:Microsoft Yahei } .tipsy-arrow { position:absolute; width:0; height:0; line-height:0; border:6px dashed #000; top:0; left:20%; margin-left:-5px; border-bottom-style:solid; border-top:0; border-left-color:transparent; border-right-color:transparent } .tipsy-arrow-n { border-bottom-color:#666 } .tipsy-inner { background-color:#666; color:#FFF; max-width:200px; padding:5px 8px 4px 8px; text-align:center; border-radius:3px }

不影响SEO收录不降权的情况下该怎么去做网站备案 前言不影响收录不降权情况下我要怎么做网站备案？相信很多站长都遇到过这个难题，因为一开始做网站的时候没有考虑那么多，等网站做好了然后去优化网站，优化也已经达到了一定的效果，如果这时候再去备案网站，那肯定会对我们网站的收录带来很多的影响，因为我们都知道网站备案期间是不允许打开网站的，当然这也不是我们想要的结果，大多数站长和我一样都希望网站备案期间，不会对当前的网站优化带来影响的情况下能完成网站备案。根据这个情况，我们围绕不影响收录不降权这个前提分析该怎么去做网站备案？第一种方法：我们可以通过域名解析的方法来解决，域名解析的时候有个域名类型，里面有很多种线路,比如：（默认、电信、联通、移动、教育网、搜索引擎）等，大家平时在解析域名的可能并没有注意到这一点，因为我们平时基本上用的是默认的线路，并没有做智能解析。不过有些域名注册商也不支持多种线路的解析方式，如果你用的域名支持这种多线路解析的方式，你可以把你的默认线路解析到一个ip地址上，并且保证这个访问这个域名时候是无法打开网站的；然后把搜索引擎线路解析到另一个ip地址上，只让搜索引擎进来的能访问网站，这样就可以不影响收录也不降权来做网站备案了。第二种方法：我们可以通过搜索引擎站长平台的后台里的闭站保护来完成，点击闭站保护可以保护当前搜索引擎对网站收录不受影响，这时候我们提交备案的时候就可以直接大胆把网站给关闭了，不用担心网站被降权的问题了，慢慢等备案下来的时候再开启网站就可以了。第三种方法：我们是可以直接打开网站，只要屏蔽掉当前地区的ip来备案即可，让当前省内的无法访问网站，这样审核的时候就可以正常通过了，而且也不会影响网站的收录，不用担心网站被降权了。以上三种方式都可以解决网站备案时不会被降权的问题，希望对您有帮助。

Nginx配置全局HSTS、OCSP、OCSP Stapling协议说明 相信大家都能在网上找到Nginx配置 HSTS、OCSP、OCSP Stapling 协议，但是找不到能配置全局HSTS、OCSP、OCSP Stapling协议的。想必应该有一大部分人想要每个站点都配置HSTS、OCSP、OCSP Stapling协议，然而只能一个站点一个站点的配置。站点少的那还好，像一些大佬的站点往往都是几十个上百个，手动一个个配置起来很伤神。所以今天我就发一个能全局配置HSTS、OCSP、OCSP Stapling协议的方法。什么是HSTSHSTS（HTTP Strict Transport Security，RFC6797），即HTTP严格安全传输，是国际互联网工程组织 IETF 正在推行一种新的Web安全协议。网站采用HSTS后，用户访问时无需手动在地址栏中输入HTTPS，浏览器会自动采用HTTPS访问网站地址，从而保证用户始终访问到网站的加密链接，保护数据传输安全。同时只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP。简单点讲就是抵御SSL剥离攻击什么是OCSP在线证书状态协议（Online Certificate Status Protocol），简称OCSP，是一个用于获取 X.509 数字证书撤销状态的网际协议，在RFC 6960中定义。OCSP用于检验证书合法性，查询服务一般由证书所属CA提供。OCSP查询的本质，是一次完整的HTTP请求加响应的过程，这中间涵括的DNS查询、建立TCP连接、Web端工作等步骤，都将耗费更多时间，使得建立TLS花费更多时长。OCSP Stapling的作用而这时，OCSP Stapling出现了。经由OCSP Stapling（OCSP 封套），Web端将主动获取OCSP查询结果，并随证书一起发送给客户端，以此让客户端跳过自己去寻求验证的过程，提高TLS握手效率。怎样实现全局配置你们看看每个站点的Nginx配置，是不是发现有一些共同点。每个站点都引用了共同的PHP配置，而我使用的方法是通过PHP配置达到全局配置。所以我们只要修改一个PHP配置文件就能达到修改多个站点Nginx配置，因为我使用的是PHP7.4，所以引用文件就是 enable-php-74.conf 。所以我们就在 enable-php-74.conf 里写入我们要配置的代码，一般情况下最好直接加在此文件的最上方并且用换行隔开。代码如下： #开启HSTS，并设置有效期为“31536000秒”（一年），包括子域名(根据情况可删掉)，预加载到浏览器缓存(根据情况可删掉) add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"; #OCSP Stapling开启,OCSP是用于在线查询证书吊销情况的服务，使用OCSP Stapling能将证书有效状态的信息缓存到服务器，提高TLS握手速度 ssl_stapling on; #用于查询OCSP服务器的DNS resolver 8.8.8.8 114.114.114.114 valid=3600s; #OCSP Stapling验证开启 ssl_stapling_verify on;Ps：如果装了多个PHP，那就在需要的PHP的 enable-php-xx.conf 文件里加入你的配置

Nginx服务器环境 常用的安全屏蔽规则 简介：Nginx服务器环境 是一个高性能的 HTTP 和反向代理服务，目前很百分之七十以上网站均使用了 Nginx 作为 WEB 服务器，Nginx 虽然非常强大，但默认情况下并不能阻挡恶意访问，整理了一份常用的 Nginx 的安全屏蔽规则，希望对你们有所帮助。在开始之前，首先请备份你的 Nginx 配置，修改完毕后需要重启一次 Nginx 的，不然不会生效。如无特殊注明，下面命令均添加到 server 段内：一、防止文件被下载比如将网站数据库导出到站点根目录进行备份的压缩包，很有可能会被人扫描下载，从而导致数据泄露的风险。以下规则可以防止一些常规的文件被下载，可根据实际情况设置。location ~ \.(zip|rar|sql|bak|gz|7z)$ { return 444; }二、屏蔽非常见蜘蛛（爬虫）如果经常看网站日志你会发现，一些非常见的 UA 总是频繁的来访问网站，而这些 UA 对网站收录无任何意义，反而增加服务器压力，可以直接将其屏蔽。if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) { return 444; }三、禁止指定目录执行脚本比如网站上传目录，通常存放的都是静态文件，如果因程序验证不严谨被上传木马程序，导致网站被黑。以下规则请根据自己的情况改为您自己的目录，需要禁止的脚本后缀也可以自行添加。#uploads|templets|data 这些目录禁止执行 <a href="https://blog.hackeus.cn/tag/phpcode" title="更多关于 PHP 的文章" target="_blank">PHP</a> location ~* ^/(uploads|templets|data)/.*.(php|php5)$ { return 444; }四、屏蔽某个 IP 或 IP 段如果网站被恶意灌水或 CC 攻击，可到网站日志中分析特征 IP，将其 IP 或 IP 段进行屏蔽拉黑。#屏蔽 192.138.1.13 这个 IP deny 192.138.1.13; #屏蔽 122.168.15.* 这个段 denu 122.168.15.0/24;上面规则代码查看 444 状态码而不是 403，因为 444 状态码在 nginx 的中有特殊含义，nginx 的 444 状态是直接由服务器中断连接，不会向客户端再返回任何消息。比返回 403 更加有效