acme

IdentityServer 部署踩坑记 Intro 周末终于部署了 IdentityServer 以及 IdentityServerAdmin 项目，踩了几个坑，在此记录分享一下。 部署架构 项目是基于 IdentityServerAdmin 项目修改的，感谢作者的开源付出，有需要 IdentityServer 管理需求的可以关注一下，觉得好用的可以给个 star 支持一下 https://github.com/skoruba/IdentityServer4.Admin 实际部署的有两个服务，一个是 IdentityServer 项目( https://id.weihanli.xyz )，一个是 IdentityAdmin 项目(< https://id-admin.weihanli.xyz >)。 两个服务都是部署在一台服务器上，这一台服务器上部署一个单节点的 kubernetes，两个服务都是部署在 k8s 上并通过 NortPort 的方式对外提供服务，外面有一层 nginx 做了请求转发同时提供对外 https 的支持。 最初的 nginx 配置如下 server { listen 443; ssl_certificate /home/pipeline/.acme.sh/*.weihanli.xyz/*.weihanli.xyz.cer; ssl_certificate

Composer的基本使用 在项目中使用composer.json 在项目中使用composer，你需要有一个composer.json文件，此文件的作用主要用来声明包之间的相互关系和其他的一些元素标签。 require 关键字 第一件事情在composer.json就是使用require关键字了，你将告诉composer哪些包是你项目所需要的 复制代码 代码如下: { "require": { "monolog/monolog": "1.0.*" } } 如你所见，require的对象将会映射包的名称（ monolog/monolog）和包的版本是1.0.* 包的命名 基本上包的命名是 主名/项目名称（ monolog/monolog），主名必须唯一，但是项目也就是我们的包的名称可以有相同的，例如: igorw/json,和seldaek/json 包的版本 我们需要使用monolog的版本是1.0.*，他的意思是只要版本是1.0分支即可，例如1.0.0，1.0.2或者1.0.99 版本定义的两种方式： 1. 标准的版本：定义保准的版本包文件，如：1.0.2 2. 一定范围的版本：使用比较符号来定义有效的版本的范围，有效的符号有>, >=, <,<=, != 3. 通配符：特别的匹配符号*，例如1.0.*就相当于>=1.0,<1.1版本的即可 4. 下一个重要的版本：

最近使用了acme.sh 生产了 Let's Encrypt 的https 证书，但是在实际服务器上测试遇到如下问题 $ curl "https://www.aaa.com" 如下错误 curl: (60) Peer's Certificate issuer is not recognized. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option 最开始我还以为是我服务器配置哪里出错了。后来测试了下其他国内的域名都可以访问，我就想到应该是https证书配置这块问题。后来查询了一些资料是我自己nginx 关于https配置不对导致的 server { listen 443 ssl; ssl_certificate /home/www/.acme.sh/xxxxx/xxxx

原文链接： 一文搞懂 Traefik2.1 的使用 一文搞懂 Traefik2.1 的使用 核心概念 安装 ACME 中间件 灰度发布 流量复制 TCP 简单 TCP 服务 带 TLS 证书的 TCP Traefik 是一个开源的可以使服务发布变得轻松有趣的边缘路由器。它负责接收你系统的请求，然后使用合适的组件来对这些请求进行处理。 除了众多的功能之外，Traefik 的与众不同之处还在于它会自动发现适合你服务的配置。当 Traefik 在检查你的服务时，会找到服务的相关信息并找到合适的服务来满足对应的请求。 Traefik 兼容所有主流的集群技术，比如 Kubernetes，Docker，Docker Swarm，AWS，Mesos，Marathon，等等；并且可以同时处理多种方式。（甚至可以用于在裸机上运行的比较旧的软件。） 使用 Traefik，不需要维护或者同步一个独立的配置文件：因为一切都会自动配置，实时操作的（无需重新启动，不会中断连接）。使用 Traefik，你可以花更多的时间在系统的开发和新功能上面，而不是在配置和维护工作状态上面花费大量时间。 核心概念 Traefik 是一个边缘路由器，是你整个平台的大门，拦截并路由每个传入的请求：它知道所有的逻辑和规则，这些规则确定哪些服务处理哪些请求；传统的反向代理需要一个配置文件，其中包含路由到你服务的所有可能路由，而

谈起asp.net的系统控件，要提及RBAC的基本思想， RBAC，就是英文：role based access control，译为，基于访问权限角色，在设计电子商务网站中经常要用到。 电子商务系统对安全问题有较高的要求，传统的访问控制方法DAC（Discretionary Access Control，自主访问控制模型）、MAC（Mandatory Access Control，强制访问控制模型）难以满足复杂的企业环境需求。因此，NIST（National Institute of Standards and Technology，美国国家标准化和技术委员会）于90年代初提出了基于角色的访问控制方法，实现了用户与访问权限的逻辑分离，更符合企业的用户、组织、数据和应用特征。ASP.NET是微软为了抗衡JSP而推出的新一代ASP（Active Server Pages）脚本语言，它借鉴了JSP的优点，同时它又具有自身的一些新特点。 本文将首先介绍ASP.NET的基本情况和RBAC（Role Based Access Control）的基本思想，在此基础上，给出电子商务系统中实现用户权限控制的一种具体方法。 ASP.NET概述 ASP.NET ASP.NET是微软流行的动态WEB 编程 技术活动服务器网页（ASP）的最新版本，但它远不是传统ASP简单升级。ASP

2019年11月开始，陆续发现AMH4.2.1中SSL证书无法正常获取证书了，包括使用命令行渠道也无法获取证书。 尝试生成会有如下提示： Register account Error: {“type”:“urn:acme:error:unauthorized”,“detail”:“Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.”,“status”: 403} [Fri Nov 15 02:29:17 UTC 2019] Please add ‘–debug’ or ‘–log’ to check more details. 原来LET’S ENCRYPT官方在2019年11月将终止V1证书的注册了。 如何判断自己用的是V1还是V2，或是否已升级到V2？ 在SSH中执行以下命令 cat /root/.acme.sh/acme.sh | grep VER= 若显示是2.7.3则表示是V1 若是2.8.*或以上则表示是V2 解决办法

认证培训费用 目前官方学院所有课程和认证都是免费，官网上说在2020年3月后收费 认证过程中用到的的链接 1.uipath认证中心：https：//certificate.uipath.com 需要注册账号，与uiapth academy不是同一套账号体系，可以使用同一个邮箱，注册方法可以见： https://blog.csdn.net/qq_15652965/article/details/104280551 2.uipath Orchestrator管理中心：https：//platform.uipath.com 这个就是robot调度中心，可以管理设置多个robot，与uiapth academy不是同一套账号体系，可以使用同一个邮箱。使用方法可见： https://www.jianshu.com/p/76f44a3c9408 在做第二部分的项目题时候会用到。 3.uipath在线测试系统：http：//acme-test.com/ 与uiapth academy不是同一套账号体系，单独需要使用邮箱注册（注意必须和academy是同一个邮箱！）。 第一次进去后，需要点击用户选项->重置测试数据 在做第二部分的项目题时候会用到。 认证考试步骤 认证中心就是真正的uipath考试认证，认证一共有两部分，第一部分为在线测验，一共45道题，第二部分就是实用考试，一个项目实操题

同步： https://zhufn.fun/archives/86/ 关于 acme.sh 的详细说明可以看 这里 因为我的nginx的配置文件非常凌乱，所以我采用的是关掉nginx，让acme.sh自己作为服务器的方式来验证 首先需要安装socat apt install socat 然后 acme.sh --issue -d zhufn.fun --standalone 生成好的证书会自动放到nginx的文件夹里，好神奇 后来发现一个证书可以对应多个域名 于是 acme.sh --issue -d zhufn.fun -d rss.zhufn.fun -d tb.zhufn.fun -d i.zhufn.fun --standalone 然后改改nginx里的路径，就可以共用一个证书啦 来源： https://www.cnblogs.com/buringstraw/p/12256137.html

此文首发于我的个人博客： caddy 获取SSL证书报错解决：failed to obtain certificate: acme: Error -> One or more domains had a problem — zhang0peter的个人博客 早上尝试使用caddy，启动HTTPS服务，并自动配置TLS证书，结果在自动配证书的过程中报错： -> # sudo systemctl status caddy ● caddy.service - Caddy HTTP/2 web server Loaded: loaded (/etc/systemd/system/caddy.service; enabled; vendor preset: enabled) Active: failed (Result: exit-code) since Thu 2020-01-23 11:12:58 CST; 2h 20min ago Docs: https://caddyserver.com/docs Process: 31832 ExecStart=/usr/local/bin/caddy -log stdout -log-timestamps=false -agree=true -conf=/etc/caddy/Caddyfile -root=/var/tmp (code

命名空间包是对相关的包或模块进行分组的一种方法，通常是一个被忽略的功能，它对于在较大的项目中构建打包生态系统非常有用。 如果你的应用组件的开发、打包和版本化都是独立的，但仍然希望从同一个命名空间访问它们，那么命名空间包特别有用，它有利于明确每个包所属的组织或项目。 例如，假设有一个 Acme 公司，该公司中使用共同的 acme 命名空间，同时创建通用的 acme 命名空间包作为该组织的其他包的容器。如果 Acme 公司中的某人想要向这个命名空间贡献一个与 SQL 相关的库，那么他需要在 acme 中注册自己新的 acme.sql 包，整个文件结构如下所示： $tree acme/ acme/ ├───acme │ ├───__init__.py │ └───sql │ └──__init__.py └───setup.py 2 directories, 3 files 在此基础上，如果想添加一个新的子包，例如添加 templating，则需要将其包含在 acme 的源代码树中，如下所示： $tree acme/ acme/ ├───acme │ ├───__init__.py │ ├───sql │ │ └──__init__.py │ └───templating │ └──__init__.py └───setup.py 3 directories, 4 files