zainstalować Apache2 na Rasperry PI

instalacja APACHE

apt-get update
apt-get install apache2 php5 mysql-server locales phpmyadmin php5-curl iftop iotop vim screen tightvncserver mysql-client
apt-get upgrade
apt-get dist-upgrade

aktualizacja RPI

RPI-update

zainstalować ownCloud

cd /var/www
wget https://download.owncloud.org/community/owncloud-8.0.3.zip
unzip owncloud-8.0.3.zip
rm owncloud-8.0.3.zip
mv owncloud storage

enabele APACHE'a MOD

sudo a2enmod rewrite
sudo a2enmod headers
service apache2 restart

Pełnomocnik multicast Strumień nad apache proxy z uwierzytelnianiem

I skonfigurowany serwer proxy dla multicast http

to trzeba na przykład do buforowania formę ruchu Telekom domowej rozrywki

wget https://freefr.dl.sourceforge.net/project/udpxy/udpxy/Chipmunk-1.0/udpxy.1.0.23-0-prod.tar.gz
tar -xzvf udpxy.1.0.23-0-prod.tar.gz
make
make install

dodaj do crontab

1 1 * * * korzeń udpxy -p 4022

Początkowe Stworzenie dla uwierzytelniania

htpasswd -c /etc/apache2/.htpasswd Sammy

dodać użytkownika addtional

htpasswd /etc/apache2/.htpasswd sammy2

dodaj do vhosta

        <Lokalizacja / udp>
                ProxyPass http://192.168.2.21:4022/udp
                ProxyPassReverse http://192.168.2.21:4022/udp
                AuthType Basic
                AuthName "Wymagane hasło"
                AuthUserFile /etc/apache2/.htpasswd
                Require valid-user
                Order deny,allow
                Allow from all
        </Lokalizacja>

zmodyfikować listę kanałów podobnego do Telekom

#EXTM3U
#EXTINF:-1,(05) RTL
https://użytkownik:password@server/udp/239.35.20.10:10000

#EXTINF:-1,(06) RTL2
https://użytkownik:password@server/udp/239.35.20.22:10000

#EXTINF:-1,(07) RTLplus
https://użytkownik:password@server/udp/239.35.20.57:10000

#EXTINF:-1,(08) Pro7
https://użytkownik:password@server/udp/239.35.20.21:10000

#EXTINF:-1,(09) Kabel1
https://użytkownik:password@server/udp/239.35.20.38:10000

#EXTINF:-1,(10) Vox
https://użytkownik:password@server/udp/239.35.20.11:10000

#EXTINF:-1,(11) Super RTL
https://użytkownik:password@server/udp/239.35.20.39:10000

#EXTINF:-1,(12) ntv
https://użytkownik:password@server/udp/239.35.20.47:10000

#EXTINF:-1,(13) Sixx
https://użytkownik:password@server/udp/239.35.20.9:10000

#EXTINF:-1,(14) Pro7maxx
https://użytkownik:password@server/udp/239.35.20.33:10000

#EXTINF:-1,(15) RTLNITRO
https://użytkownik:password@server/udp/239.35.20.59:10000

#EXTINF:-1,(16) arte
https://użytkownik:password@server/udp/239.35.10.20:10000

#EXTINF:-1,(17) Phoenix
https://użytkownik:password@server/udp/239.35.10.22:10000

#EXTINF:-1,(18) 3sat
https://użytkownik:password@server/udp/239.35.10.6:10000

#EXTINF:-1,(19) KI.KA
https://użytkownik:password@server/udp/239.35.10.19:10000

#EXTINF:-1,(20) tagesschau24
https://użytkownik:password@server/udp/239.35.10.25:10000

#EXTINF:-1,(21) Einsfestival
https://użytkownik:password@server/udp/239.35.10.21:10000

#EXTINF:-1,(22) EinsPlus
https://użytkownik:password@server/udp/239.35.10.26:10000

#EXTINF:-1,(23) ARD-alpha
https://użytkownik:password@server/udp/239.35.10.24:10000

#EXTINF:-1,(24) ZDF Kultur
https://użytkownik:password@server/udp/239.35.10.23:10000

#EXTINF:-1,(25) ZDF Infokanal
https://użytkownik:password@server/udp/239.35.10.28:10000

#EXTINF:-1,(26) ZDF neo
https://użytkownik:password@server/udp/239.35.10.27:10000

#EXTINF:-1,(27) Deutsche Welle
https://użytkownik:password@server/udp/239.35.20.44:10000

#EXTINF:-1,(28) BR Nord
https://użytkownik:password@server/udp/239.35.10.13:10000

#EXTINF:-1,(29) hr-Fernsehen
https://użytkownik:password@server/udp/239.35.10.8:10000

#EXTINF:-1,(30) MDR Sachsen
https://użytkownik:password@server/udp/239.35.10.9:10000

#EXTINF:-1,(31) NDR
https://użytkownik:password@server/udp/239.35.10.10:10000

#EXTINF:-1,(32) Radio Bremen TV
https://użytkownik:password@server/udp/239.35.10.12:10000

#EXTINF:-1,(33) rbb Berlin
https://użytkownik:password@server/udp/239.35.10.14:10000

#EXTINF:-1,(34) SR Fernsehen
https://użytkownik:password@server/udp/239.35.10.15:10000

#EXTINF:-1,(35) SWR Fernsehen BW
https://użytkownik:password@server/udp/239.35.10.16:10000

#EXTINF:-1,(36) WDR
https://użytkownik:password@server/udp/239.35.10.18:10000

#EXTINF:-1,(37) Das Erste HD
https://użytkownik:password@server/udp/239.35.10.1:10000

#EXTINF:-1,(38) ZDF HD
https://użytkownik:password@server/udp/239.35.10.2:10000

#EXTINF:-1,(39) ARTE HD
https://użytkownik:password@server/udp/239.35.10.3:10000

#EXTINF:-1,(40) Phoenix HD
https://użytkownik:password@server/udp/239.35.10.48:10000

#EXTINF:-1,(41) KiKA HD
https://użytkownik:password@server/udp/239.35.10.11:10000

#EXTINF:-1,(42) 3sat HD
https://użytkownik:password@server/udp/239.35.10.47:10000

#EXTINF:-1,(43) Tagesschau 24 HD
https://użytkownik:password@server/udp/239.35.10.63:10000

#EXTINF:-1,(44) Einsfestival HD
https://użytkownik:password@server/udp/239.35.10.58:10000

#EXTINF:-1,(45) EinsPlus HD
https://użytkownik:password@server/udp/239.35.10.59:10000

#EXTINF:-1,(46) ZDF Kultur HD
https://użytkownik:password@server/udp/239.35.10.54:10000

#EXTINF:-1,(47) ZDF neo HD
https://użytkownik:password@server/udp/239.35.10.55:10000

#EXTINF:-1,(48) ZDF Infokanal HD
https://użytkownik:password@server/udp/239.35.10.56:10000

#EXTINF:-1,(49) Bayern Süd HD
https://użytkownik:password@server/udp/239.35.10.49:10000

#EXTINF:-1,(50) HR HD
https://użytkownik:password@server/udp/239.35.10.60:10000

#EXTINF:-1,(51) MDR HD
https://użytkownik:password@server/udp/239.35.10.61:10000

#EXTINF:-1,(52) NDR HD
https://użytkownik:password@server/udp/239.35.10.50:10000

#EXTINF:-1,(53) RBB HD
https://użytkownik:password@server/udp/239.35.10.62:10000

#EXTINF:-1,(54) SWR BW HD
https://użytkownik:password@server/udp/239.35.10.51:10000

#EXTINF:-1,(55) WDR HD
https://użytkownik:password@server/udp/239.35.10.53:10000

#EXTINF:-1,(56) SR HD
https://użytkownik:password@server/udp/239.35.10.64:10000

#EXTINF:-1,(01) Das Erste
https://użytkownik:password@server/udp/239.35.10.4:10000

#EXTINF:-1,(02) ZDF
https://użytkownik:password@server/udp/239.35.10.5:10000

#EXTINF:-1,(03) Sat 1
https://użytkownik:password@server/udp/239.35.20.20:10000

#EXTINF:-1,(04) SAT1 Gold
https://użytkownik:password@server/udp/239.35.20.24:10000

 

WordPress autoupdater

zainstalować wp-CLI -> http://wp-cli.org/

użyć tego skryptu

#!/bin / bash

Updater(){
        wp rdzenia zmiana --allow root
        Rdzeń wp update-db --allow root
        wp uaktualnienie wtyczki --all --allow-korzeń
        Aktualizacja WP Theme --all --allow-korzeń
        Rdzeń wp zmiana języka --allow root
        CGROUP = $(stat -c '% G' wp-cron.php)
        CUSER = $(stat -c '% U' wp-cron.php)
        chown $ CUSER:$CGROUP ./* -rf
}

bo w $(find / var / www / vhostów -name wp-cron.php); zrobić
        wpdir = $(echo $ i | sed -r 's / wp-cron.php // g')
        echo $ wpdir
        cd $ wpdir
        Updater
Gotowe

Funksteckdosen poprzez Raspberry Pi przez terminal, Interfejs Web lub kontroli Siri – 433 mHz

okupacja

rpi2 szpilki

Raspberry Pi Nadajnik Odbiorca
Kołek 2 / 4 (5V) VCC VCC
Kołek 6 / 9 (GND) GND GND
Kołek 11 (GPIO17) - RPI Nr.1 ATAD
Kołek 13 (GPIO27) - RPI Nr.2 DANE (z lewej GND)

Oprogramowanie

Dochodzimy teraz do oprogramowania. W tym celu należy najpierw uruchomić Raspberry Pi, gdzie wszystko zostało zmontowane w sposób opisany powyżej. Podłączenie należy jedynie razy

Aktualizacja sudo apt-get

wykonać. To repozytoria są uaktualniane. Następnie git-core musi być zainstalowany (jeżeli nie zostało już zrobione i tak):

sudo apt-get install git-core

W celu realizacji sterowania nadajnika, jest projekt zwanyWiringPi. To jest zainstalowany na Raspberry Pi następująco:

Płyta CD
git clone git://git.drogon.net/wiringPi
cd wiringPi
./budować

Dla naszych celów,, kontrolować wyloty istnieje już projekt. Wynika to z xkonni i wezwał Malina-Remote. Zainstalowanej to ty tak:

Płyta CD
git clone git://github.com/xkonni/raspberry-remote.git
cd malina-remote

To działa, masz do ciebie, ani send.cpp kompilacji, Więc wpisz następujące polecenie:

dokonać send
zrobić demona

zainstalować sniffer

Płyta CD
git clone https://github.com/ninjablocks/433Utils.git
cd 433Utils / RPi_utils
Zrób wszystko

Na którym pinie

GPIO ReadAll

sniffery testowe

./RFSniffer
./codesend 1234

Interfejs WWW

Oczywiście jest to trochę niewygodne i nieprzyjemne, cała zawsze martwiąc się o terminalu / SSH. Ale nie ma problemu! Raspberry zdalnego zapewnia również ten sam interfejs WWW z dopasowania. Więc można użyć, Należy jej pierwszy raz Apache i PHP zainstalować na swoim Malina:

sudo apt-get install apache2 php5

Oto idziemy do interfejsu WWW, Co mitliefert xkonni bezpośrednio. Ponadto mam folder

mkdir / var / www / html / zdalne

podfolder zdalny stworzony. Następnie zawartość ~ / malinowym / zdalnego interfejsu WWW przeniósł się tam:

cp -rf ~ / malina-remote / Webinterface / * / var / www / html / zdalne

Teraz jeszcze w

my /var/www/html/remote/config.php

File adres IP Raspberry Pi być dostosowane: po prostu użyć nano.

deamon

Teraz jeszcze brakuje, demona, dostępne przez skrypt PHP interfejs WWW. W tym celu wracamy do zdalnego katalogu malinowy: Płyta CD ~/malinazdalny i kompilacji demona: robić demon
Teraz możemy rozpocząć tę:

sudo ./daemon &

Das & przyczyny, że proces działający w tle.

Teraz możemy spróbować szczęścia z interfejsem WWW: Dlatego wzywamy z innego komputera / mobilnego interfejsu WWW poprzez http://192.168.11.44/zdalny/ (Wstaw swój adres IP) na. Jeśli to działa i istnieje wiele placówek widoczne, potem trzeba już tylko w gniazdach i ewentualnie o nazwie config.php. kody, itp. dostosować. Konfiguracja powinna być oczywista.screenshot_webinterface

Jeśli pojawi się komunikat o błędzie, takich jak "Przełącz się poza zasięgiem: OTRZYMAĆ /:XY "dostaje, nie martw! W daemon.cpp są domyślnie tylko kody Dom 00000 & 00001 & 00010 pokryty. Można to jednak łatwo zmienić. Idź do z powrotem do katalogu malinowy Remote (ze mną /home / pi / malinowy-remote /, również poprzez

cd / home / pi / malina-remote /

i otwiera daemon.cpp z nano. Wewnątrz znajduje się wpis "nPlugs = 10;", które po prostu "nPlugs = 1110;". następniesudo make demona rekompilacji i sudo ./daemon & restart. Teraz powinna pracować z wami interfejs WWW.

 

obrzęk:

Niech Raspberry PI komunikują się ze sobą za sygnałów bezprzewodowych 433MHz

https://alexbloggt.com/funksteckdosen-raspberry-pi-teil1/

https://alexbloggt.com/funksteckdosen-raspberry-pi-teil2/

 

Dodatkowo jeszcze kilka innych wielkich projektów znalezionych

Ok google, Przełącz na liście -> https://blog.medienman.de/blog/2017/08/20/google-home-steuert-433-mhz-funksteckdosen/

letsencrypt na apache i linux

Jest to mały przewodnik jak skonfigurować letsencrypt na apache i linux

najpierw musimy pobrać narzędzie letsencrypt i przesunąć config próbki do właściwej pozycji

cd /opt
git clone https://github.com/lukas2511/letsencrypt.sh
mkdir -p /etc/letsencrypt.sh
mkdir -p /var/www/letsencrypt.sh/
chown www-data:www-data /var/www/letsencrypt.sh
cp /opt/letsencrypt.sh/docs/examples/config /opt/letsencrypt.sh/config
cp /opt/letsencrypt.sh/docs/examples/domains.txt /opt/letsencrypt.sh/domains.txt

skonfigurować plik konfiguracyjny letsencrypt

/opt / letsencrypt.sh / config.sh

basedir ="/etc / letsencrypt.sh /"
znaną ="/var / www / letsencrypt.sh /"
private_key ="${basedir}/private_key.pem"
HOOK ="${basedir}/hook.sh"
CONTACT_EMAIL ="my@mail.com"

 

skonfigurować theletsencrypt alias dla Apache

/etc / apache2 / conf.d / letsencrypt

Alias /.well-known/acme-challenge /var/www/letsencrypt.sh/
Options None
AllowOverride None
Order allow,deny
Allow from all

skonfigurować plik hook.sh do przeładunku apache

/etc / letsencrypt.sh / hook.sh

#!/bin/bash

if [ ${1} == "deploy_cert" ]; then
echo " + Hak: Ponowne uruchomienie Apache ..."
/etc/init.d/apache2 reload
else
echo " + Hak: Nic do roboty..."
fi

zmienić mod tego pliku

chmod + x /opt/letsencrypt.sh/hook.sh

skonfigurować plik domeny

/opt / letsencrypt.sh / Domeny

www.mosandl.eu
storage.mosandl.eu

uruchomić letsencrypt

/opt / letsencrypt.sh / odwodniony -c

stworzyć crontjob że certs będą generowane co tydzień

1  1	* * *	korzeń /opt/letsencrypt.sh/dehydrated -c

vhost

SSLEngine On
SSLCertificateFile      /etc/letsencrypt.sh/certs/storage.mosandl.eu/cert.pem
SSLCertificateKeyFile   /etc/letsencrypt.sh/certs/storage.mosandl.eu/privkey.pem
SSLCertificateChainFile /etc/letsencrypt.sh/certs/storage.mosandl.eu/chain.pem
SSLCACertificateFile    /etc/letsencrypt.sh/certs/storage.mosandl.eu/fullchain.pem
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

przepisuje

RewriteEngine On
RewriteCond %{REQUEST_URI} !^/.well-known
Alias /.well-known/acme-challenge /var/www/letsencrypt.sh/
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{NAZWA SERWERA}/$1 [R,L]

karnet proxy

ProxyPass /.well-known !
Alias ​​/.well-known/acme-challenge /var/www/letsencrypt.sh/

Błędy

Tworzenie infrastruktury klucza publicznego Za pomocą łatwych RSA Skrypty

Pierwszym krokiem podczas konfigurowania OpenVPN jest stworzenie Public Key Infrastructure (PKI). PKI składa się z:

  • Mistrz publicznego Certificate Authority (CA) Certyfikat i klucz prywatny.
  • Osobny certyfikat publiczny i klucz prywatny pary (określanego dalej jako certyfikat) dla każdego serwera i każdego klienta.

Aby ułatwić proces tworzenia certyfikatów, OpenVPN pochodzi z kolekcji RSA Główne skrypty manangement (w oparciu o narzędzia wiersza polecenia openssl) znany jako easy-rsa.

Uwaga: Tylko pliki .key muszą być utrzymywane w tajemnicy, .CRT i .csr pliki mogą być przesyłane przez niezabezpieczone kanały, takie jak e-mail zwykłego tekstu.

W tym artykule przedstawiono niezbędne certyfikaty są tworzone przez administratora w katalogu domowym roota. To gwarantuje, że wygenerowane pliki mają prawa własności i uprawnień, i są bezpieczne od innych użytkowników.

Uwaga: Certyfikaty mogą być tworzone na dowolnym komputerze. Dla najwyższego bezpieczeństwa, generowanie certyfikatów na fizycznie zabezpieczonym komputerze odłączony od każdej sieci, i upewnij się, że wygenerowany ca.key klucz prywatny jest w kopii zapasowej i nigdy dostępne dla każdego.
Ostrzeżenie: Upewnij się, że wygenerowane pliki są kopiowane, w szczególności pliki ca.key i ca.crt, ponieważ jeśli stracił nie będzie w stanie stworzyć każdy nowy, ani cofnąć żadnych skompromitowanych certyfikatów, wymagając w ten sposób wytworzenie nowego Certificate Authority (CA) certyfikat, unieważnienia całej infrastruktury PKI.

Instalacja easy-rsa skrypty

Instalowanie skryptów w następujący sposób:

# pacman -S łatwy RSA
# cp -r / usr / share / easy-rsa / root

Tworzenie certyfikatów

Przejdź do katalogu, w którym zainstalowano skrypty.

# cd / root / easy-rsa

Aby zapewnić spójne stosowanie wartości podczas generowania PKI, Wartości domyślny zestaw do wykorzystania przez skrypty generujące PKI. Edycja / root / easy-rsa / Vars i przynajmniej ustawić KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, i parametry KEY_EMAIL (nie pozostawiają żadnego z tych parametrów pusty). Zmiana parametru KEY_SIZE do 2048 dla SSL / TLS do korzystania 2048bit kluczy RSA do uwierzytelniania.

/root / easy-rsa / Vars
# Ustawienia parametrów łatwe RSA

# UWAGA: Jeśli zainstalowałeś z RPM,
# nie zmieniać ten plik w miejscu, w
# /usr / share / openvpn / easy-rsa --
# zamiast, należy skopiować cały
# Katalog easy-rsa do innej lokalizacji
# (taki jak / etc / openvpn) Tak więc, że
# zmiany nie zostaną wymazane przez przyszłości
# OpenVPN pakiet aktualizacyjny.

# Zmienna ta powinna wskazywać
# górny poziom easy-rsa
# drzewo.
eksport EASY_RSA ="`pwd`"

#
# Zmienna ta powinna wskazywać
# żądane pliki wykonywalne
#
eksport OpenSSL ="openssl"
eksport PKCS11TOOL ="pkcs11-tool"
eksport GREP ="grep"

# Zmienna ta powinna wskazywać
# plik włączone openssl.cnf
# z easy-rsa.
eksport KEY_CONFIG = `$ EASY_RSA / whichopensslcnf $ EASY_RSA`

# Edytować tę zmienną, aby wskazywał na
# Twój wkrótce zostać utworzony klucz
# informator.
#
# OSTRZEŻENIE: czyste-wszystko zrobi
# -rf rm na tym katalogu
# więc upewnij się określić
# prawidłowo!
eksport KEY_DIR ="$EASY_RSA / klawisze"

# Wydaj rm -rf ostrzeżenie
UWAGA echo: Jeśli prowadzisz ./clean-all, Będę robić -rf rm $ KEY_DIR

# poprawki pkcs11
eksport PKCS11_MODULE_PATH ="manekin"
eksport PKCS11_PIN ="manekin"

# Podnieś to 2048 Jeśli ty
# są paranoidalne.  Będzie to powolny
# w dół wyników negocjacji TLS
# jak również PARMS DH jednorazowych
# proces generacji.
eksport KEY_SIZE = 2048

# Na ile dni powinna klucz główny CA wygaśnie?
eksport CA_EXPIRE = 3650

# Na ile dni powinna certyfikaty wygasają?
eksport KEY_EXPIRE = 3650

# Są to wartości domyślne dla pól
# które będą umieszczane w certyfikacie.
# Nie zostawiaj żadnego z tych pól pustych.


eksport KEY_COUNTRY ="NAS"
eksport KEY_PROVINCE ="CA"
eksport KEY_CITY ="Acme Acres"
eksport KEY_ORG ="Kulminacja"
eksport KEY_EMAIL ="roadrunner@acmecorp.org"
#eksport KEY_EMAIL=mail@host.domain
eksport KEY_CN = Acme-CA
KEY_NAME eksport = Acme-CA
= KEY_OU eksport""
eksport PKCS11_MODULE_PATH = changeme
eksport PKCS11_PIN = 1234

Wyeksportować zmienne środowiskowe.

# ./vars źródłowe

Usuń wszystkie wcześniej utworzone certyfikatów.

# ./Wyczyść wszystko
Uwaga: Wprowadzanie . (kropka) Gdy pojawi się monit o wartości, wygasza się parametr.

Skrypt build-ca generuje Certificate Authority (CA) certyfikat.

# ./Build-like
generowanie 2048 bitowy klucz prywatny RSA
..............++++++
...++++++
pisanie nowego klucza prywatnego do „ca.key”
-----
Masz zamiar zostać poproszony o podanie informacji, które zostaną włączone
na żądanie certyfikatu.
Co masz zamiar wprowadzić to, co nazywa się nazwa wyróżniająca lub DN.
Istnieje sporo pola, ale można pozostawić niektóre puste
Dla niektórych dziedzinach nie będzie wartość domyślna,
Jeśli wpiszesz „”, pole zostanie pozostawiona pusta.
-----
Nazwa kraju (2 Kod list) [NAS]:
Stan lub nazwa prowincji (pełne imię i nazwisko) [CA]:
Nazwa miejscowości (na przykład, Miasto) [Acme Acres]:
Nazwa organizacji (na przykład, firma) [Kulminacja]:
Nazwa jednostki organizacyjnej (na przykład, Sekcja) []:
Nazwa zwyczajowa (na przykład, imię i nazwisko lub nazwa hosta twojego serwera) [Acme-CA]:
Nazwa [Acme-CA]:
Adres e-mail [roadrunner@acmecorp.org]:

Skrypt build-key-serwer # ./build-key-server <server name> generuje certyfikat serwera. Upewnij się, że nazwa serwera (Nazwa zwyczajowa podczas uruchamiania skryptu) jest unikalny.

Uwaga: Nie należy wprowadzać hasło wyzwaniem lub nazwę firmy, gdy skrypt monituje o jeden.
# ./build-key-serwer Elmer
generowanie 2048 bitowy klucz prywatny RSA
.....................++++++
.......................................................++++++
pisanie nowego klucza prywatnego do „elmer.key”
-----
Masz zamiar zostać poproszony o podanie informacji, które zostaną włączone
na żądanie certyfikatu.
Co masz zamiar wprowadzić to, co nazywa się nazwa wyróżniająca lub DN.
Istnieje sporo pola, ale można pozostawić niektóre puste
Dla niektórych dziedzinach nie będzie wartość domyślna,
Jeśli wpiszesz „”, pole zostanie pozostawiona pusta.
-----
Nazwa kraju (2 Kod list) [NAS]:
Stan lub nazwa prowincji (pełne imię i nazwisko) [CA]:
Nazwa miejscowości (na przykład, Miasto) [Acme Acres]:
Nazwa organizacji (na przykład, firma) [Kulminacja]:
Nazwa jednostki organizacyjnej (na przykład, Sekcja) []:
Nazwa zwyczajowa (na przykład, imię i nazwisko lub nazwa hosta twojego serwera) [Elmer]:
Nazwa [Acme-CA]:
Adres e-mail [roadrunner@acmecorp.org]:

Proszę podać następujące atrybuty „ekstra”
zostać wysłane z Twojego żądania certyfikatu
Hasło wyzwanie []:
Opcjonalna nazwa firmy []:
Korzystanie z konfiguracji z /root/easy-rsa/openssl-1.0.0.cnf
Sprawdź, czy wniosek jest zgodny z podpisem
podpis ok
Przedmiotem jest nazwa wyróżniająca się następująco
Nazwa kraju           :NADAJĄCY SIĘ DO DRUKU:'NAS'
stateOrProvinceName   :NADAJĄCY SIĘ DO DRUKU:'CA'
localityName          :NADAJĄCY SIĘ DO DRUKU:'Acme Acres'
Nazwa organizacji      :NADAJĄCY SIĘ DO DRUKU:'Kulminacja'
Nazwa zwyczajowa            :NADAJĄCY SIĘ DO DRUKU:'Elmer'
Nazwa                  :NADAJĄCY SIĘ DO DRUKU:'Acme-CA'
emailAddress          :IA5String:'Roadrunner@acmecorp.org'
Certyfikat ma być certyfikowany aż gru 27 19:11:59 2021 GMT (3650 dni)
Podpisania certyfikatu? [r / n]:i

1 poza 1 certyfikat żądania certyfikatów, popełnić? [r / n]r
Wypisać bazę danych 1 nowe wpisy
Data Base Aktualizacja

Skrypt build-dh generuje Parametry Diffie-Hellman .plik PEM potrzebne przez serwer.

Uwaga: Byłoby lepiej, aby wygenerować nowy dla każdego serwera, ale można użyć tego samego, jeśli chcesz.
# ./build-dh
Generowanie parametrów DH, 2048 trochę długo bezpieczny prime, generator 2
To będzie trwać długo
..+.............................................................................
.
.
.
............+...............+...................................................
..................................................................++*++*

Skrypt build-key # ./build-key <client name> generuje certyfikat klienta. Upewnij się, że nazwa klienta (Nazwa zwyczajowa podczas uruchamiania skryptu) jest unikalny.

Uwaga: Nie należy wprowadzać hasło wyzwaniem lub nazwę firmy, gdy skrypt monituje o jeden.
# ./budowa pod klucz bugów
generowanie 2048 bitowy klucz prywatny RSA
....++++++
.............................................................++++++
pisanie nowego klucza prywatnego do „bugs.key”
-----
Masz zamiar zostać poproszony o podanie informacji, które zostaną włączone
na żądanie certyfikatu.
Co masz zamiar wprowadzić to, co nazywa się nazwa wyróżniająca lub DN.
Istnieje sporo pola, ale można pozostawić niektóre puste
Dla niektórych dziedzinach nie będzie wartość domyślna,
Jeśli wpiszesz „”, pole zostanie pozostawiona pusta.
-----
Nazwa kraju (2 Kod list) [NAS]:
Stan lub nazwa prowincji (pełne imię i nazwisko) [CA]:
Nazwa miejscowości (na przykład, Miasto) [Acme Acres]:
Nazwa organizacji (na przykład, firma) [Kulminacja]:
Nazwa jednostki organizacyjnej (na przykład, Sekcja) []:
Nazwa zwyczajowa (na przykład, imię i nazwisko lub nazwa hosta twojego serwera) [błędy]:
Nazwa [Acme-CA]:
Adres e-mail [roadrunner@acmecorp.org]:

Proszę podać następujące atrybuty „ekstra”
zostać wysłane z Twojego żądania certyfikatu
Hasło wyzwanie []:
Opcjonalna nazwa firmy []:
Korzystanie z konfiguracji z /root/easy-rsa/openssl-1.0.0.cnf
Sprawdź, czy wniosek jest zgodny z podpisem
podpis ok
Przedmiotem jest nazwa wyróżniająca się następująco
Nazwa kraju           :NADAJĄCY SIĘ DO DRUKU:'NAS'
stateOrProvinceName   :NADAJĄCY SIĘ DO DRUKU:'CA'
localityName          :NADAJĄCY SIĘ DO DRUKU:'Acme Acres'
Nazwa organizacji      :NADAJĄCY SIĘ DO DRUKU:'Kulminacja'
Nazwa zwyczajowa            :NADAJĄCY SIĘ DO DRUKU:'błędy'
Nazwa                  :NADAJĄCY SIĘ DO DRUKU:'Acme-CA'
emailAddress          :IA5String:'Roadrunner@acmecorp.org'
Certyfikat ma być certyfikowany aż gru 27 19:18:27 2021 GMT (3650 dni)
Podpisania certyfikatu? [r / n]:i

1 poza 1 certyfikat żądania certyfikatów, popełnić? [r / n]r
Wypisać bazę danych 1 nowe wpisy
Data Base Aktualizacja

Generowanie tajemnicy Hash oparte kod uwierzytelnienia wiadomości (HMAC) uruchamiając: # openvpn --genkey --secret /root/easy-rsa/keys/ta.key

Będzie on służył dodać dodatkowy HMAC podpis do wszystkich pakietów / TLS SSL handshake. Oprócz wszystkich pakietów UDP nie mają prawidłowego HMAC podpis zostanie natychmiast spadła, ochrony przed:

  • Portscanning.
  • DOS atakuje na porcie UDP OpenVPN.
  • SSL / TLS Handshake inicjacje z nieautoryzowanych urządzeń.
  • Ewentualne luki przepełnienie bufora w implementacji SSL / TLS.

Wszystkie utworzone klucze i certyfikaty były przechowywane w / root / easy-klucze RSA /. Jeśli się pomylisz, można zacząć od nowa, ponownie uruchamiając oczyszczenia cały skrypt.

Ostrzeżenie: Spowoduje to usunięcie wszystkich wcześniej wygenerowanych certyfikatów przechowywanych w / root / easy-kluczy RSA /, włączając Certificate Authority (CA) certyfikat.

Konwersja certyfikaty zaszyfrowanej .p12

niektóre programy (takich jak Android) będzie tylko do odczytu certyfikaty VPN, które są przechowywane w zaszyfrowane hasłem pliku .p12. Te mogą być generowane za pomocą następującego polecenia:

# openssl pkcs12 -export -inkey klucze / bugs.key klucze -w / bugs.crt klucze -certfile / ca.crt wymeldowanie klawisze / bugs.p12

Sprawdzanie Korzystanie OpenSSL

Jeśli chcesz zapoznać się z informacjami w certyfikacie, CSR lub klucza prywatnego, używać tych poleceń. Możesz również sprawdzić CSRs oraz sprawdzić certyfikaty Korzystając z naszych narzędzi online.

  • Sprawdź żądania podpisania certyfikatu (CSR)
    openssl req -text -noout -verify -in CSR.csr
  • Sprawdź klucz prywatny
    openssl rsa -in privateKey.key -czek
  • Sprawdź certyfikat
    openssl x509 -in certificate.crt --noout tekst
  • Sprawdź pliku PKCS # 12 (.pfx lub .p12)
    openssl pkcs12 -info -in keyStore.p12

HTTP: niepełnosprawnych do połączenia (xxx)

[Wed Nov 26 12:11:53.835820 2014] [proxy:error] [pid 25184:tid 139835276719872] AH00940: HTTP: disabled connection for (xxx)

To dlatego, że SE Linux.

Naprawić to:

/usr/sbin/setsebool httpd_can_network_connect true

Albo można też wprowadzić ustawienia zabezpieczeń,

-> Przejdź do konfiguracji poziomu zabezpieczeń i zmienić kartę, aby SELinux

I modyfikowania polityki SELinux Check

Allow HTTPD scripts and modules to connect to the network

w ramach usługi httpd