P.S. Let.Me.Show.You.The.Way – 第 4 页

解决 snap 更新依赖关系错误

yum update ， snap 更新出错。就解决如下，注意修改版本号！

正在解决依赖关系
–> 正在检查事务
—> 软件包 snap-confine.x86_64.0.2.45.3.1-1.el7 将被升级
—> 软件包 snap-confine.x86_64.0.2.47.1-1.el7 将被更新
—> 软件包 snapd.x86_64.0.2.45.3.1-1.el7 将被升级
—> 软件包 snapd.x86_64.0.2.47.1-1.el7 将被更新
—> 软件包 snapd-selinux.noarch.0.2.45.3.1-1.el7 将被升级
—> 软件包 snapd-selinux.noarch.0.2.47.1-1.el7 将被更新
–> 正在处理依赖关系 selinux-policy-base >= 3.13.1-268.el7，它被软件包 snapd-selinux-2.47.1-1.el7.noarch 需要
–> 解决依赖关系完成
错误：软件包：snapd-selinux-2.47.1-1.el7.noarch (epel)
需要：selinux-policy-base >= 3.13.1-268.el7
已安装: selinux-policy-targeted-3.13.1-266.el7_8.1.noarch (@updates)
selinux-policy-base = 3.13.1-266.el7_8.1
可用: selinux-policy-minimum-3.13.1-266.el7.noarch (base)
selinux-policy-base = 3.13.1-266.el7
可用: selinux-policy-minimum-3.13.1-266.el7_8.1.noarch (updates)
selinux-policy-base = 3.13.1-266.el7_8.1
可用: selinux-policy-mls-3.13.1-266.el7.noarch (base)
selinux-policy-base = 3.13.1-266.el7
可用: selinux-policy-mls-3.13.1-266.el7_8.1.noarch (updates)
selinux-policy-base = 3.13.1-266.el7_8.1
可用: selinux-policy-targeted-3.13.1-266.el7.noarch (base)
selinux-policy-base = 3.13.1-266.el7
您可以尝试添加 –skip-broken 选项来解决该问题
您可以尝试执行：rpm -Va –nofiles –nodigest

首先:

package-cleanup --cleandupes yumdownloader snapd-selinux-2.47.1-1.el7.noarch

之后：

rpm --force --nodeps -ivh snapd-selinux-2.47.1-1.el7.noarch.rpm

准备中… ################################# [100%]
正在升级/安装…
1:snapd-selinux-2.47.1-1.el7 ################################# [100%]

再次 yum update 成功！

openEuler-20.03-LTS 配置repo更新源

openEuler-20.03-LTS 更新出错
修改配置repo更新源
openEuler 与华为云中的 EulerOS 不是同一个发行版本？？

今天下载了华为的openEuler。装在电脑虚拟机里。

yum update 发现没有配置repo，于是想把Repo源换成华为的，按照华为云操作 https://mirrors.huaweicloud.com/

在/etc/yum.repos.d目录下，创建文件EulerOS.repo，设置为

[base]
name=EulerOS-2.0SP5 base
baseurl=http://mirrors.huaweicloud.com/euler/2.5/os/x86_64/
enabled=1
gpgcheck=1
gpgkey=http://mirrors.huaweicloud.com/euler/2.5/os/RPM-GPG-KEY-EulerOS

然后update。显示出错：

[root@Euler ~]# yum update
Last metadata expiration check: 0:18:26 ago on 2020年04月14日 星期二 22时18分26秒
Error:
 Problem 1: cannot install both perl-Compress-Raw-Zlib-1:2.061-4.x86_64 and perl
  - package perl-IO-Compress-2.081-6.oe1.noarch requires perl(Compress::Raw::Zli
  - cannot install the best update candidate for package perl-Compress-Raw-Zlib-
  - problem with installed package perl-IO-Compress-2.081-6.oe1.noarch
 Problem 2: package perl-Time-HiRes-4:1.9725-3.x86_64 requires perl(:MODULE_COMP
  - cannot install both perl-4:5.16.3-285.h2.x86_64 and perl-4:5.28.0-434.oe1.x8
  - cannot install both perl-4:5.16.3-285.h4.x86_64 and perl-4:5.28.0-434.oe1.x8
  - cannot install both perl-4:5.16.3-285.h3.x86_64 and perl-4:5.28.0-434.oe1.x8
  - cannot install the best update candidate for package perl-Time-HiRes-1.9760-
  - problem with installed package perl-4:5.28.0-434.oe1.x86_64
 Problem 3: package python-2.7.5-58.h13.x86_64 obsoletes python2 provided by pyt
  - package python2-debug-2.7.16-15.oe1.x86_64 requires python2 = 2.7.16-15.oe1,
  - cannot install the best update candidate for package python2-2.7.16-15.oe1.x
  - problem with installed package python2-debug-2.7.16-15.oe1.x86_64
 Problem 4: package qemu-img-10:1.5.3-156.5.h2.x86_64 requires libiscsi.so.2()(6
  - cannot install both libiscsi-1.9.0-6.x86_64 and libiscsi-1.18.0-6.oe1.x86_64
  - cannot install the best update candidate for package qemu-img-2:4.0.1-11.oe1
  - problem with installed package libiscsi-1.18.0-6.oe1.x86_64
 Problem 5: package python2-debug-2.7.16-15.oe1.x86_64 requires python2-devel =
  - package python2-2.7.16-15.oe1.x86_64 requires libpython2.7_d.so.1.0()(64bit)
  - package python-devel-2.7.5-58.h13.x86_64 obsoletes python2-devel provided by
  - package python2-tkinter-2.7.16-15.oe1.x86_64 requires python2 = 2.7.16-15.oe
  - cannot install the best update candidate for package python2-devel-2.7.16-15
  - problem with installed package python2-tkinter-2.7.16-15.oe1.x86_64
(try to add '--allowerasing' to command line to replace conflicting packages or

如上面所示，update 总是出错。

然后换成 EulerOS-2.0SP3 base ，SP2，SP1 都是依然出错。

最后在文档的 “系统安装”中找到一个 repo源的链接：https://openeuler.org/zh/docs/20.03_LTS/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%AE%89%E8%A3%85.html

正确的repo源地址是：http://repo.openeuler.org/openEuler-20.03-LTS/OS/x86_64/

/etc/yum.repos.d/EulerOS.repo 配置为：

[base]
name=openEuler-20.03-LTS base
baseurl=https://repo.openeuler.org/openEuler-20.03-LTS/OS/x86_64/
enabled=1
gpgcheck=1
gpgkey=https://repo.openeuler.org/openEuler-20.03-LTS/OS/x86_64/RPM-GPG-KEY-openEuler

之后再次update成功！

yum clean all
yum makecache
yum update

openEuler-20.03-LTS base                                                                                                                                                            36 kB/s | 2.7 MB     01:18
Last metadata expiration check: 0:00:56 ago on 2020年04月14日 星期二 23时17分46秒.
Dependencies resolved.
Nothing to do.
Complete!

原因在于： openEuler 与华为云中的 EulerOS 是两个不同的发行版本!!!

CentOS 7 更新PHP版本到 PHP7

懒的狠，直接粘来。自己看

Update VestaCP to PHP 7.2 on CentOS 7

Chrome 与 Flash 说再见

Adobe宣布计划在2020年底停止支持Flash。

20年来，Flash一直在帮助您塑造在网络上玩游戏、观看视频和运行应用程序的方式。但是在过去的几年里，flash已经不那么常见了。三年前，80%的桌面Chrome用户每天访问一个带有Flash的网站。今天的使用率只有17%，而且还在继续下降。

这一趋势表明，网站正在向比Flash更快、更节能的开放式Web技术转移。它们也更安全，因此在购物、银行或阅读敏感文档时更安全。它们也可以在移动和桌面上工作，所以你可以在任何地方访问你最喜欢的站点。

这些开放式Web技术在去年年底成为Chrome的默认体验，当时网站开始需要请求您的许可才能运行Flash。在接下来的几年里，Chrome将继续逐步淘汰Flash，首先是请求您允许在更多情况下运行Flash，最后在默认情况下禁用它。到2020年底，我们将把flash完全从chrome中删除。

如果你今天经常访问一个使用flash的网站，你可能会想知道这对你有何影响。如果网站迁移到开放式Web标准，除了不再看到在该网站上运行flash的提示外，您不应该注意到有什么不同。如果站点继续使用flash，并且您授予站点运行flash的权限，那么它将一直工作到2020年底。

为了确保网络准备好无闪存，需要与Adobe、其他浏览器和主要发行商密切合作。我们支持Adobe今天的声明，我们期待着与所有人合作，使网络变得更好。

常见的洗钱方法

常见的洗钱方法有：

旅行支票：海关会对于通关者携带的现金要求申报，未申报者超过限制者没收，但不会对携带旅行支票者做金额的限制，重点在于无背书转让给第三者，因为支票被存入银行兑现，最终会回到原发票人的手中。
在赌场以代币间接兑换：在赌场中兑换成代币，再将代币直接交付给洗钱的受益人。再由他去将代币兑换回现金（通常需要5%左右的手续费），在外可声称在赌场内赌赢的。这样可以避免透过纸钞上的编号直接追查到洗钱的受益人。常用于各国可将代币兑换回现金的职业赌场。
购买已经中奖的彩票或马票：与银行勾结，以高价向得主私下购买已得奖的票券，并公开兑换。
购买无记名债券或期货
购买古董珠宝或具价值收藏品、高价中古精品：利用低买高卖的假买卖，将钱以合法的交易方式，洗到目的账号。此方式亦常用于收贿的收钱方式；或购买具价值的古董珠宝或收藏品，再讹称为自家收藏品在市场上放售，一般会购买没有记号的物品如文物、邮票或历史悠久的名厂乐器。或私下购买多部名车，中古私人飞机，珠宝名牌等高价值物转售。
纸上公司的假买卖：用空壳、信用不良、股份公司做假交易、股票投资、偿还债务等方式洗钱。
购买保险：将大笔金额投保，期间亦可不断提升保金，转换保险计划，待一定年数后取回，届时可疑的因素已遭淡化。
基金会：不肖政客，成立基金会，假捐赠给基金会，诱骗企业捐款，再掏空。企业或财团，利用假捐赠给自己能掌控的基金会，左手搬钱到右手，逃漏所得税。政客或企业利用赈灾名义募款，可是募到的善款私自挪用，或用各种名目扣住善款于私人户头。在跨国洗钱活动中，以各地不同慈善名义的基金会中互相转换款额。
跨国多次转汇与结清旧账户：利用转汇的相关单据有保存期限的漏洞。
直接跨国搬运：利用专机或具有海关免验的身份者，直接把钱搬到外国，常用100美元的纸钞方式运送。
人头账户：由于最怕黑吃黑，怕人头到银行声称存折与提款卡与印章丢失，另行申请新的存折与提款卡并变更印鉴，进行盗领。所以通常用于人头本身所不知的外国开户。
外币活存账户：使用多次小额存款的方式存入，再到外国提领外币。俗称“蚂蚁搬砖”，常配合“人头账户”使用。
跨国交易：常见于无实体商品的产业。利用交易金额造假灌水的方式，先透过合法的方式将金钱汇往外国掮客的账户，再通过外国账户分钱，分清原本的交易金额、掮客的佣金与原本要洗出去的钱；或利用各地的商品贸易，例如以过高金额购买普通消费品，将大量款项汇到国外账户，装作用以支付买货款项。反过来亦可将商品高价出售，让国外的洗钱伙伴将款项汇进国内。
地下汇兑：常见于不肖的卖珠宝金饰的银楼。除了非法兑换外币以外，甚至可将现金兑换为外国的无记名与背书的支票，供客户至外国的账户存入。
跨国企业的资金调度：常见于金融业，银行或保险业等，常以大批的现金纸钞进行跨国搬运。例如以麻绳捆绑、纸箱方式搬运。
百货公司的礼券：具有高度的流通性，但由于具有不易兑换回现金的特性，故需有一定的人脉，才方便消化礼券。例如转卖给各公司的员工福利机构，将礼券做为其各公司员工的节假日奖金方式发放。就这样把礼券洗到不知情的第三者手中，原礼券持有人则取回接近等值的现金。
人头炒楼：使用人头购买房地产，向承包商或开发商以市价五至七折买入，以现金支付。然后在短期内快速脱手（例如预售屋在交屋前），获利约50%－100%。
假借贷：常用于收贿或贪污。收钱的人持有对方开立的远期兑现的本票或支票。即使被查到这张本票或支票，可声称为借贷关系。等风头过了或不在其位，没有明显的对价关系时，再把本票或支票转手给第三者，或是扎进银行兑现。或是贪污被揭发的人说要还钱，但开立本票或支票，只要没有兑现，就没有真正的还钱。
伪币或伪钞：将伪币或伪钞，通过多次小金额消费行为，或是利用自动贩卖机找零行为，或是纸钞兑换成硬币的机器。将伪币或伪钞洗成真钱。
黑道：购入价值的毒品贩毒、地下枪械等。将赃款转嫁给他人。
比特币（Bitcoin）等加密货币：基于比特币等加密货币的匿名性，且可自由、不记名的产生不同的比特币钱包，搭配混币服务，难以追踪真实身份，是近年来常见的洗钱工具。
第三方或者第四方支付平台：部分第三方支付平台存在账户未实名注册、管理不规范等问题，致使一些账号可以在网络上直接买卖，部分平台沦为电信诈骗团伙套取、漂白非法资金的“绿色通道”。诈骗团伙利用第三方支付平台转移赃款和洗钱的手段一般有3种：通过第三方支付平台发行的商户POS机虚构交易套现；将诈骗得手的资金转移到第三方支付平台账户，在线购买游戏点卡、比特币等物品后转卖套现；将赃款在银行账户和第三方支付平台之间多次转账切换，逃避公安追查。

Windows下 NTP时间服务器设置

NTP时间服务器
pool.ntp.org: public ntp time server ： https://www.ntppool.org/zh/

pool.ntp.org 是一个以时间服务器的大虚拟集群为上百万的客户端提供可靠的易用的网络时间协议（NTP）服务的项目

NTP池正在为世界各地成百上千万的系统提供服务。它是绝大多数主流Linux发行版和许多网络设备的默认“时间服务器”

国内NTP服务 http://ntp.org.cn/pool.php

设置

Windows 可以使用系统内置的ntp客户端：以管理员权限在命令行运行如下指令：

w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org"

这在Windows 2003及之后的版本中被支持。如果您使用旧版的Windows，您可以尝试如下指令：

net time /setsntp:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org"

作为管理员，右键任务栏的时钟，选择“更改日期和时间设置…”，并且在“Internet时间”选项卡下输入服务器名也能达到同样的效果。

禁用software_reporter_tool.exe 解决CPU高占用率的问题

今天开机后，从几分钟到半个小时之间，感觉机器反应有些慢，发现CPU占用80-90%。查看任务管理器，

有一个 software_reporter_tool.exe 的程序占用了一半的CPU使用率。转到文件所在文件夹查看，发现是 Google Chrome 使用的一个文件。

查询该文件，发现 software_reporter_tool.exe 会扫描系统，类似
Chrome 的一个计划任务，每周启动扫描一次，运行大约20-25分钟。它会扫描
Google Chrome 浏览器未能正常运行的程序问题，比如多次未正常关闭
Chrome ，或某些恶意软件或应用程序导致Chrome浏览器运行中出现错误，它就会扫面检查问题通知你并删除该受感染程序。

简单来说，Software Reporter Tool 是 Chrome 清理报告工具 ，帮助维持Google Chrome正常运行。但是效率上的低下，让我感觉到系统延迟，要想办法让他以后停止执行。

文件位置： C：\ Users \ {您的用户名} \ AppData \ Local \ Google \ Chrome \用户数据\ SwReporter \ {版本号}\ software_reporter_tool.exe

网上看到方法是，修改 Chrome 设置，“ 将使用情况统计信息和崩溃报告自动发送给 Google ”的选项关闭，我看了我的设置本身就是关闭的。解决无效，然后自己找到了用最简单的方法，
C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\SwReporter\36.184.200 下编辑 manifest.json文件：

“allow-reporter-logs”: true 修改为 “allow-reporter-logs”: false

这样它会自己停止运行，并且下次不再启动。

sqlite 简单手记

delete from TableName;  //清空数据 
update sqlite_sequence SET seq = 0 where name ='TableName';//自增长ID为0

更新删除时，如何插入有单引号（'）的字符串，将所有单引号替换为两个单引号
 
sql = sql.Replace("'","''"); 

保存到SQLite数据库中时自动恢复为单引号,也就是说使用双单引号即可，例如：
 INSERT INTO TableName VALUES('James''s Street');
 插入数据库的是： James's Street 。

sqlite数据库在搜索的时候，一些特殊的字符需要进行转义，具体的转义如下：
     /   ->    //
     ‘   ->    ”
     [   ->    /[
     ]   ->    /]
     %   ->    /%
     &   ->    /&
        ->    /
     (   ->    /(
     )   ->    /)

免费SSL证书 – Let’s Encrypt 与 certbot 延期

给网站加了SSL，用的 Let’s Encrypt 。后来看有效期只有90天，官网推荐用 certbot 延期，开始感觉挺麻烦，但看到一篇文章，写的很好，转贴留存一下！

文章出自：https://ksmx.me/letsencrypt-ssl-https/

现在用 Let’s Encrypt。StartSSL 的免费证书有效期是1年，1年后需要手动更换。配置过程还挺麻烦的。

更推荐 Let’s Encrypt，虽然有效期只有3个月，但可以用 certbot 自动续期，完全不受影响。而且 Let’s Encrypt 因为有了 certbot 这样的自动化工具，配置管理起来非常容易。

生成 Let’s Encrypt 证书

Let’s Encrypt 证书生成不需要手动进行，官方推荐 certbot 这套自动化工具来实现。3步轻松搞定：

下载安装 certbot (Let’s Encrypt项目的自动化工具)
创建配置文件
执行证书自动化生成命令

下面的教程运行在 Arch Linux 上，其他操作系统也大同小异。你可以在 certbot 网站上，选择你的 Web Server 和操作系统，就能看到对应的安装和配置教程。

1. 下载安装 certbot

在 Arch Linux 上，安装很简单：

$ sudo pacman －Syu
$ sudo pacman -S certbot

2. 创建配置文件

先创建存放配置文件的文件夹：

$ sudo mkdir /etc/letsencrypt/configs

编辑配置文件：

$ sudo vim /etc/letsencrypt/configs/example.com.conf

把 example.com 替换成自己的域名，配置文件内容：

# 写你的域名和邮箱
domains = example.com
rsa-key-size = 2048
email = your-email@example.com
text = True

# 把下面的路径修改为 example.com 的目录位置
authenticator = webroot
webroot-path = /var/www/example

这里需要解释一下，上面配置文件用了 webroot 的验证方法，这种方法适用于已经有一个 Web Server 运行中的情况。certbot 会自动在 /var/www/example 下面创建一个隐藏文件 .well-known/acme-challenge ，通过请求这个文件来验证 example.com 确实属于你。外网服务器访问 http://www.example.com/.well-known/acme-challenge ，如果访问成功则验证OK。

我们不需要手动创建这个文件，certbot 会根据配置文件自动完成。

3. 执行证书自动化生成命令

一切就绪，我们现在可以运行 certbot 了。

$ sudo certbot -c /etc/letsencrypt/configs/example.com.conf certonly

## 片刻之后，看到下面内容就是成功了
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem.

如果运行顺利，所有服务器所需要的证书就已经生成好了。他们被放在了 /etc/letsencrypt/live/example.com/ 下：

$ ls /etc/letsencrypt/live/example.com/
cert.pem #server cert only
privkey.pem #private key
chain.pem #intermediates
fullchain.pem #server cert + intermediates

配置 Nginx 加入证书

到这里已经成功一大半了，只需要配置 Nginx 支持刚刚生成的证书。而且这个配置有最佳实践可以参考，访问：Mozilla SSL Configuration Generator，这是 Mozilla 搞得一个 HTTPS 配置文件自动生成器，支持 Apache，Nginx 等多种服务器。按照这个配置文件，选择 Intermediate 的兼容性。这里生成的配置文件是业界最佳实践和结果，让 Nginx 打开了各种增加安全性和性能的参数。

默认配置文件是这样的：

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /path/to/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    resolver <IP DNS resolver>;

    ....
}

请根据自己的服务配置修改和添加内容，重点只需要关注6行：

server {
	listen 443 ssl http2;
	....
	ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
	ssl_dhparam /etc/nginx/ssl/dhparam.pem;

	ssl_trusted_certificate /etc/letsencrypt/live/example.com/root_ca_cert_plus_intermediates;

	resolver <IP DNS resolver>;
	....
}

这6行中，部分文件还不存在，逐个说明。

首先是第一行 listen 443 ssl http2; 作用是启用 Nginx 的 ngx_http_v2_module 模块支持 HTTP2，Nginx 版本需要高于 1.9.5，且编译时需要设置 --with-http_v2_module 。Arch Linux 的 Nginx 安装包中已经编译了这个模块，可以直接使用。如果你的 Linux 发行版本中的 Nginx 并不支持这个模块，可以自行 Google 如何加上。

ssl_certificate 和 ssl_certificate_key ，分别对应 fullchain.pem 和 privkey.pem，这2个文件是之前就生成好的证书和密钥。

ssl_dhparam 通过下面命令生成：

$ sudo mkdir /etc/nginx/ssl
$ sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

（可选）ssl_trusted_certificate 需要下载 Let’s Encrypt 的 Root Certificates，不过根据 Nginx 官方文档所说，ssl_certificate 如果已经包含了 intermediates 就不再需要提供 ssl_trusted_certificate，这一步可以省略：

$ cd /etc/letsencrypt/live/example.com
$ sudo wget https://letsencrypt.org/certs/isrgrootx1.pem
$ sudo mv isrgrootx1.pem root.pem
$ sudo cat root.pem chain.pem > root_ca_cert_plus_intermediates

resolver 的作用是 “resolve names of upstream servers into addresses”，在這個配置中，resolver 是用來解析 OCSP 服務器的域名的，建议填写你的 VPS 提供商的 DNS 服务器，例如我的 VPN 在 Linode，DNS服务器填写：

resolver 106.187.90.5 106.187.93.5;

Nginx 配置完成后，重启后，用浏览器测试是否一切正常。

$ sudo systemctl restart nginx

这时候你的站点应该默认强制使用了 HTTPS，并且浏览器地址栏左边会有绿色的小锁：

自动化定期更新证书

Let’s Encrypt 证书有效期是3个月，我们可以通过 certbot 来自动化续期。

在 Arch Linux 上，我们通过 systemd 来自动执行证书续期任务。

$ sudo vim /etc/systemd/system/letsencrypt.service

[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos
ExecStartPost=/bin/systemctl reload nginx.service

然后增加一个 systemd timer 来触发这个服务：

$ sudo vim /etc/systemd/system/letsencrypt.timer

[Unit]
Description=Monthly renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

启用服务，开启 timer：

$ sudo systemctl enable letsencrypt.timer
$ sudo systemctl start letsencrypt.timer

上面两条命令执行完毕后，你可以通过 systemctl list-timers 列出所有 systemd 定时服务。当中可以找到 letsencrypt.timer 并看到运行时间是明天的凌晨12点。

在其他 Linux 发行版本中，可以使用 crontab 来设定定时任务，自行 Google 吧。

用专业在线工具测试你的服务器 SSL 安全性

Qualys SSL Labs 提供了全面的 SSL 安全性测试，填写你的网站域名，给自己的 HTTPS 配置打个分。

如果你完全按照我上面教程配置，遵循了最佳实践，你应该和我一样得分是 A+

Asp.Net core Linux 监听端口的设置

在linux测试跑.net core，默认端口是5000，5001. 需要修改

尝试有以下几种方式：

1. 在项目csproj文件在linux中，编辑Properties/launchSettings.json文件中的 “applicationUrl”: “http://*:5000;http://*:5050”

2.编辑Program，直接在代码里定义

public class Program
{
    public static void Main(string[] args)
    {
        var host = new WebHostBuilder()
            .UseKestrel()
            .UseContentRoot(Directory.GetCurrentDirectory())
            .UseIISIntegration()
            .UseStartup<Startup>()
            .UseUrls("http://*:5001/")
            .Build();

        host.Run();
    }
}

3.添加配置文件hosting.json，然后在Program中加载配置文件

public static void Main(string[] args)
{
    var config = new ConfigurationBuilder()
        .SetBasePath(Directory.GetCurrentDirectory())
        .AddJsonFile("hosting.json", true)
        .Build();

    var host = new WebHostBuilder()
        .UseKestrel(options => options.AddServerHeader = false)
        .UseConfiguration(config)
        .UseContentRoot(Directory.GetCurrentDirectory())
        .UseIISIntegration()
        .UseStartup<Startup>()
        .Build();

    host.Run();
}

4. 直接启动时增加参数，两种

在发布文件夹下直接加载dll：

dotnet WebApp1.dll --server.urls "http://*:5001;http://*:5002"

在项目文件下：

dotnet run --urls="http://*:5001/;http://*:5051/"