certbot 的 Let's Encrypt -DNS認證用法

把斜體字換成你的網址即可

certbot -d dns.david888.com --manual --preferred-challenges dns certonly

這樣的認證有好處
直接在godaddy 上 DNS TXT新增一筆就可以通過Let's Encrypt認證

不用打開主機的防火牆設置

DHCP Option 2 (Time Offset) Mikrotik RouterOS

在RouterOS上可以設定的小細節非常多
例如DHCP
就可以設定一些參數讓設備讀到並進行自行設置
這次介紹 DHCP 2 的參數 可以讓下游的設備自行定義好 +0800時區

在IP > DHCP Server 中
設置value 0x00007080
就是台灣時區


The hexadecimal values are set to have a fixed length of 32 bits as specified in Option 2 of the DHCP RFC 2132. SonicWall does not accept negative numbers for the time offset, Hex must be used.

GMT offset
(in hr)
GMT offset in secondsGMT offset in Hexadecimal
000x00000000
+136000x00000E10
+272000x00001C20
+3108000x00002A30
+4144000x00003840
+5180000x00004650
+6216000x00005460
+7252000x00006270
+8288000x00007080
+9324000x00007E90
+10360000x00008CA0
+11396000x00009AB0
+12432000x0000A8CD
-1N/A0xFFFFF1F0
-2N/A0xFFFFE3E0
-3N/A0xFFFFD5D0
-4N/A0xFFFFC7CD
-5N/A0xFFFFB9B0
-6N/A0xFFFFABA0
-7N/A0xFFFF9D90
-8N/A0xFFFF8F80
-9N/A0xFFFF8170
-10N/A0xFFFF7360
-11N/A0xFFFF6550

 

DAVID888 Dot Doh DNS服務 dns.david888.com

基於 AdGuard Home 服務
The service it's based on the AdGuard Home
本服務收到的 DNS 請求,會全部返回上游 tls://8.8.8.8 與 tls://101.101.101.101
All receive of the dns query requests will forward to the tls://dns.google tls://101.101.101.101
會紀錄任何 DNS 查詢結果
The service will record all dns query now
支援 DNS over HTTPS, DNS over TLS, 
Support both of DNS encryption, (DNS over HTTPS, DNS over TLS)

  • https://dns.david888.com/dns-query
  • tls://dns.david888.com:853
  • tls://dns.david888.com
  • 59.126.167.87

  • DNS 隱私
    DNS-over-TLS:使用 tls://dns.david888.com:853 字串。
    DNS-over-HTTPS:使用 https://dns.david888.com/dns-query 字串。

    請注意,加密的 DNS 協定僅於 Android 9 上被支援。所以您需要安裝額外的軟體供其它的作業系統。

    這裡是您可使用的軟體之清單。

    Android
    • Android 9 原生地支援 DNS-over-TLS。為了配置它,去設定 → 網路 & 網際網路 → 進階 → 私人 DNS 並在那輸入您的域名。
    • AdGuard for Android 支援 DNS-over-HTTPS 和 DNS-over-TLS
    • Intra 對 Android 增加 DNS-over-HTTPS 支援。
    iOS
    • DNSCloak 支援 DNS-over-HTTPS,但為了配置它以使用您自己的伺服器,您將需要為它產生一個 DNS 戳記
    • AdGuard for iOS 支援 DNS-over-HTTPS 和 DNS-over-TLS 設置。
    其它的執行
    • 於任何的平台上,AdGuard Home 它本身可以是安全的 DNS 用戶端。
    • dnsproxy 支援所有已知安全的 DNS 協定。
    • dnscrypt-proxy 支援 DNS-over-HTTPS
    • Mozilla Firefox 支援 DNS-over-HTTPS



     
    網路上很多都是教網站驗證方式
    但我比較喜歡用DNS驗證方式申請 letsencrypt.org 憑證

    certbot -d david888.com --manual --preferred-challenges dns certonly

    然後打開 DNS管理
    新增一筆_acme-challenge的 txt 數值


    Please deploy a DNS TXT record under the name
    _acme-challenge.david888.com with the following value:

    2S3E3RL6OoG6N7KkOLEeeCorAYC4S-dx4UhkYXfXl6M

    Before continuing, verify the record is deployed.


    完工



    糟糕的 UBNT Unifi 的體驗


    新增說明文字

    Raspberry Pi 真的是很好用的居家必備小工具

    再升級家裡Wi-Fi AP的 WPA2 Person 為 企業級認證上 
    Raspberry Pi 只要安裝 FreeRadius 服務
    馬上家裡每個人設備都能享受個人化的 Wi-Fi 密碼認證
    不再擔心家裡的 WiFi密碼外洩或者有家人裝了什麼 WiFi萬能鑰匙等APP 把密碼外洩到公眾資料庫上

    馬上來Raspberry上安裝

    Install FreeRADIUS 3.0

    $ sudo apt update
    $ sudo apt install freeradius
    

    產生Openssl DH Parameters

    $ sudo openssl dhparam -out /etc/freeradius/3.0/certs/dh 2048
    

    你也可以在PC上用 openssl for windows 小工具來製作,速度會比在樹梅派上快很多

    Generate產生憑證 Certificates

    編輯 ca.cnf 

    $ sudo nano /etc/freeradius/3.0/certs/ca.cnf
    

    有兩個重要參數要改掉 input_password 與 output_password 

    然後把一些你的個人或組織資訊編輯修正 如國家 省分 公司 等等

    Make 產生 CA certificate:

    $ sudo /etc/freeradius/3.0/certs/make ca.pem
    

    編輯 server.cnf 

    $ sudo nano /etc/freeradius/3.0/certs/server.cnf
    

    有兩個重要參數要改掉 input_password 與 output_password 

    然後把一些你的個人或組織資訊編輯修正 如國家 省分 公司 等等

    產生認證Server certificates

    $ sudo /etc/freeradius/3.0/certs/make server.pem
    

    修正 EAP Configuration

    開啟config

    $ sudo vim /etc/freeradius/3.0/mods-enabled/eap
    

    在 “eap” 區塊, 把 “default_eap_type” 從 md5 改成 tls.

    default_eap_type = tls
    

    繼續修改在 tls-config 區段中的參數 private_key_password 

    tls-config tls-common {
        private_key_password    = output_password from server.cnf
        private_key_file        = ${certdir}/server.key
        certificate_file        = ${certdir}/server.crt
        ca_file                 = ${certdir}/ca.pem
        dh_file                 = ${certdir}/dh
        ecdh_curve              = "secp384r1"
    }
    

    增加Wi-Fi AP 端

    The clients can be found in the following file:

    $ sudo nano /etc/freeradius/3.0/clients.conf
    

    Feel free to remove the localhost entry after our first test at the end of this guide.

    Add your client to the file. This example is for a Wi-Fi AP

    client arubaAP01 {
        secret    = your_unique_client_secret
        ipaddr    = 10.0.0.5
        shortname = arubaAP01 
    }

    增加使用者

    Open up the users file

    $ sudo nano /etc/freeradius/3.0/users
    

    Add your users to the file, e.g:

    david    Cleartext-Password := "passwordPPP" 

    啟動 Start and Test the Server

    Start the server

    $ sudo /etc/init.d/freeradius start
    

    Test the connection

    $ radtest david passwordPPP localhost 0 testing123
    

    重新產生憑證  

    /etc/freeradius/3.0/certs 這資料夾中執行以下指令即可清除舊憑證

     rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*


    開啟LOG
    /etc/freeradius/3.0/radiusd.conf
    把[auth = no] 改成 yes



    LinkWithin

    Related Posts with Thumbnails
    top