博主前几年合作伙伴方式将域名添加到 Cloudflare ，与将域名NS托管到 Cloudflare 相比，这种方式允许将域名托管到其他 NS 解析，将需要的子域名通过 CNAME 方式使用 Cloudflare 云服务，之前用着好好的，最近1年有3个域名可以添加解析，但无法申请SSL证书，只能使用 SaaS 方式暂时解决，前几天无意中看到一篇博客，自己实践下，可以解决无法申请SSL证书问题。

探索

用 Dnsflare 管理 DNS 解析，进行SSL证书申请测试，结果如下：

接入商是Wzfou Co.时可以正常添加DNS解析，查询DNS解析也是正常，但在 Cloudflare 中的SSL/TLS-边缘证书却是空的，无论怎么操作都无法申请SSL证书。以下是博主解决这个问题的步骤：

方法

1. 创建 Cloudflare Pages，上传一些内容，并确保可以正常访问。
2. 在创建的 Cloudflare Pages 的自定义域中将无法申请SSL证书的域名添加进去，将域名解析到 Cloudflare Pages ，确保可以通过自定义域名访问 Cloudflare Pages 。
3. 此时，通过 Dnsflare 或 Cloudflare 将指向 Cloudflare Pages 的记录修改为自己需要的实际记录，相当绕过了边缘证书里的证书申请。
4. 不要删除 Cloudflare Pages 的自定义域中添加的域名，否则SSL证书会同步删除，SSL证书能否续签待验证。

参考链接：

1. 奇怪的问题 | Cloudflare SSL 边缘证书签发问题

阿里云的 ESA 可以在域名备案的情况下使用国内节点，在这之前我一般是国外使用 Cloudflare ，国内使用 Amazon CloudFront ，尝试使用阿里云 ESA 后，发现需要将域名解析到 ESA 上，博主需要国外节点 Cloudflare ，国内节点 ESA ，这样 ESA 使用 HTTP 申请证书就会遇到问题，阿里云可以手动上传证书，就萌生了制作一个用 GitHub Actions 续签证书并上传到阿里云的想法，博主查找一些资料并在 AI 的帮助下创建一个项目 lego-esa-renew 以下是详细说明。

运行

环境变量说明

Lego运行所需要的变量

注意：CERT_PATH是证书保存位置，只能是字符或字符+数字，尽可能不要加特殊字符。 RENEW_OPTION变量是指明lego运行方式，默认为 renew续签，当为 run时，需要特殊处理，这个会之后说明。

阿里云CLI运行所需变量

流程图

仓库树形图

lego-esa-renew
├─ site-id   # ESA站点 ID ，解决更改SITE_ID变量时没有原始记录问题
├─ Dockerfile   # 用于制作Docker镜像的 Dockerfile
├─ time   # GitHub Actions 运行时间，用于解决仓库未长时间变动导致GitHub Actions被封禁问题
├─ docker-compose.yml  # 运行Docker镜像
├─ ssl-certid  # 上传到阿里云的证书返回的信息。
├─ domain   # 要用Lego申请证书时用到的域名，这是备份，方便修改
└─ .github
   └─ workflows
      └─ lego-esa-renew.yml  # GitHub Actions 运行文件

操作流程

1. 创建私有仓库，并导入项目 lego-esa-renew。

2. 再次检测是否是私有仓库，进行一些必要的 Github 仓库配置，比如：允许 GitHub Actions 读写Github仓库，配置环境变量等。

首次运行时必须配置 GitHub Actions 环境变量 RENEW_OPTION 为 run， RENEW_OPTION 为 run时是申请证书。

申请证书后必须删除 RENEW_OPTION 变量，否则 GitHub Actions 每 7 天运行一次，每次都会申请证书，再加上其他服务申请的证书，可能会触发 Let’s Encrypt 滥用。

阿里云账号 AccessKey 申请

GitHub Actions 环境变量中有两组有关阿里云 AccessKey ，分别是ALICLOUD_ACCESS_KEY、ALICLOUD_SECRET_KEY和ALICLOUD_ACCESS_KEY_ID、ALICLOUD_ACCESS_KEY_SECRET，其中ALICLOUD_ACCESS_KEY、ALICLOUD_SECRET_KEY是 Lego 申请 Let’s Encrypt 证书再 DNS 中添加 TXT 验证所需要的，ALICLOUD_ACCESS_KEY_ID、ALICLOUD_ACCESS_KEY_SECRET是向阿里云上传申请的 Let’s Encrypt 证书，并与ESA站点绑定所需要的，两者可以相同，也可以使用不同的阿里云账户使用不同阿里云 AccessKey，博主就是使用DNS使用一个阿里云，ESA 在另一个阿里云账户，在演示中 DNS 账户和 ESA 账户是同一个账户并且是阿里云国际版。

1. 打开阿里云 RAM 访问控制并创建新用户。

2. 为创建的新用户添加权限

注意：博主创建的用户权限是PowerUserAccess，权限大，安全要求高的请自行查询搜索权限如何设置。

3. 将域名添加到阿里云的云解析 DNS中，在 ESA 中添加自己的站点。

申请证书

在 Github 仓库确认环境变量 RENEW_OPTION 为 run，编辑time文件，触发 GitHub Actions 运行，首次运行如下：

续签运行如下：

如果正常，可以到阿里云的数字证书管理服务查看上传的证书，在ESA中查看绑定的证书。

使用Docker手动运行（ GitHub Actions运行前推荐）

可以先在 Docker 运行，防止出错。

1. 克隆私有仓库，将 lego-esa-renew导入私有仓库，并通过SSH同步到本地，以aaro-n/ys1私有仓库为例：

www@debian:~$ git clone git@github.com:aaro-n/ys1.git
正克隆到 'ys1'...
remote: Enumerating objects: 16, done.
remote: Counting objects: 100% (16/16), done.
remote: Compressing objects: 100% (6/6), done.
接收对象中: 100% (16/16), 5.93 KiB | 5.93 MiB/s, 完成.
处理 delta 中: 100% (5/5), 完成.
remote: Total 16 (delta 5), reused 16 (delta 5), pack-reused 0 (from 0)

2. 进入 ys1 仓库，并根据自己的需求修改docker-compose.yml 文件

www@debian:~$ cd ys1/
www@debian:~/ys1$ cat docker-compose.yml 
services:
  lego-esa-renew:
    build:
      context: .
    image: lego-esa-renew
    container_name: lego-esa-renew
    environment:
      # 以下是Lego运行所需要的变量，请根据自己的需求进行调整
      # 设置申请的证书存储在 certs 文件夹
      - CERT_PATH=certs
      # 设置 Lego 用阿里云DNS申请通配符证书，具体请参考 Lego文档
      - ALICLOUD_ACCESS_KEY=LTAaxzzc
      - ALICLOUD_SECRET_KEY=asdsdff
      # 用 Lego 申请证书所使用的邮件地址
      - EMAIL=example@example.com
      # 用 Lego 为那些域名申请证书
      - DOMAIN=domain1.com,*.domain1.com,domain2.com,*.domain2.com,domain3.com,*.domain3.com,domain4.com,*.domain4.com,domain5.com,*.domain5.com,domain6.com,*.domain6.com,domain7.com,*.domain7.com,domain8.com,*.domain8.com,domain9.com,*.domain9.com,domain10.com,*.domain10.com,actions.github.domain10.com
      # Lego 运行方式，是申请证书（run）还是续签证书
      # 参数： run 或 renew
      # 首次申请证书使用 run
      - RENEW_OPTION=run
      # 以下变量是上传到阿里云所需要的变量
      # 阿里云上传并更新 ESA 所需要的参数
      - ALICLOUD_ACCESS_KEY_ID=werrt
      - ALICLOUD_ACCESS_KEY_SECRET=ssdsdfffg
      # 阿里云上传证书到哪里，中国大陆（cn-hangzhou）或海外（ap-southeast-1）
      # 参数： cn-hangzhou 或 ap-southeast-1
      # 阿里云国际版ESA账户一般用 ap-southeast-1
      - ALIYUN_REGION=ap-southeast-1
      # 上传到阿里云证书的文件名
      # 实际上传的文件名是文件名+日期
      # 例子：NAME变量为lego-ssl，时间是20250801，则上传到阿里云的证书名为lego-ssl-20250801
      - NAME=lego-ssl
    volumes:
      # /home/www/certs 的certs文件夹名要根据 CERT_PATH 变量来
      # ./CERT_PATH:/home/www/CERT_PATH
      - ./certs:/home/www/certs
 www@debian:~/ys1$ vim docker-compose.yml 
 www@debian:~/ys1$ cat docker-compose.yml 
services:
  lego-esa-renew:
    build:
      context: .
    image: lego-esa-renew
    container_name: lego-esa-renew
    environment:
      # 以下是Lego运行所需要的变量，请根据自己的需求进行调整
      # 设置申请的证书存储在 certs 文件夹
      - CERT_PATH=certs
      # 设置 Lego 用阿里云DNS申请通配符证书，具体请参考 Lego文档
      - ALICLOUD_ACCESS_KEY=LTAI5tFLZzjNdcmgn7wwHqcS
      - ALICLOUD_SECRET_KEY=4vEJIzyqgtPc6Z4YHAHrTdTM5WYbNW
      # 用 Lego 申请证书所使用的邮件地址
      - EMAIL=admin@itansuo.info
      # 用 Lego 为那些域名申请证书
      - DOMAIN=yanshi.aaz.ee,*.yanshi.aaz.ee,yanshi.8w.ee,*.yanshi.8w.ee,yanshi.ip94.cn,*.yanshi.ip94.cn,yanshi.211987.xyz,*.yanshi.211987.xyz,yanshi.itansuo.info,*.yanshi.itansuo.info,ssl.itansuo.info,*.ssl.itansuo.info
      # Lego 运行方式，是申请证书（run）还是续签证书
      # 参数： run 或 renew
      # 首次申请证书使用 run
      - RENEW_OPTION=run
      # 以下变量是上传到阿里云所需要的变量
      # 阿里云上传并更新 ESA 所需要的参数
      - ALICLOUD_ACCESS_KEY_ID=LTAI5tFLZzjNdcmgn7wwHqcS
      - ALICLOUD_ACCESS_KEY_SECRET=4vEJIzyqgtPc6Z4YHAHrTdTM5WYbNW
      # 阿里云上传证书到哪里，中国大陆（cn-hangzhou）或海外（ap-southeast-1）
      # 参数： cn-hangzhou 或 ap-southeast-1
      # 阿里云国际版ESA账户一般用 ap-southeast-1
      - ALIYUN_REGION=ap-southeast-1
      # 上传到阿里云证书的文件名
      # 实际上传的文件名是文件名+日期
      # 例子：NAME变量为lego-ssl，时间是20250801，则上传到阿里云的证书名为lego-ssl-20250801
      - NAME=lego-ssl
    volumes:
      # /home/www/certs 的certs文件夹名要根据 CERT_PATH 变量来
      # ./CERT_PATH:/home/www/CERT_PATH
      - ./certs:/home/www/certs

3, 制作Docker镜像并运行

www@debian:~/ys1$ ls
docker-compose.yml  Dockerfile  domain  site-id  ssl-certid  time
www@debian:~/ys1$ mkdir certs
www@debian:~/ys1$ ls
certs  docker-compose.yml  Dockerfile  domain  site-id  ssl-certid  time
www@debian:~/ys1$ docker-compose build
Building lego-esa-renew
Sending build context to Docker daemon  84.99kB
Step 1/4 : FROM alpine:latest
 ---> 9234e8fb04c4
Step 2/4 : WORKDIR /home/www
 ---> Using cache
 ---> 3fbff363cd04
Step 3/4 : RUN apk update &&     apk add --no-cache curl &&     curl -L https://aliyuncli.alicdn.com/aliyun-cli-linux-latest-amd64.tgz -o aliyun-cli.tgz &&     tar -xzf aliyun-cli.tgz &&     mv aliyun /usr/local/bin/ &&     chmod +x /usr/local/bin/aliyun &&     latest_version=$(curl -s https://api.github.com/repos/go-acme/lego/releases/latest | grep '"tag_name"' | sed -E 's/.*"([^"]+)".*/\1/') &&     download_url="https://github.com/go-acme/lego/releases/download/${latest_version}/lego_${latest_version}_linux_amd64.tar.gz" &&     wget -O lego_linux_amd64.tar.gz "$download_url" &&     tar -xzf lego_linux_amd64.tar.gz &&     mv lego /usr/local/bin/ &&     chmod +x /usr/local/bin/lego &&     rm -rf /var/cache/apk/*
 ---> Using cache
 ---> 5aa22c8af6eb
Step 4/4 : CMD ["tail", "-f", "/dev/null"]
 ---> Using cache
 ---> 027b74ba9fc9
Successfully built 027b74ba9fc9
Successfully tagged lego-esa-renew:latest
www@debian:~/ys1$ docker-compose up -d
Creating lego-esa-renew ... done

4, 进入容器，申请证书。

www@debian:~/ys1$ docker exec -it lego-esa-renew /bin/sh
/home/www # ls
CHANGELOG.md             LICENSE                  aliyun-cli.tgz           certs                    lego_linux_amd64.tar.gz
/home/www # lego --email="$EMAIL" --domains="$DOMAIN" --path="$CERT_PATH" --dns alidns --accept-tos $RENEW_OPTION
2025/08/11 17:31:45 No key found for account admin@itansuo.info. Generating a P256 key.
2025/08/11 17:31:45 Saved key to certs/accounts/acme-v02.api.letsencrypt.org/admin@itansuo.info/keys/admin@itansuo.info.key
2025/08/11 17:31:45 [INFO] acme: Registering account for admin@itansuo.info
!!!! HEADS UP !!!!

Your account credentials have been saved in your
configuration directory at "certs/accounts".

You should make a secure backup of this folder now. This
configuration directory will also contain certificates and
private keys obtained from the ACME server so making regular
backups of this folder is ideal.
2025/08/11 17:31:46 [INFO] [yanshi.aaz.ee, *.yanshi.aaz.ee, yanshi.8w.ee, *.yanshi.8w.ee, yanshi.ip94.cn, *.yanshi.ip94.cn, yanshi.211987.xyz, *.yanshi.211987.xyz, yanshi.itansuo.info, *.yanshi.itansuo.info, ssl.itansuo.info, *.ssl.itansuo.info] acme: Obtaining bundled SAN certificate
2025/08/11 17:31:47 [INFO] [*.ssl.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [*.yanshi.211987.xyz] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [*.yanshi.8w.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [*.yanshi.aaz.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [*.yanshi.ip94.cn] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [*.yanshi.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [ssl.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [yanshi.211987.xyz] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [yanshi.8w.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [yanshi.aaz.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [yanshi.ip94.cn] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [yanshi.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:31:47 [INFO] [*.ssl.itansuo.info] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [*.yanshi.211987.xyz] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [*.yanshi.8w.ee] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [*.yanshi.aaz.ee] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [*.yanshi.ip94.cn] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [*.yanshi.itansuo.info] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [ssl.itansuo.info] acme: Could not find solver for: tls-alpn-01
2025/08/11 17:31:47 [INFO] [ssl.itansuo.info] acme: Could not find solver for: http-01
2025/08/11 17:31:47 [INFO] [ssl.itansuo.info] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [yanshi.211987.xyz] acme: Could not find solver for: tls-alpn-01
2025/08/11 17:31:47 [INFO] [yanshi.211987.xyz] acme: Could not find solver for: http-01
2025/08/11 17:31:47 [INFO] [yanshi.211987.xyz] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [yanshi.8w.ee] acme: Could not find solver for: tls-alpn-01
2025/08/11 17:31:47 [INFO] [yanshi.8w.ee] acme: Could not find solver for: http-01
2025/08/11 17:31:47 [INFO] [yanshi.8w.ee] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [yanshi.aaz.ee] acme: Could not find solver for: tls-alpn-01
2025/08/11 17:31:47 [INFO] [yanshi.aaz.ee] acme: Could not find solver for: http-01
2025/08/11 17:31:47 [INFO] [yanshi.aaz.ee] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [yanshi.ip94.cn] acme: Could not find solver for: tls-alpn-01
2025/08/11 17:31:47 [INFO] [yanshi.ip94.cn] acme: Could not find solver for: http-01
2025/08/11 17:31:47 [INFO] [yanshi.ip94.cn] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [yanshi.itansuo.info] acme: Could not find solver for: tls-alpn-01
2025/08/11 17:31:47 [INFO] [yanshi.itansuo.info] acme: Could not find solver for: http-01
2025/08/11 17:31:47 [INFO] [yanshi.itansuo.info] acme: use dns-01 solver
2025/08/11 17:31:47 [INFO] [*.ssl.itansuo.info] acme: Preparing to solve DNS-01
2025/08/11 17:31:51 [INFO] [*.yanshi.211987.xyz] acme: Preparing to solve DNS-01
2025/08/11 17:31:55 [INFO] [*.yanshi.8w.ee] acme: Preparing to solve DNS-01
2025/08/11 17:31:59 [INFO] [*.yanshi.aaz.ee] acme: Preparing to solve DNS-01
2025/08/11 17:32:02 [INFO] [*.yanshi.ip94.cn] acme: Preparing to solve DNS-01
2025/08/11 17:32:06 [INFO] [*.yanshi.itansuo.info] acme: Preparing to solve DNS-01
2025/08/11 17:32:09 [INFO] [ssl.itansuo.info] acme: Preparing to solve DNS-01
2025/08/11 17:32:12 [INFO] [yanshi.211987.xyz] acme: Preparing to solve DNS-01
2025/08/11 17:32:14 [INFO] [yanshi.8w.ee] acme: Preparing to solve DNS-01
2025/08/11 17:32:17 [INFO] [yanshi.aaz.ee] acme: Preparing to solve DNS-01
2025/08/11 17:32:19 [INFO] [yanshi.ip94.cn] acme: Preparing to solve DNS-01
2025/08/11 17:32:22 [INFO] [yanshi.itansuo.info] acme: Preparing to solve DNS-01
2025/08/11 17:32:24 [INFO] [*.ssl.itansuo.info] acme: Trying to solve DNS-01
2025/08/11 17:32:24 [INFO] [*.ssl.itansuo.info] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:32:26 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:33:10 [INFO] [*.ssl.itansuo.info] The server validated our request
2025/08/11 17:33:10 [INFO] [*.yanshi.211987.xyz] acme: Trying to solve DNS-01
2025/08/11 17:33:10 [INFO] [*.yanshi.211987.xyz] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:33:12 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:33:18 [INFO] [*.yanshi.8w.ee] acme: Trying to solve DNS-01
2025/08/11 17:33:18 [INFO] [*.yanshi.8w.ee] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:33:20 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:33:34 [INFO] [*.yanshi.8w.ee] The server validated our request
2025/08/11 17:33:34 [INFO] [*.yanshi.aaz.ee] acme: Trying to solve DNS-01
2025/08/11 17:33:34 [INFO] [*.yanshi.aaz.ee] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:33:36 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:33:51 [INFO] [*.yanshi.aaz.ee] The server validated our request
2025/08/11 17:33:51 [INFO] [*.yanshi.ip94.cn] acme: Trying to solve DNS-01
2025/08/11 17:33:51 [INFO] [*.yanshi.ip94.cn] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:33:53 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:33:59 [INFO] [*.yanshi.ip94.cn] The server validated our request
2025/08/11 17:33:59 [INFO] [*.yanshi.itansuo.info] acme: Trying to solve DNS-01
2025/08/11 17:33:59 [INFO] [*.yanshi.itansuo.info] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:34:01 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:34:07 [INFO] [*.yanshi.itansuo.info] The server validated our request
2025/08/11 17:34:07 [INFO] [ssl.itansuo.info] acme: Trying to solve DNS-01
2025/08/11 17:34:07 [INFO] [ssl.itansuo.info] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:34:09 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:34:21 [INFO] [ssl.itansuo.info] The server validated our request
2025/08/11 17:34:21 [INFO] [yanshi.211987.xyz] acme: Trying to solve DNS-01
2025/08/11 17:34:21 [INFO] [yanshi.211987.xyz] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:34:23 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:34:51 [INFO] [yanshi.211987.xyz] The server validated our request
2025/08/11 17:34:51 [INFO] [yanshi.8w.ee] acme: Trying to solve DNS-01
2025/08/11 17:34:51 [INFO] [yanshi.8w.ee] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:34:53 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:34:59 [INFO] [yanshi.8w.ee] The server validated our request
2025/08/11 17:34:59 [INFO] [yanshi.aaz.ee] acme: Trying to solve DNS-01
2025/08/11 17:34:59 [INFO] [yanshi.aaz.ee] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:35:01 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:35:25 [INFO] [yanshi.aaz.ee] The server validated our request
2025/08/11 17:35:25 [INFO] [yanshi.ip94.cn] acme: Trying to solve DNS-01
2025/08/11 17:35:25 [INFO] [yanshi.ip94.cn] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:35:27 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:35:30 [INFO] [yanshi.ip94.cn] The server validated our request
2025/08/11 17:35:30 [INFO] [yanshi.itansuo.info] acme: Trying to solve DNS-01
2025/08/11 17:35:30 [INFO] [yanshi.itansuo.info] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:35:32 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:35:40 [INFO] [yanshi.itansuo.info] The server validated our request
2025/08/11 17:35:40 [INFO] [*.ssl.itansuo.info] acme: Cleaning DNS-01 challenge
2025/08/11 17:35:46 [INFO] [*.yanshi.211987.xyz] acme: Cleaning DNS-01 challenge
2025/08/11 17:35:50 [INFO] [*.yanshi.8w.ee] acme: Cleaning DNS-01 challenge
2025/08/11 17:35:55 [INFO] [*.yanshi.aaz.ee] acme: Cleaning DNS-01 challenge
2025/08/11 17:35:59 [INFO] [*.yanshi.ip94.cn] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:03 [INFO] [*.yanshi.itansuo.info] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:08 [INFO] [ssl.itansuo.info] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:10 [INFO] [yanshi.211987.xyz] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:11 [INFO] [yanshi.8w.ee] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:13 [INFO] [yanshi.aaz.ee] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:15 [INFO] [yanshi.ip94.cn] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:17 [INFO] [yanshi.itansuo.info] acme: Cleaning DNS-01 challenge
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Deactivating auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 [INFO] Skipping deactivating of valid auth: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:19 Could not obtain certificates:
        error: one or more domains had a problem:
[*.yanshi.211987.xyz] invalid authorization: acme: error: 0 :: urn:ietf:params:acme:error:dns :: While processing CAA for *.yanshi.211987.xyz: DNS problem: SERVFAIL looking up CAA for yanshi.211987.xyz - the domain's nameservers may be malfunctioning
/home/www # lego --email="$EMAIL" --domains="$DOMAIN" --path="$CERT_PATH" --dns alidns --accept-tos $RENEW_OPTION
2025/08/11 17:36:45 [INFO] [yanshi.aaz.ee, *.yanshi.aaz.ee, yanshi.8w.ee, *.yanshi.8w.ee, yanshi.ip94.cn, *.yanshi.ip94.cn, yanshi.211987.xyz, *.yanshi.211987.xyz, yanshi.itansuo.info, *.yanshi.itansuo.info, ssl.itansuo.info, *.ssl.itansuo.info] acme: Obtaining bundled SAN certificate
2025/08/11 17:36:46 [INFO] [*.ssl.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [*.yanshi.211987.xyz] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [*.yanshi.8w.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [*.yanshi.aaz.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [*.yanshi.ip94.cn] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [*.yanshi.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [ssl.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [yanshi.211987.xyz] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [yanshi.8w.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [yanshi.aaz.ee] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [yanshi.ip94.cn] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [yanshi.itansuo.info] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/REDACTED
2025/08/11 17:36:46 [INFO] [*.ssl.itansuo.info] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [*.yanshi.8w.ee] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [*.yanshi.aaz.ee] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [*.yanshi.ip94.cn] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [*.yanshi.itansuo.info] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [ssl.itansuo.info] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [yanshi.211987.xyz] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [yanshi.8w.ee] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [yanshi.aaz.ee] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [yanshi.ip94.cn] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [yanshi.itansuo.info] acme: authorization already valid; skipping challenge
2025/08/11 17:36:46 [INFO] [*.yanshi.211987.xyz] acme: use dns-01 solver
2025/08/11 17:36:46 [INFO] [*.yanshi.211987.xyz] acme: Preparing to solve DNS-01
2025/08/11 17:36:49 [INFO] [*.yanshi.211987.xyz] acme: Trying to solve DNS-01
2025/08/11 17:36:49 [INFO] [*.yanshi.211987.xyz] acme: Checking DNS record propagation. [nameservers=127.0.0.11:53]
2025/08/11 17:36:51 [INFO] Wait for propagation [timeout: 1m0s, interval: 2s]
2025/08/11 17:36:57 [INFO] [*.yanshi.211987.xyz] The server validated our request
2025/08/11 17:36:57 [INFO] [*.yanshi.211987.xyz] acme: Cleaning DNS-01 challenge
2025/08/11 17:37:00 [INFO] [yanshi.aaz.ee, *.yanshi.aaz.ee, yanshi.8w.ee, *.yanshi.8w.ee, yanshi.ip94.cn, *.yanshi.ip94.cn, yanshi.211987.xyz, *.yanshi.211987.xyz, yanshi.itansuo.info, *.yanshi.itansuo.info, ssl.itansuo.info, *.ssl.itansuo.info] acme: Validations succeeded; requesting certificates
2025/08/11 17:37:03 [INFO] [yanshi.aaz.ee] Server responded with a certificate.

5. 将证书上传到阿里云

/home/www # ls -al certs/certificates/
total 24
drwx------    2 root     root          4096 Aug 11 17:37 .
drwxr-xr-x    4 1000     1000          4096 Aug 11 17:31 ..
-rw-------    1 root     root          3129 Aug 11 17:37 yanshi.aaz.ee.crt
-rw-------    1 root     root          1567 Aug 11 17:37 yanshi.aaz.ee.issuer.crt
-rw-------    1 root     root           234 Aug 11 17:37 yanshi.aaz.ee.json
-rw-------    1 root     root           227 Aug 11 17:37 yanshi.aaz.ee.key
/home/www # aliyun configure set --access-key-id "$ALICLOUD_ACCESS_KEY_ID" --access-key-secret "$ALICLOUD_ACCESS_KEY_SECRET" --region "$ALIYUN_REGION"
/home/www #           aliyun cas UploadUserCertificate \
>             --Cert "$(cat ./$CERT_PATH/certificates/yanshi.aaz.ee.crt)" \
>             --Key "$(cat ./$CERT_PATH/certificates/yanshi.aaz.ee.key)" \
>             --Name "$NAME" 
{
        "CertId": 237257,
        "RequestId": "EE7108AB-70D6-36DD-A97A-0CC7260E1CB1",
        "ResourceId": "cas-upload-68j5ur"
}

6. 接下来可以去阿里云数字证书管理服务和ESA中查看和绑定证书，同时可以验证Lego和阿里云都可以正常运行。

最近用教育邮箱进行微软Azure 学生认证，可以各创建一台Linux和Windows服务器，可创建的Windows系统都有很高的资源需求，萌生了DD Windows 7的想法。

准备

脚本：bin456789/reinstall
镜像下载：Download Windows / Office，因为MAS下载的镜像需要进行认证，可以先在浏览找到对应的镜像链接，在浏览器点击下载镜像，此时浏览器会弹出保存镜像对话框，点击“保存”，在“下载”管理界面，暂停下载，复制下载链接，因为认证有6小时有效期，将获取的镜像链接填入DD代码即可DD Windows。
Azure 创建后缀为Gen1的系统镜像，唯有Gen1后缀的系统才可DD Windows 7

DD 代理

Linux

curl -O https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh || wget -O reinstall.sh $_

bash reinstall.sh windows \
     --image-name 'Windows 7 Professional' \
     --iso '镜像下载地址'  \
     --lang zh-cn \
     --web-port 80 \
     --password 密码

Windows

certutil -urlcache -f -split https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.bat

执行以下命令会在Windows服务器中创建Linux运行环境

.\reinstall.bat windows \
     --image-name 'Windows 7 Professional' \
     --iso '镜像下载地址'  \
     --lang zh-cn \
     --web-port 80 \
     --password 密码

在桌面的新建的快捷方式中输入Linux下的DD代理。

效果

wget --no-check-certificate -qO InstallNET.sh 'https://raw.githubusercontent.com/leitbogioro/Tools/master/Linux_reinstall/InstallNET.sh' && chmod a+x InstallNET.sh && bash InstallNET.sh -debian 12 -pwd '密码' --setipv6 "0"

建议申请IPV6再DD Debian

已经申请并分配IPV6

1. 申请IPV6，在RackNerd的管理界面重置网络
2. 其次要确保原VPS可以正常使用IPV6访问外部网址。
3. DD Debian脚本

wget --no-check-certificate -qO InstallNET.sh 'https://raw.githubusercontent.com/leitbogioro/Tools/master/Linux_reinstall/InstallNET.sh' && chmod a+x InstallNET.sh && bash InstallNET.sh -debian 12 -pwd '密码'

有时候博主需要将Word文档转为PDF文档，方便阅读，但默认的排版字体过小，太密集，不方便阅读，这是我根据calibre转的PDF文档找到的适合博主的排版格式。

设置

1. 设置“段落”
   
2. 进行“页面设置”
   2.1 页边距
   
   2.2 纸张
   
   2.3 布局
   
   2.4 文档网格
   

之前搭建在fly.io上Whoogle最接近提示被限速，通过火狐镜像访问Google搜索，一直提示要人机验证，验证好多次都不行，后来研究了下，应该是Google搜索将fly.io的所有IP都拉黑了。要继续使用Whoogle需要使用代理访问Google搜索。

解决

准备

我正好有甲骨文东京的VPS，可以搭建socks代理，fly.io支持分配免费IPV6，甲骨文VPS也可以分配IPV6，这样可以通过甲骨文VPS的防火墙限制对socks代理的访问。

获取fly.io的公网IPV6

甲骨文VPS配置IPV6请自行查找网上的教程，fly.io的公网IPV6无法通过在网页查找，需要使用flyctl ssh console连接到Whoogle内部，执行echo $FLY_PUBLIC_IP获取公网出口IP，例如2605:4c40:92:520a:0:8c93:3d8a:1，CIDR 写法为2605:4c40:92:5200::/56，CIDR是设置甲骨文防火墙所需要的。

配置socks代理

使用V2Fly搭建socks代理，配置如下：
docker-compose.yml

version: "3"
services:
  v2ray:
    image: v2fly/v2fly-core:latest
    container_name: v2ray
    restart: always
    #command: run -c  /etc/v2fly/config.json
    command: run -confdir  /etc/v2fly/config
    ports:
      # SOCKS
      - "45222:44222"
    volumes:
      - ./log:/var/log/v2fly/
      - ./config/socks.json:/etc/v2fly/config/socks.json:ro

./config/socks.json

{
  "inbounds": [
    {
      "port": 44222,
      "protocol": "socks",
      "settings": {
        "auth": "password",
        "accounts": [
          {
            "user": "admin",
            "pass": "123"
          }
        ]
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom"
    }
  ]
}

运行V2Fly容器，并配置甲骨文VPS防火墙允许特定IP和开放特定端口。

Whoogle配置代理

在Whoogle配置里添加一下内容

  WHOOGLE_PROXY_TYPE = "socks5h"
  WHOOGLE_PROXY_LOC = "[2605:4c40:92:520a:0:8c93:3d8a:1]:45222"
  WHOOGLE_PROXY_USER = "admin"
  WHOOGLE_PROXY_PASS = "123"

重新运行Whoogle容器。

参考文档

1. Public Network Services
2. [BUG] socks5 proxy config gives Internal server error 500

自从将博客平台更换为Sonic后，访问速度快了很多，但我想要更快，对后端压力更小，因此我想到了使用Nginx缓存对外展示的内容。以下是本网站的一些配置仅供参考。

Ngxin配置

首先在Nginx配置文件（/etc/nginx/nginx.conf）中的http { }中添加以下内容

  # 设置缓存文件位置，并配置缓存文件最大值
  proxy_cache_path /tmp/cache levels=1:2 keys_zone=cache_one:100m inactive=1d max_size=10g;
  # 关闭显示Nginx版本
  server_tokens off;
  # 开启ETAG功能
  etag on;

修改sonic.conf内容如下

server {
     listen 80
     listen [::]:80

     server_name www.itansuo.info;

     client_max_body_size 5m;
     client_body_timeout 60;

     access_log  /tmp/logs/sonic.log;

     gzip on;
     gzip_types application/xml application/json text/css text/javascript application/javascript;
     gzip_vary on;
     gzip_comp_level 6;
     gzip_min_length 500;

     location / {
         proxy_pass https://源站;
         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto $scheme;

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

     }
     # 缓存静态文件，有效期90天
    location ~ .*\.(gif|jpg|png|woff2|ico|svg|css|js)(.*) {
         proxy_pass https://源站;
         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_cache cache_one;
         proxy_cache_valid 200 302 24h;
         proxy_cache_valid 301 30d;
         proxy_cache_valid any 5m;
         proxy_cache_key "$host$request_uri$args";

         proxy_buffer_size 16k;
         proxy_buffers 4 32k;
         proxy_busy_buffers_size 96k;
         proxy_temp_file_write_size 96k;

         expires 90d;
         add_header wall  "Tokyo-Oracle-Cloud";
         add_header Cache-Control "public";

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

         proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    }

    # 缓存RSS源，有效期24小时
    location ~ /feed {
         proxy_pass https://源站;

         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_cache cache_one;
         proxy_cache_valid 200 302 24h;
         proxy_cache_valid 301 30d;
         proxy_cache_valid any 5m;
         proxy_cache_key "$host$request_uri$args";

         proxy_buffer_size 16k;
         proxy_buffers 4 32k;
         proxy_busy_buffers_size 96k;
         proxy_temp_file_write_size 96k;

         expires 24h;
         add_header wall  "Tokyo-Oracle-Cloud";
         add_header Cache-Control "public";
         add_header Last-Modified $date_gmt;

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

         proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    }  
 
    # 缓存/archives/网页，有效期24小时
    location ~ ^/archives/(?!.*/$) {
         proxy_pass https://sonic-nrt.fly.dev;

         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_cache cache_one;
         proxy_cache_valid 200 302 24h;
         proxy_cache_valid 301 30d;
         proxy_cache_valid any 5m;
         proxy_cache_key "$host$request_uri$args";

         proxy_buffer_size 16k;
         proxy_buffers 4 32k;
         proxy_busy_buffers_size 96k;
         proxy_temp_file_write_size 96k;

         expires 24h;
         add_header wall  "Tokyo-Oracle-Cloud";
         add_header Cache-Control "public";
         add_header Last-Modified $date_gmt;

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

         proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    }
    # 缓存首页，有效期24小时
    location = / {
         proxy_pass https://源站;

         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_cache cache_one;
         proxy_cache_valid 200 302 24h;
         proxy_cache_valid 301 30d;
         proxy_cache_valid any 5m;
         proxy_cache_key "$host$request_uri$args";

         proxy_buffer_size 16k;
         proxy_buffers 4 32k;
         proxy_busy_buffers_size 96k;
         proxy_temp_file_write_size 96k;

         expires 24h;
         add_header wall  "Tokyo-Oracle-Cloud";
         add_header Cache-Control "public";
         add_header Last-Modified $date_gmt;

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

         proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    }
    # 缓存URL有/archives/的网页，不包括/archives/，有效期24小时
    location ~ ^/archives(/page/\d+)?/?$ {
         proxy_pass https://源站;

         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_cache cache_one;
         proxy_cache_valid 200 302 24h;
         proxy_cache_valid 301 30d;
         proxy_cache_valid any 5m;
         proxy_cache_key "$host$request_uri$args";

         proxy_buffer_size 16k;
         proxy_buffers 4 32k;
         proxy_busy_buffers_size 96k;
         proxy_temp_file_write_size 96k;

         expires 24h;
         add_header wall  "Tokyo-Oracle-Cloud";
         add_header Cache-Control "public";
         add_header Last-Modified $date_gmt;

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

         proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    }

    # 缓存 /page/页面，有效期24小时
    location ^~ /page/ {
         proxy_pass https://源站;

         proxy_redirect off;
         proxy_set_header Host $host;
         proxy_cache cache_one;
         proxy_cache_valid 200 302 24h;
         proxy_cache_valid 301 30d;
         proxy_cache_valid any 5m;
         proxy_cache_key "$host$request_uri$args";

         proxy_buffer_size 16k;
         proxy_buffers 4 32k;
         proxy_busy_buffers_size 96k;
         proxy_temp_file_write_size 96k;

         expires 24h;
         add_header wall  "Tokyo-Oracle-Cloud";
         add_header Cache-Control "public";
         add_header Last-Modified $date_gmt;

         proxy_ssl_name $host;
         proxy_ssl_server_name on;

         proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    }

自从博客平台由WordPress切换到Sonic后，博客加载速度有了明显提升。尝试Sonic的几个博客主题后，PaperMod主题最符合我的要求，但PaperMod无评论系统，无法和Artalk一起使用，前几天正好有时间，自己研究下，成功启用Artalk评论，这里记录下，希望能帮到有需要的人。

启用Artalk评论系统

1. 首先，安装PaperMod主题，并启用PaperMod主题。
2. 接着进入Sonic后台，选择外观下的主题编辑选项，再次检查下编辑的主题是PaperMod，点击post.tmpl，在</article>后另起一行添加如下内容：

<link href="//cdn.staticfile.org/artalk/2.8.3/ArtalkLite.css" rel="stylesheet" />
<script src="//cdn.staticfile.org/artalk/2.8.3/ArtalkLite.js"></script>

<!-- Artalk -->
<div id="Comments"></div>

<script>
  Artalk.init({
    el: '#Comments',
    pageKey: '{{ .post.FullPath }}',
    pageTitle: '{{ .post.Title }}',
    server: 'https://Artalk地址',
    site: '{{ .settings.header_title }}',
   })
</script>

3. 保存，进入博客内容页，即可看到Artalk评论框。

遇到问题

1. 评论框与内容靠的太近，视觉上有有些拥挤
   在</nav>和</footer>之间另起一行添加<br>，完整的例子如何：

</nav>

<br>

</footer>

2. Artalk有以前的内容，在Sonic启用
   首先，确保 Artalk站点设置的网址是Sonic网址。
   接着，进入 Artalk数据库后台，修改comments中的page_key项的地址，例子如下：

3. 不同pageKey配置获取的URL，根据自己的需求选择。

附录

post.tmpl完整修改如下

{{- define "sonic_theme_paper_mod/post" -}}
<!DOCTYPE html>
<html lang="zh" dir="auto">

<head>
<title>{{ .post.Title }} - {{ .blog_title }}</title>
{{ template "sonic_theme_paper_mod/module/head" .}}
</head>

<body id="top">

{{template "sonic_theme_paper_mod/module/header" .}}

<main class="main">

<article class="post-single">
<h1 class="post-title"><a href="{{ .post.FullPath }}">{{ .post.Title }}</a></h1>
<div class="post-meta">
    <div class="post-info">
        Create Time: {{ unix_milli_time_format "2006-01-02 15:04:05" .post.CreateTime }}  Words: {{ .post.WordCount }}
    </div>
</div>

<div class="post-content">
    <hr>
    {{noescape .post.Content}}
    <hr>
</div>

<footer class="post-footer">
<nav class="paginav">
    {{if .prevPost}}
    <a class="prev" href="{{.prevPost.FullPath}}">
        <span class="title">« Prev</span>
        <br>
        <span>{{.prevPost.Title}}</span>
    </a>
    {{end}}
    {{if .nextPost}}
    <a class="next" href="{{.nextPost.FullPath}}">
        <span class="title">Next »</span>
        <br>
        <span>{{.nextPost.Title}}</span>
    </a>
    {{end}}
</nav>

<br>

</footer>

</article>

<link href="//cdn.staticfile.org/artalk/2.8.3/ArtalkLite.css" rel="stylesheet" />
<script src="//cdn.staticfile.org/artalk/2.8.3/ArtalkLite.js"></script>

<!-- Artalk -->
<div id="Comments"></div>

<script>
  Artalk.init({
    el: '#Comments',
    pageKey: '{{ .post.FullPath }}',
    pageTitle: '{{ .post.Title }}',
    server: 'https://Artalk地址',
    site: '{{ .settings.header_title }}',
   })
</script>

</main>

{{template "sonic_theme_paper_mod/module/footer" .}}

</body>
</html>
{{end}}

博主的OneDrive可以开启API，这个OneDrive账户中存储了一些文件，博主想要将账户里的文件方便分享出来，因此一直都使用OneDrive列表程序，之前使用的OneDrive程序不是有严重的Bug就是运行缓慢还有可能作者弃坑，一直都无妨稳定使用，直至一周前更换为Alist，在试用一段时间后，Alist非常符合我的要求，博主的OneDrive存储库中有些PDF文档，在使用Alist预览时经常提示“连接重置”，研究后发现是因为“alist-org.github.io”域名被污染了，因此需要自建PDF和EPUB js源。

自建步骤

1. PDF和EPUB js源文件地址：pdf.js，epub.js。
2. 创建一个公开的GitHub仓库，并将上述两个文件上传的仓库里。
3. 将所使用的域名填入pdf.js所下载的web/viewer.mjs中的HOSTED_VIEWER_ORIGINS所在位置，例子如下。
4. 通过GitHub设置里的Pages验证域名，再在GitHub仓库里的GitHub Pages添加域名，当生效后即可通过域名访问pdf.js和epub.js了，最后将的域名路径填入Alist的3预览设置里。
5. （可选）nginx反代 GitHub Pages，代码如下：

location /
    {
        proxy_pass https://GitHub Pages域名;
        proxy_set_header Host GitHub Pages域名;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST $remote_addr;
        proxy_set_header Range $http_range;

        proxy_ssl_name GitHub Pages域名;
        proxy_ssl_server_name on;
    }

问题

之前刚接触VPS，开始使用密码通过SSH登录Ubuntu，经过一段时间的学习，又启用密钥登录VPS，但是运行一段时间后，我又发现一些问题：
1.迁移不方便。因为都是使用电脑本地软件了连接到VPS，在其他电脑上要重新配置，花费时间要很久。
2.要配置网络代理。因VPS在全球各地，而博主本地的网络又不好，经常出现断连，上传文件也非常麻烦。
3.同时要尽可能占用更少的资源。
因为博主需要的这些需求就有了通过浏览器管理VPS的想法。

为什么是Next Terminal？

博主在网上一番查找，找到了一下几个项目：Sshwifty，Spug和Next Terminal。博主实际体验下这个三个项目，都有各自的优缺点。

Sshwifty：使用Golang开发，占用资源少，优点是运行简单，可以快速访问VPS，缺点也是简单，无法满足博主对WebSSH的要求。

Spug：使用Python开发，功能强大。但也有博主无法忍受的缺点：

• 启用两步验证需要关注微信公众号，这对我来说是不可接受的，
• 官方的Docker镜像将运行环境、Mysql数据库和Redis服务打包在一个镜像，造成镜像包过大，即使博主使用外部Mysql数据库和Redis服务，
• 使用的语言Python，可能是博主的偏见，Python运行效率低，博主又要将其部署到公有云上，不可能提供太多资源。

Next Terminal：使用Golang开发，资源占用适中，和Sshwifty比，功能强大，能满足博主的需求，和Spug比，因为是使用Golang开发，占用资源少，运行速度快，并且两步验证不需要联网。但也有缺点，运行镜像需要两个，有些只能部署一个镜像的云平台无法使用，这个博主自己创建一个项目，将Next Terminal两个镜像合并成一个。

参考

• 为Next Terminal制作二合一镜像

我使用Next Terminal管理VPS，Next Terminal可以通过浏览器访问VPS，但也会因网络问题导致链接断开，如何在断开后快速恢复成了问题，对比各种方案Screen符合我的要求，以下具体做法：

安装及配置

Debian可以通过命令sudo apt install screen安装Screen，安装完后如何实现登录VPS创建并恢复Screen会话就成了问题，这是我的做法，仅供参考。
在用户根目录下执行以下命令，创建脚本，命令如下：

cat > ~/.web-ssh.sh <<EOF
#!/bin/bash
# 检查是否有现有的 screen 会话
if screen -ls | grep -q "There is a screen on"; then
  # 如果有，切换到该会话
  # screen -r
  screen -xRR
else
  # 如果没有，创建名为next-terminal新会话并进入
  screen -S next-terminal
fi
EOF

执行chmod +x ~/.web-ssh.sh，赋予执行权限，接着修改 ~/.bashrc文件，追加

cat >> ~/.bashrc <<EOF
if [ -f ~/.web-ssh.sh ]; then
  source ~/.web-ssh.sh
fi
EOF

保存，这样每次SSH进入VPS都会进入之前创建的Screen会话。

Screen增强

Screen会话默认无法通过鼠标滚轮上下翻页，可以在用户根目录执行echo 'termcapinfo xterm* ti@:te@' >> ~/.screenrc，重启VPS，再次进入后即可上下翻页。

使用问题

当在Screen中使用sudo su切换到root用户，再切换到原来的用户，此时SSH终端会闪烁，因此需要在执行sudo su前，先按组合键Ctrl + a保存Screen会话，接着按d退出Screen。
现在可以通过sudo su切换为Root账户，再执行exit退出Root账户回到普通账户，不要用su 用户名要用exit。

参考

让 Linux screen 提供的 “终端” 支持鼠标滚动

使用说明

GitHub仓库地址：docker-flyctl
Docker Hub：aaronlee/flyctl

运行方式

推荐使用Docker Compose运行flyctl镜像，因为这涉及到文件映射，使用Docker Compose比较方便。
具体方法：在同fly.toml文件夹下，创建docker-compose.yml文件，文件内容如下（方法1）：

version: '3'
services:
  flyctl:
    image: aaronlee/flyctl:latest
    container_name: flyctl
    restart: always
    volumes:
      - ./config.toml:/root/.fly/config.yml
      # 注意是一个点
      - ./:/home/www

在本文件夹下运行docker-compose run --rm flyctl flyctl命令，例如docker-compose run --rm flyctl flyctl auth login登录，docker-compose run --rm flyctl flyctl launch创建应用，docker-compose run --rm flyctl flyctl deploy部署应用，总之，是docker-compose run --rm flyctl+flyctl 命令。

文件示例

RSSHub
├─ Dockerfile
├─ fly.toml
├─ docker-compose.yml
└─ config.toml

取代系统 flyctl命令（推荐）

尽管docker-compose run --rm flyctl+flyctl 命令已经可以在容器中运行flyctl，但命令长并且难记，有无更简单的方法？有。
在同fly.toml文件夹下，通过mkdir .flyctl创建隐藏文件夹.flyctl，cd .flyctl进入隐藏文件，创建docker-compose.yml文件，内容如下（方法2）：

version: '3'
services:
  flyctl:
    image: aaronlee/flyctl:latest
    container_name: flyctl
    restart: always
    volumes:
      - ./config.toml:/root/.fly/config.yml
      #注意是两个点
      - ../:/home/www

在用户根目录执行vim .bashrc，在.bashrc添加 alias dk='docker-compose -f $(pwd)/.flyctl/docker-compose.yml run --rm flyctl'退出编辑并保存，重启VPS，如果配置正常，就可在同fly.toml文件夹下通过dk调用容器里的flyctl,例如dk flyctl auth login登录，dk flyctl launch创建应用，dk flyctl deploy部署应用，总之，是dk+flyctl 命令

文件示例

RSSHub
├─ Dockerfile
├─ fly.toml
└─ .flyctl
   ├─ docker-compose.yml
   └─ config.toml

命名比较

Cloudflare 域名区域 ID，可以在域名-概况下获取。
Cloudflare 邮箱
Cloudflare Global API Key，在我的个人资料-API令牌中获得。

执行代码

curl --request PATCH \
  --url https://api.cloudflare.com/client/v4/zones/区域 ID/settings/ipv6 \
  --header 'X-Auth-Email: Cloudflare邮箱' \
  --header 'X-Auth-Key: Cloudflare Global API Key' \
  --header 'Content-Type: application/json' \
  --data '{
  "value": "off"
}'

参考

关闭 Cloudflare 的 IPv6 自动解析
Change IPv6 setting

我大概在17开始写博客，当时使用的是Wordpress，之后换过Hexo，短暂用过Typecho和Gost，又换为ClassicPress，最后换为Sonic。

我对博客平台的要求

1.尽可能对硬件要求低，这样使用saas的免费套餐就可运行起来。
2.运行速度快，网页加载快。
3.迁移方便。
希望Sonic是我最后的CMS平台。

最近半年购买了 TL-WDA6332RE 和TL-WDR7632两个WI-FI扩展器，管理界面都是连上WI-FI后访问http://tplogin.cn/，这个网址在简单网络环境下还可用，在复杂环境下，就无法访问管理界面，需要通过分配IP访问，可是在不同网络环境，分配的IP是不同的，就需要手动查找管理IP地址。

快速查找局域网已分配的IP

手动Ping局域网所有IP太麻烦，通过GPT创建批量Ping脚本，检查局域网里所有IP，查找哪些IP是可以Ping通的，并单独列出。将单独列出的IP一个一个在浏览器打开就行。
已经在GitHub将脚本上传到仓库里，脚本链接：Windows，Linux，macOS。浏览器打开连接，选择另存为，保存到本地。
Windows 打开CMD，将脚本拖入到CMD中，回车执行，按照文字说明，输入本机IP，回车，就会扫描局域网所有可Ping IP。
Linux和macOS需要先赋予脚本执行权限，再运行脚本，先打开终端，先输入chmod +x ，接着将脚本拖入终端，回车，这是赋予脚本执行权限，再次将将脚本拖入终端执行，按照说明输入本机IP，接着就可以扫描局域网IP。

注意事项

1.如果你的网络类型是源WI-FI（192.168.0.1）->WI-FI扩展器->主WI-FI（192.168.50.1）->本地IP（192.168.50.11），你输入的IP地址应该是主Wi-Fi获取的IP地址即192.168.0.X，而不是192.168.50.11
2.Windows脚本一定要下载或另存为，如果是复制保存，可能因为换行符不同，导致无法执行。

Ubuntu DD Debian

参考文档：甲骨文DD重装系统，甲骨文DD Debian 9/10/11或Windows详细教程汇总，存档
1.首先创建甲骨文VPS并连接，系统镜像选择 Canonical Ubuntu 22.04 Minimal 。
2.进行DD前的系统环境准备，sudo apt-get update && sudo apt-get install -y xz-utils openssl gawk file wget curl

3.切换到Root用户 sudo su，下载DD脚本并进行DD，bash (wget --no-check-certificate -qO 'https://moeclub.org/attachment/LinuxShell/InstallNET.sh') -d 11 -v 64 -a -firmware
4.步骤3 DD的是Debian 11，SSH用户名为:root，SSH登录密码为:MoeClub.org，默认SSH端口为22。
5.打开https://tcp.ping.pe/，输入IP:22，测试DD情况，当DD正常后，测试会显示绿色。
6.同过SSH登录DD的Debian 11，执行cat /etc/network/interfaces，获取网络接口信息。例如

www@debian:~$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens3
iface ens3 inet static
address 10.0.0.243/24
gateway 10.0.0.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8
dns-search debian

其中allow-hotplug ens3的ens3就是这个VPS的网络接口，甲骨文VPS的是不相同的，这个要留意。
7.将Debian 11升级Debian12，教程：Debian 11 Bullseye 升级 Debian 12 Bookworm，甲骨文VPS现阶段不可直接DD Debian12，需要先DD Debian11接着升级成Debian12 。整体流程如下：
Ubuntu 22/Debian 12/Debian 11–>DD Debian 11–>系统升级成Debian12

VPS获取IPV6

1.先按照教程在甲骨文网页上为VPS分配IPV6，教程：Oracle Cloud （甲骨文云）为实例启用IPv6网络，按照教程可能无法分配IPV6，可以看下方的评论。
2.通过“Ubuntu DD Debian”步骤6获取网络接口信息，按照教程：甲骨文vps dd 的纯净 debian11 系统如何开启 ipv6，根据自己的实际情况修改脚本信息，例如步骤6获取的接口信息为ens3，而脚本中为enp0s3，修改脚本如下：修改前Name=enp0s3修改后Name=ens3
3.执行命令重启网络，将会自动获取IPV6，即使VPS重启也可以获取IPV6，sudo systemctl enable systemd-networkd && sudo systemctl restart systemd-networkd && sudo systemctl status systemd-networkd
4.curl -4 ip.p3terx.com，测试IPV4，curl -6 ip.p3terx.com，测试IPV6.
5.所有链接都已在Internet Archive存档

最近半年经常通过API方式使用ChatGPT，ChatGPT好用是好用，但这是以我干瘪的钱包为代价。前几天，不良林大佬介绍了PandoraNext项目，很符合我免费使用ChatGPT的要求，只是在更新PandoraNext Pool Token时要在VPS上进行，但我想用GitHub Actions进行PandoraNext Pool Token更新。这是我倒腾的成果，希望不会是滥用GitHub Actions。

教程

前期准备，不良林大佬的视频、文档、PandoraNext 项目，请详细多次观看阅读这三项，接下来的内容都是假设已经理解不良林大佬的视频和文档，并且成功运行Proxy模式。

准备

1.赋予GitHub Actions读写项目权限。在GitHub上创建私人项目，在刚刚创建的私人项目中点击Settings–>点击Actions下的General–>找到Workflow permissions，选中Read and write permissions并保存。
2.修改运行脚本pandora-get-token.py如下：

import sys
import requests
import os
import json
import time

# 使用环境变量中的POOL_TOKEN和API_ENDPOINT
pool_token = os.environ.get("POOL_TOKEN")
api_endpoint = os.environ.get("API_ENDPOINT")

users_file = "users.txt"
session_tokens_file = "session_tokens.txt"
tokens_file = "tokens.txt"
... ...
 

3.设置环境变量。环境变量有两个，分别是API_ENDPOINT（必须设置）和POOL_TOKEN。
4.创建session\_tokens.txt文件并写入内容。
5.创建GitHub Actions脚本。文件位置为.github/workflows/get-token.yml

name: 获取 Pandora 令牌

on:
  push:
    branches:
      - main  # 根据你的实际分支设置
  schedule:
    - cron: "20 1 */8 * *" #根据自己的实际需求调整

jobs:
  get_token:
    runs-on: ubuntu-latest

    env:
      API_ENDPOINT: ${{ secrets.API_ENDPOINT }}
      POOL_TOKEN: ${{ secrets.POOL_TOKEN }}

    steps:
    - name: 检出仓库
      uses: actions/checkout@v2

    - name: 配置 Python 环境
      uses: actions/setup-python@v2
      with:
        python-version: 3.9  # 选择你的 Python 版本

    - name: 安装依赖
      run: |
        python3 -m pip install --upgrade pip
        pip install requests

    - name: 从GitHub中获取所需要的环境变量
      run: |
        echo "API_ENDPOINT=${{ secrets.API_ENDPOINT }}" >> $GITHUB_ENV
        echo "POOL_TOKEN=${{ secrets.POOL_TOKEN }}" >> $GITHUB_ENV

    - name: 运行10秒 pandora-get-token.py
      run: |
        timeout 10 python3 pandora-get-token.py || echo "运行 pandora-get-token.py 时间到。退出码: $?" 

    - name: 提交并推送更改，包含北京时间
      run: |
        git config --global user.email "actions@github.com"
        git config --global user.name "GitHub Actions"

        current_time=$(TZ='Asia/Shanghai' date "+%Y-%m-%d %H:%M:%S")
        git add .
        git commit -m "更新令牌 - 北京时间: $current_time"
        git push -u origin main
 

注意事项

API_ENDPOINT链接在GitHub Actions时不要用CF代理，因为CF会拦截GitHub Actions。

问题

因为MIUI EU是以国内系统为基础上修改的，无法进行OTA更新，同时现阶段并没有小米12S PRO可用的TWRP，并且我通过Magisk获取手机Root权限，以上这些决定了正常使用没问题，但一旦升级系统可能造成手机变砖，手机资料全部丢失。 自己又研究了下，同时看了其他人的刷机升级记录，最终进行升级系统。 这个系统升级出问题的概率不大，但还是推荐备份手机里的重要文件，特别是微信聊天记录。

升级系统

升级MIUI EU系统会丢失Root权限，要在系统升级后重新获取。
1.进行系统重要资料备份。
2.通过MIUI EU下载适合自己手机的系统更新包，现阶段要通过电脑进行更新系统。
3.手机进入Fatsboot模式，同时通过连接线连接电脑，运行系统更新脚本。
4.刷机成功，开机进入系统，打开Magisk，进行boot.img文件修补，重新传回电脑。
5.再次进入Fatsboot模式，向手机刷入修补的boot.img。

结束语

经过这次实践，进行系统升级很顺畅，我今后因该会紧跟版本更新。

参考

• 小米手机安装面具教程（Xiaomi手机获取root权限）

博主使用多个OneDrive账户存储一些视频，使用Cloudreve管理OneDrive上的视频，并且在Cloudreve上开启Webdav作为播放源，博主寻找很多Webdav播放器找到nPlayer最符合博主的要求，所以博主购买了iOS、Android、macOS三个平台上的nPlayer，一直用着好好的直到最近nPlayer更新，发现nPlayer最新版的Webdav无法播放Cloudreve上的视频，需要切换旧版。

解决

要求

因为博主每个平台都有nPlayer备份，将备份nPlayer重新安装，可以正常使用Webdav，但应用商店会提示要进行更新，博主不想更新，并且不想要应用商店检测新版本。

解决

博主研究后，进行以下操作可以避免应用商店检测更新：

博主使用Cloudreve创建Webdav账户，后端使用OneDrive作为文件存储源，因为OneDrive国际版国内访问速度慢，所以购买香港腾讯云轻量使用Nginx进行反向代理。在使用过程中发现严重问题：在Cloudreve下载OneDrive里的文件，头一两次浏览器还能弹出下载对话框，之后要等10~20秒才能再次弹出下载对话框；使用Webdav访问OneDrive里的文件，经常出现打开超时，无法播放，严重影响使用体验。

排查

• Cloudreve所处的机器性能太差，造成下载或Webdav访问缓慢。 Cloudreve部署在Fly.io上，将Cloudreve重新部署在甲骨文VPS上，同时使用香港腾讯云轻量作为OneDrive访问代理，在导入文件后，下载测试。还是出现多次下载后，下载缓慢现象。
• OneDrive API访问受到限制。 Cloudreve使用OneDrive API访问OneDrive里的文件，OneDrive API受到限制也有可能造成这种现象。关闭香港腾讯云轻量代理，重新下载OneDrive文件，神奇的事情发生了，无论怎么测试，Cloudreve都可以快速打开浏览器下载界面，并且部署在Fly.io的Cloudreve关闭OneDrive代理后，也可以做到选择下载文件浏览器及时弹出界面。是香港腾讯云轻量的问题，虽然找到问题，但OneDrive直接访问速度非常缓慢。
• 使用搬瓦工CN2（DC3）作为OneDrive代理 手头正好有台搬瓦工CN2 VPS，安装Nginx并配置后，再在Cloudreve设置代理，在Cloudreve里下载OneDrive文件可以非常容易弹出下载界面。

结论

在网上查找香港腾讯云轻量线路变化情况，结合自己的使用体验，香港腾讯云轻量应该是做了网络限制，当访流量达到一定程度，直接限制访问。