通过 Socket 获取网站 SSL 证书及公钥

通过 php curl 请求网页并不能获取到证书信息,此时需要使用 ssl socket 获取证书内容。

// 创建 stream context
$context = stream_context_create([
    'ssl' => [
        'capture_peer_cert' => true,
        'capture_peer_cert_chain' => true,
    ],
]);

$resource = stream_socket_client("ssl://$domain:$port", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);
$cert = stream_context_get_params($resource);

$ssl = $cert['options']['ssl'];
$resource = $ssl['peer_certificate'];

// 网站证书中只有公钥,通过 openssl_pkey_get_details 导出公钥

$ret = [
    'crt' => '',
    'pub' => '',
];

$pkey = openssl_pkey_get_public($resource);
$ret['pub'] = openssl_pkey_get_details($pkey)['key'];

openssl_x509_export($resource, $pem);
$ret['crt'] = $pem;

foreach ($ssl['peer_certificate_chain'] as $resource)
{
    openssl_x509_export($resource, $pem);
    $ret['crt'] .= "\n" . $pem;
}

// 保存 $ret['crt'] 为 domain.crt
// 保存 $ret['pub'] 为 domain.pub

return $ret;

验证证书中的公钥A是否正确,通过私钥导出公钥B,比较两者发现一致。

$domain = 'blog.zhengxianjun.com';
$port = '443';
// ...
$pub_a = $ret['pub'];

$private_key_path = '/conf/ssl/blog.zhengxianjun.com.key';

// 证书没有设置密码,$passphrase 为空字符串
$pkey = openssl_pkey_get_private(file_get_content($private_key_path), $passphrase = '');
$pub_b = openssl_pkey_get_details($pkey)['key'];

// 两者一致
var_dump($pub_a === $pub_b);

函数 stream_socket_client 还有一个用途是当知道服务器 IP 时,能获取到服务器可能可以使用的域名。

$resource = stream_socket_client("ssl://$ip:$port", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);
$cert = stream_context_get_params($resource);

// 解析 X.509 格式证书
$info = openssl_x509_parse($cert['options']['ssl']['peer_certificate']);

// 获取证书中的可信域名列表
$domain = str_replace('DNS:', '', $info['extensions']['subjectAltName']);

以上可以看到获取网站证书并不能获得私钥。

在一些使用 CDN 的站点,如果使用了 HTTPS 同时又希望使用自有域名,是否需要将自己的私钥提供给 CDN 厂商呢?实际上证书路径与使用者名称(支持 https 的域名)并不需要一致。

也就是使用自有域名并进行 CDN 加速时不需要使用自有的 ssl 证书,只需将自己的 CDN 域名加到厂商证书的域名列表即可。

Closure-Compiler 指定 charset 减少输出文件大小

Google 的 Closure-Compiler  压缩 JavaScript 文件默认采用 UTF-8 作为输入编码,US_ASCII 作为输出编码。

–charset VAL : Input and output charset for all files
. By default, we accept UTF-8 as input
and output US_ASCII

因此,压缩汉字(或者日韩文字)之后,文件会变大。

执行命令 java -jar $dir/compiler.jar --js $cache_file --js_output_file $output_file

// 输入文件
var address = '上海';

// 输出文件
var address="\u4e0a\u6d77";

源文件较小时可以忽略这个问题,但源文件有大量汉字,可以指定 charset 避免输出文件过大。

执行命令 java -jar $dir/compiler.jar --js $cache_file --js_output_file $output_file --charset=UTF-8

// 输入文件
var address = '上海';

// 输出文件
var address="上海";

在开发中遇到一个 1.5MB 的地址文件,压缩之后变成 3MB,再经 gzip 压缩变成 780 KB 左右。而源文件经 gzip 之后在 590 KB。

TortoiseSVN 图标不显示

最近突然遇到 TortoiseSVN 图标不显示,文件夹和文件都不显示对应状态,只能在 commit 窗口查看文件修改列表,非常不方便。

网上查到两种解决方法:1,修改注册表;2,修改 Status cache。

本文再提供一种解决方法:修改 Icon Set

1 没有尝试。

2 右键 TortoiseSVN -> Settings -> Icon Overlays -> Status Cache,修改为 Shell。这种方式有一个明显缺点——“Status cache only for one folder, no recurcive overlays”,就是只显示文件状态,不显示文件夹状态。因此只能看到绿色打勾的文件夹。

还是将 Status cache 改回 Default —— “Status cache kept in an external process, can show the overlay recurcively”。

最后尝试修改 Icon Set,希望能强制更新图标缓存,在 Icon Overlays -> Icon Set,选择任意样式,确定并重启电脑,图标更新成功

如果不习惯新的样式,可以再次修改 Icon Set,选择之前的样式,比如 XPStyle,确定并重启电脑,可以恢复到最早正确显示的图标。

TortoiseSVN Icon Set