至于启用 HTTPS 的部分经历分享(二)

by admin on 2019年9月8日

至于启用 HTTPS 的局地经验分享

2015/12/04 · 基本功才能 ·
HTTP,
HTTPS

初稿出处:
imququ(@屈光宇)   

乘机本国网络情状的不停恶化,各类篡改和绑架数见不鲜,更多的网址精选了全站
HTTPS。就在前天,无偿提供表明服务的 Let’s
Encrypt 项目也标准开放,HTTPS 相当慢就能化为
WEB 必选项。HTTPS 通过 TLS
层和证书机制提供了内容加密、身份验证和数据完整性三大效果,可以有效防御数据被翻动或篡改,以及幸免中间人冒充。本文分享部分启用
HTTPS 进程中的经验,入眼是什么样与一些新出的辽源规范同盟使用。至于 HTTPS
的配备及优化,在此以前写过非常多,本文不另行了。

奥门威尼斯网址 ,至于启用 HTTPS 的有些经验共享(二)

2015/12/24 · 基本功技艺 ·
HTTP,
HTTPS

原稿出处:
imququ(@屈光宇)   

文章目录

  • SSL 版本选拔
  • 加密套件采纳
  • SNI 扩展
  • 证件选择

几天前,一人相爱的人问我:都说推荐用 Qualys SSL
Labs 那一个工具测验 SSL
安全性,为何有些安全实力很强的大商家评分也好低?作者认为这一个主题素材应当从两上面来看:1)本国顾客终端情形复杂,相当多时候降落
SSL 安全布局是为了同盟更加多客户;2)确实有部分大商家的 SSL
配置很半间不界,越发是安插了有个别明确不应当使用的 CipherSuite。

本人后面写的《至于启用 HTTPS
的有的经历分享(一)》,首要介绍 HTTPS
怎么样与一些新出的林芝专门的学问同盟使用,面向的是今世浏览器。而前些天那篇作品,更加的多的是介绍启用
HTTPS 进程中在老旧浏览器下只怕遇见的题材,以及如何挑选。

背景

不久前为了扛 DDoS
攻击,从活动公司申请了一台服务器,移动集团免费提供流量洗濯功能。但鉴于并未有备案,移动公司不一样意开展
80 端口。

那是一份今日在开拓者头条上最受大家招待的优质作品列表,头条君天天晚上为你送达,不见不散!

事实上是因为GitLab只担当监听本地socket文件,而web服务器选拔了Nginx等。只要求在web
server上做适度的安插就能够。

理解 Mixed Content

HTTPS 网页中加载的 HTTP 能源被称作 Mixed
Content(混合内容),分裂浏览器对 Mixed Content 有不均等的管理准则。

SSL 版本选取

TLS(Transport Layer Security,传输层安全)的前身是 SSL(Secure Sockets
Layer,安全套接字层),它最早的多少个本子(SSL 1.0、SSL 2.0、SSL
3.0)由网景集团花费,从 3.1 初阶被 IETF 规范化并改名,发展于今已经有 TLS
1.0、TLS 1.1、TLS 1.2 多少个本子。TLS 1.3 改造会一点都不小,近些日子还在草案阶段。

SSL 1.0 从未公开过,而 SSL 2.0 和 SSL 3.0
都存在安全难题,不引入应用。Nginx 从 1.9.1 发轫默许只援助 TLS
的八个本子,以下是 Nginx
官方文书档案中对
ssl_protocols 配置的辨证:

Syntax: ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1]
[TLSv1.2];
Default: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Context: http, server
Enables the specified protocols. The TLSv1.1 and TLSv1.2 parameters
work only when the OpenSSL library of version 1.0.1 or higher is used.

但不幸的是,IE 6 只协助 SSLv2 和
SSLv3(来源),相当于说
HTTPS 网站要匡助 IE 6,就非得启用 SSLv3。仅这一项就能够导致 SSL Labs
给出的评分降为 C。

目标

为了尽早启用那台担任着负载均衡和反向代理(其实未有负载均衡)的服务器,作者安插使用
https 公约,利用 443 端口进而避开 80
端口为顾客提供常常劳动。同期通过采用 https 左券,使得网址访问进一步安全。

前天一级 Top 3:

下面是贰个施用Nginx的例证,对GitLab安装指南下载的gitlab脚本文件做了适当的退换。

早期的 IE

最早的 IE 在发现 Mixed Content
乞请时,会弹出「是或不是只查看安全传送的网页内容?」那样八个模态对话框,一旦客户挑选「是」,所有Mixed Content 能源都不会加载;选取「否」,全数财富都加载。

加密套件选拔

加密套件(CipherSuite),是在 SSL
握手中需要议和的很要紧的叁个参数。顾客端会在 Client Hello
中带上它所支持的 CipherSuite 列表,服务端会从中选定一个并由此
Server Hello 再次回到。假诺顾客端协助的 CipherSuite 列表与服务端配置的
CipherSuite 列表没有交集,会导致不大概成功协商,握手退步。

CipherSuite
包蕴七种工夫,比如认证算法(Authentication)、加密算法(Encryption)、音信认证码算法(Message
Authentication Code,简称为 MAC)、密钥调换算法(Key
Exchange)和密钥衍生算法(Key Derivation Function)。

SSL 的 CipherSuite 协商业机械制具备能够的扩充性,每一种 CipherSuite 都亟需在
IANA 注册,并被分配三个字节的标志。全部 CipherSuite 能够在 IANA 的 TLS
Cipher Suite
Registry
页面查看。

OpenSSL 库帮助的满贯 CipherSuite 能够通过以下命令查看:

openssl ciphers -V | column -t 0xCC,0x14 – ECDHE-ECDSA-CHACHA20-POLY1305
TLSv1.2 Kx=ECDH Au=ECDSA Enc=ChaCha20-Poly1305 Mac=AEAD … …

1
2
3
openssl ciphers -V | column -t
0xCC,0x14  –  ECDHE-ECDSA-CHACHA20-POLY1305  TLSv1.2  Kx=ECDH        Au=ECDSA   Enc=ChaCha20-Poly1305  Mac=AEAD
… …

0xCC,0x14 是 CipherSuite 的编号,在 SSL
握手中会用到。ECDHE-ECDSA-CHACHA20-POLY1305
是它的名目,之后几片段各自表示:用于 TLSv1.2,使用 ECDH 做密钥交流,使用
ECDSA 做申明,使用 ChaCha20-Poly1305 做对称加密,由于 ChaCha20-Poly1305
是一种 AEAD 格局,无需 MAC 算法,所以 MAC 列展现为 AEAD。

要打听 CipherSuite 的越多内容,能够阅读那篇长文《TLS 商讨剖析 与
今世加密通讯协议设计》。总来讲之,在安顿CipherSuite 时,请必需参考权威文书档案,如:Mozilla
的引进配置、CloudFlare
使用的配备。

以上 Mozilla 文书档案中的「Old backward compatibility」配置,以及 CloudFlare
的布局,都足以很好的十分老旧浏览器,包罗 Windows XP / IE6。

前边看到有个别大厂商以致援助包涵 EXPORT
CipherSuite,这几个套件在上世纪由于米国出口限制而被弱化过,已被一锅端,实在未有理由再利用。

步骤

1.怎么免费地让网址启用
HTTPS

# GITLAB
# Maintainer: @randx
# App Version: 4.0

正如新的 IE

正如新的 IE
将模态对话框改为页面尾巴部分的提醒条,未有事先那么困扰客户。何况私下认可会加载图片类
Mixed Content,其余如 JavaScript、CSS
等能源依旧会遵照客商选用来决定是不是加载。

SNI 扩展

笔者们掌握,在 Nginx 中得以由此点名分歧的 server_name
来配置四个站点。HTTP/1.1 合同央浼头中的 Host
字段能够标志出当下恳请属于哪个站点。不过对于 HTTPS 网址来讲,要想发送
HTTP 数据,必须等待 SSL
握手完毕,而在握手阶段服务端就务须提供网站证书。对于在同一个 IP 计划分裂HTTPS 站点,並且还使用了不一样证书的景况下,服务端怎么精通该发送哪个证书?

Server Name Indication,简称为 SNI,是 TLS
的一个恢宏,为解决那几个标题应时而生。有了 SNI,服务端可以通过
Client Hello 中的 SNI 扩大得到顾客要探问网址的 Server
Name,进而发送与之相配的证书,顺遂完毕 SSL 握手。

Nginx 在很早以前就帮衬了 SNI,能够通过 nginx -V
来验证。以下是笔者的认证结果:

./nginx -V nginx version: nginx/1.9.9 built by gcc 4.8.4 (Ubuntu
4.8.4-2ubuntu1~14.04) built with OpenSSL 1.0.2e-dev xx XXX xxxx TLS SNI
support enabled configure arguments: –with-openssl=../openssl
–with-http_ssl_module –with-http_v2_module

1
2
3
4
5
6
./nginx -V
nginx version: nginx/1.9.9
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04)
built with OpenSSL 1.0.2e-dev xx XXX xxxx
TLS SNI support enabled
configure arguments: –with-openssl=../openssl –with-http_ssl_module –with-http_v2_module

可是,实际不是兼备浏览器都支持 SNI,以下是普及浏览器帮衬 SNI 的最低版本:

浏览器 最低版本
Chrome Vista+ 全支持;XP 需要 Chrome 6+;OSX 10.5.7+ 且 Chrome 5+
Firefox 2.0+
Internet Explorer 7+ (需要 Vista+)
Safari 3+ (需要 OS X 10.5.6+)
Mobile Safari iOS 4.0+
Android Webview 3.0+

只要要制止在不协理 SNI 的浏览器中冒出证书错误,只可以将应用分歧证书的
HTTPS 站点布局在分歧 IP 上,最简单易行的做法是分别陈设到不一致机器上。

选料证书颁发机构

有很多证书颁发机构,之前也运用过 StartSSL
的申明,但新兴被中国的厂家收购了,由此向来铲除。当前无需付费又火的证书颁发机构当属
Let’s encrypt 了,由此这次作者也利用该机关的证件。

2.有赞风控准则引擎施行

upstream gitlab {
  server unix:/home/gitlab/gitlab/tmp/sockets/gitlab.socket;
}

今世浏览器

今世浏览器(Chrome、Firefox、Safari、Microsoft Edge),基本上都遵守了
W3C 的 Mixed Content 规范,将
Mixed Content 分为Optionally-blockable 和 Blockable 两类:

Optionally-blockable 类 Mixed Content
包蕴那个惊恐十分的小,即便被中间人歪曲也无大碍的能源。当代浏览器暗中认可会加载那类能源,同时会在调控台打字与印刷警告音讯。那类财富包含:

  • 通过 <img> 标签加载的图纸(蕴涵 SVG 图片);
  • 通过 <video> / <audio> 和 <source> 标签加载的摄像或音频;
  • 预读的(Prefetched)资源;

除了那个之外全部的 Mixed Content
都以 Blockable,浏览器必得禁止加载那类财富。所以今世浏览器中,对于
HTTPS 页面中的 JavaScript、CSS 等 HTTP
能源,一律不加载,直接在调节台打字与印刷错误新闻。

评释选取

HTTPS 网址要求经过 CA
取得合法证件,证书通过数字签字才干保障第三方不可能伪造。证书的简练原理如下:

  • 依赖版本号、类别号、具名算法标记、发行者名称、保藏期、证书主体名、证书主体公钥新闻、发行商独一标记、主体独一标记、扩充生成
    TBSCertificate(To Be Signed Certificate, 待具名证书)音讯;
  • 签发数字具名:使用 HASH 函数对 TBSCertificate 总计得到新闻摘要,用
    CA 的私钥对音讯摘要实行加密,获得签字;
  • 校验数字签字:使用同一的 HASH 函数对 TBSCertificate
    总括得到消息摘要,与利用 CA 公钥解密具名获得内容相相比;

采取 SHA-1 做为 HASH 函数的证件被称为 SHA-1 证书,由于当下早已找到
SHA-1 的相撞标准,将声明换来采纳更安全的 SHA-2 做为 HASH 函数的 SHA-2
证书被提上日程。

实际,微软现已宣示自 2017 年 1 月 1 日起,将周密终止对 SHA-1
证书的支撑。届时在风行版本的 Windows 系统中,SHA-1 证书将不被信任。

而依赖 Chrome
官方博客的文章,使用
SHA-1 证书且证书保质期在 二〇一六 年 1 月 1 号至 二零一五 年 12 月 31
号之间的站点会被赋予「安全的,但存在漏洞」的唤醒,也正是地址栏的小锁不再是黑古铜色的,并且会有八个艳情小三角。而利用
SHA-1 证书且证书保质期超过 2017 年 1 月 1
号的站点会被予以「不安全」的新民主主义革命警戒,小锁上直接显示贰个革命的叉。

不过,并非装有的终端都协助 SHA-2
证书,服务端不辅助辛亏办,浏览器只好凭仗于顾客进步了。下面是遍布浏览器支持SHA-2 证书的最低版本:

浏览器 支持 SHA-2 证书的最低版本
Chrome 26+
Firefox 1.5+
Internet Explorer 6+ (需要 XP SP3+)
Safari 3+ (需要 OS X 10.5+)
Android Webview 2.3+

能够看到,假设要看管未有打 XP SP3 补丁的 IE6 顾客,只可以继续行使 SHA-1
证书。

在本人事先的文章中,还波及过 ECC
证书,这种新颖的表明帮衬度更差,这里略过不提,有野趣的同校可以点这里查看。

是不是能够针对分化浏览器启用分裂证书吗?理论上服务端能够依据顾客端
Client Hello 中的 Cipher Suites 特征以及是不是援救 SNI
的性状来分配差别证书,可是本身向来不实际验证过。

正文先写这么多,比相当多国策都急需基于自身网址的客商来支配,举例笔者的博客基本没有IE8- 客商,理当如此能够禁止使用SSLv3。假如您的出品还应该有为数非常多用到老旧浏览器的顾客,那就非得为这么些顾客做协作方案了。一种方案是:只把主域安全品级配低,将
XP 上 IE 客户的 HTTPS 诉求间接重定向到 HTTP
版本,那样任何域名可以动用高安全级其他配备,运行起来比较方便。

1 赞 1 收藏
评论

奥门威尼斯网址 1

安装符合规律的会见法则和安全准绳

  1. 设置应用服务器;
  2. 设置反向代理服务器;
  3. 设置域名解析;

3.[译]
JavaScript 职业机制:V8 引擎内部机制及如何编写优化代码的 5
个门槛

server {
  listen 443;
  ssl                  on;
  ssl_certificate      /etc/nginx/sites-available/server.crt;
  ssl_certificate_key  /etc/nginx/sites-available/server.key;

挪动浏览器

前面所说都是桌面浏览器的作为,移动端意况相比较复杂,当前多数移动浏览器默许都同意加载
Mixed Content。也正是说,对于移动浏览器来讲,HTTPS 中的 HTTP
能源,无论是图片还是 JavaScript、CSS,暗中同意都会加载。

诚如采用了全站 HTTPS,将在防止出现 Mixed Content,页面全体资源必要都走
HTTPS 公约工夫担保全数平台具备浏览器下都尚未难点。

安装应用服务器

  • 将具备应用都配备好;
  • 通过 PM2 合併的布局文件运维具备应用;
  • 应用服务器防火墙开放 八千 ~ 8999 区间的端口;
  • 安装安全组。入方向只同意全体 IP 地址访问 22 的 TCP
    端口,以及反向代理服务器的 IP 地址访问 八千 ~ 8999 的 TCP
    端口;出方向允许持有端口和商谈;

50 万程序猿都在用的 App,扫描下方二维码,即刻体验!

  server_name localhost;
  #Ubuntu1204-dell
source.cml.com;    # e.g., server_name source.example.com;
  root /home/gitlab/gitlab/public;

客观使用 CSP

CSP,全称是 Content Security
Policy,它有丰裕多的通令,用来完结绚丽多彩与页面内容安全相关的功力。这里只介绍五个与
HTTPS 相关的吩咐,越多内容能够看小编此前写的《Content Security Policy
Level 2
介绍》。

安装反向代理服务器

  • 在反向代理服务器上配备全体应用服务器应用的域名解析;

奥门威尼斯网址 2

 

block-all-mixed-content

前方说过,对于 HTTPS 中的图片等 Optionally-blockable 类 HTTP
财富,当代浏览器暗中认可会加载。图片类能源被威吓,经常不会有太大的标题,但也会有一部分风险,比方比较多网页开关是用图形达成的,中间人把这一个图片改掉,也会搅乱顾客使用。

通过 CSP
的 block-all-mixed-content 指令,可以让页面步入对混合内容的严苛检测(Strict
Mixed Content Checking)模式。在这种方式下,全体非 HTTPS
财富都分化意加载。跟其他具有 CSP
法规同样,能够透过以下三种形式启用这些命令:

HTTP 响应头方式:

JavaScript

Content-Security-Policy: block-all-mixed-content

1
Content-Security-Policy: block-all-mixed-content

<meta> 标签格局:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”block-all-mixed-content”>

1
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

安装域名分析

  • 将具备域名解析都对准反向代理服务器的 IP 地址;

50 万工程师都在用的 App

  # individual nginx logs for this gitlab vhost
  access_log  /var/log/nginx/gitlab_access.log;
  error_log  /var/log/nginx/gitlab_error.log;

upgrade-insecure-requests

历史长久的大站在往 HTTPS
迁移的进程中,职业量往往非常伟大,极其是将具备财富都替换为 HTTPS
这一步,很轻松生出疏漏。就算具有代码都认账没不日常,很也许有些从数据库读取的字段中还留存
HTTP 链接。

而通过 upgrade-insecure-requests 这么些 CSP
指令,能够让浏览器支持做那个转换。启用那么些战术后,有五个转移:

  • 页面全体 HTTP 财富,会被交流为 HTTPS 地址再发起呼吁;
  • 页面全数站内链接,点击后会被沟通为 HTTPS 地址再跳转;

跟别的具备 CSP
准绳平等,那一个命令也可能有两种艺术来启用,具体魄式请参谋上一节。须求潜心的是 upgrade-insecure-requests 只替换左券部分,所以只适用于
HTTP/HTTPS 域名和路子完全一致的场合。

配置 https 协议

  location / {
    # serve static files from defined root folder;.
    # @gitlab is a named location for the upstream fallback, see
below
    try_files $uri $uri/index.html $uri.html @gitlab;
  }

创造利用 HSTS

在网址全站 HTTPS 后,假设客商手动敲入网址的 HTTP
地址,可能从任何地方点击了网址的 HTTP 链接,信赖于劳动端 3051%02
跳转技术利用 HTTPS 服务。而首先次的 HTTP
央浼就有希望被威吓,导致诉求无法到达服务器,进而组合 HTTPS 降级胁制。

参照他事他说加以考察资料

  # if a file, which is not found in the root folder is requested,
  # then the proxy pass the request to the upsteam (gitlab unicorn)
  location @gitlab {
    proxy_read_timeout 300; #

    proxy_connect_timeout 300; #

    proxy_redirect    off;

HSTS 基本使用

以此标题可以透过 HSTS(HTTP Strict Transport
Security,RFC6797)来消除。HSTS
是二个响应头,格式如下:

JavaScript

Strict-Transport-Security: max-age=expireTime [; includeSubDomains]
[; preload]

1
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age,单位是秒,用来告诉浏览器在指定时期内,这么些网址必需经过 HTTPS
合同来拜见。约等于对于那个网址的 HTTP 地址,浏览器供给先在本土替换为
HTTPS 之后再发送须求。

includeSubDomains,可选参数,要是钦赐那些参数,证明这一个网址有着子域名也亟须通过
HTTPS 合同来访谈。

preload,可选参数,前边再介绍它的功力。

HSTS 这一个响应头只可以用来 HTTPS 响应;网站必得选择暗许的 443
端口;必得运用域名,不能够是 IP。并且启用 HSTS
之后,一旦网址证书错误,顾客不可能选取忽略。

    proxy_set_header  X-Forwarded-Proto $scheme;
    proxy_set_header  Host              $http_host;
    proxy_set_header  X-Real-IP        $remote_addr;

HSTS Preload List

可以看到 HSTS 能够很好的缓慢解决 HTTPS 降级攻击,不过对于 HSTS 生效前的第二遍HTTP 须求,仍旧不可能制止被威吓。浏览器厂家们为了缓和那个主题材料,提议了 HSTS
Preload List
方案:内置一份列表,对于列表中的域名,即使客商此前从未访谈过,也会采取HTTPS 公约;列表能够定期更新。

现阶段那一个 Preload List 由 谷歌(Google) Chrome 维护,Chrome、Firefox、Safari、IE
11 和 Microsoft Edge
都在应用。如若要想把自身的域名加进那么些列表,首先要求满足以下原则:

  • 有着合法的证书(即使选择 SHA-1 证书,过期时光必需早于 二零一四 年);
  • 将享有 HTTP 流量重定向到 HTTPS;
  • 保证全体子域名都启用了 HTTPS;
  • 输出 HSTS 响应头:
    • max-age 不能够低于 18 周(10886400 秒);
    • 必须钦点 includeSubdomains 参数;
    • 总得内定 preload 参数;

尽管满足了上述全体准绳,也不确定能跻身 HSTS Preload
List,越多音讯方可看这里。通过
Chrome 的 chrome://net-internals/#hsts工具,能够查询有个别网址是不是在
Preload List 之中,还足以手动把有个别域名加到本机 Preload List。

对于 HSTS 以及 HSTS Preload List,小编的提出是只要您无法确定保证永久提供 HTTPS
服务,就不要启用。因为假诺 HSTS 生效,你再想把网址重定向为
HTTP,在此之前的老客户会被Infiniti重定向,独一的不二等秘书籍是换新域名。

    proxy_pass ;
  }
}

CDN 安全

对此大站来讲,全站迁移到 HTTPS 后照旧得用 CDN,只是必得接纳援助 HTTPS 的
CDN 了。若是使用第三方 CDN,安全地点有部分索要驰念的地点。

在意 server { 下边包车型大巴四行。

合理利用 S奇骏I

HTTPS
能够堤防数据在传输中被曲解,合法的证件也足以起到表达服务器身份的作用,不过借使CDN 服务器被凌犯,导致静态文件在服务器上被曲解,HTTPS 也无从。

W3C 的 SRI(Subresource
Integrity)标准能够用来消除这几个难点。SMercedes-AMGI
通过在页面援用能源时内定能源的摘要具名,来落成让浏览器验证能源是或不是被歪曲的指标。只要页面不被曲解,S帕杰罗I
战略便是有限支撑的。

关于 S途睿欧I 的越多表明请看自身事先写的《Subresource Integrity
介绍》。SEvoqueI 并非HTTPS
专项使用,但若是主页面被勒迫,攻击者能够轻巧去掉能源摘要,进而失去浏览器的
S君越I 校验机制。

监听443端口,启用ssl,server.crt和server.key文件是仿效Nginx的文档生成的。

了解 Keyless SSL

除此以外多个难点是,在选拔第三方 CDN 的 HTTPS
服务时,假设要利用本身的域名,需求把相应的证件私钥给第三方,那也是一件高危害相当高的作业。

CloudFlare 公司针对这种景色研究开发了 Keyless SSL
本领。你能够不把证件私钥给第三方,改为提供一台实时总括的 Key Server
就可以。CDN 要用到私钥时,通过加密大道将须要的参数字传送给 Key Server,由 Key
Server 算出结果并回到就能够。整个进度中,私钥都保证在协和的 Key Server
之中,不会揭发给第三方。

CloudFlare
的那套机制已经开源,如需掌握详细情形,能够查阅他们官方博客的那篇作品:Keyless
SSL: The Nitty Gritty Technical
Details。

好了,本文先就写到这里,须求小心的是本文提到的 CSP、HSTS 以及 SSportageI
等宗旨都唯有新型的浏览器才支撑,详细的支撑度能够去CanIUse 查。切换成HTTPS
之后,在性质优化上有很多新职业要做,这一部分剧情笔者在头里的博客中写过众多,这里不再另行,只说最根本的一点:既然都
HTTPS 了,赶紧上 HTTP/2 才是正道。

1 赞 4 收藏
评论

奥门威尼斯网址 1

最后proxy_pass 不能修改,不要改成https,不然不可能干活。

前几天试一下用https的主意check out 代码:

git clone https://….

报错,说证书校验有标题:

error: server certificate verification failed. CAfile:
/etc/ssl/certs/ca-certificates.crt CRLfile: none

最简便易行的缓慢解决措施是加多个境遇变量:

export GIT_SSL_NO_VERIFY=1

GitLab
的详尽介绍
:请点这里
GitLab
的下载地址
:请点这里

奥门威尼斯网址 4

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图