TWCA 官網列出申請 SSL 憑證總共有 6 個步驟，接下來小蛙會著重在第 3 步：上傳 CSR (WEB) 以及第 6 步：安裝與設定 1.電子憑證 2.認證標章 (但不會使用認證標章)

申請 TWCA SSL 憑證：上傳 CSR (WEB)

產生主機 KEY 及 CSR 憑證請求檔

首先進到 /etc/ssl/ 產生金鑰 (private key)

cd /etc/ssl/
openssl genrsa -out server.key 2048

使用這把金鑰產生 CSR 憑證請求檔

openssl req -new -key ./server.key -out server.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: TW (國家縮寫)
State or Province Name (full name) [Some-State]:Taiwan (國家名稱全名)
Locality Name (eg, city) []:Taichung (城市名稱)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Noter (公司名稱) 
Organizational Unit Name (eg, section) []:IT (部門名稱)
Common Name (e.g. server FQDN or YOUR name) []:noter.tw (網域名稱)
Email Address []:noter.tw@gmail.com (電子郵件)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:Noter (選用的公司名稱)

2024-05-21 補充，因為每年都要產生一次，有時候忘記 CSR 要輸入的東西，就可以使用以下指令來看查看之前產生 CSR 時填入的資訊

openssl req -in example.csr -noout -text

上傳 CSR

經過上述步驟後，在 /etc/ssl/ 下會多出 server.key 及 server.csr，回到 TWCA 官網 第 3 點的描述

請將CSR檔案中的內容複製到下方的空欄中，注意複製的範圍應包括「—–BEGIN NEW CERTIFICATE REQUEST—–」到「—–END NEW CERTIFICATE REQUEST—–」的宣告文字。

透過 cat 印出剛剛產生的 CSR

cat server.csr

-----BEGIN CERTIFICATE REQUEST-----
...
...
...
-----END CERTIFICATE REQUEST-----

複製「—–BEGIN NEW CERTIFICATE REQUEST—–」到「—–END NEW CERTIFICATE REQUEST—–」範圍的文字，貼到 TWCA 官網中點擊繼續

確認紅框內的資訊後，輸入密碼、選擇驗證網域的方式、及表單編號

點擊繼續後即上傳完成

驗證網域所有權

小蛙這邊使用的是「網站檔案驗證」(上一步選擇的)，收到操作手冊與驗證檔

在網站根目錄建立對應的資料夾及 whois.txt 檔案，並將 email 附件中的 whois.txt 貼上，也可以直接把附件中的檔案解壓縮後，直接上傳到網站根目錄中。例如小蛙的網站根目錄是 /var/www/html/

mkdir -p /var/www/html/.well-known/pki-validation/
vim /var/www/html/.well-known/pki-validation/whois.txt

完成後確定從 email 給的連結可以看到剛剛的 whois.txt 檔案，即可與 TWCA 聯繫進行下一步。

安裝與設定 1.電子憑證 2.認證標章

等待 TWCA 審核完成後收到一封 email 及一個壓縮檔，解壓縮後包含我們前面產生的檔案，共有以下

1. server.key 伺服器金鑰
2. server.csr TWCA CSR 憑證申請檔
3. root.cer 根憑證
4. server.cer 伺服器憑證
5. uca.cer 中繼憑證

這邊會用到的為 1, 4, 5 三個檔案，如果收到的檔案是 uca_1.cer 跟 uca_2.cer，可先透過 cat uca_2.cer uca_1.cer > uca.cer 將檔案合併成一個。

以小蛙自己的環境 Apache2.4 為例，首先複製一份預設的檔案出來改

cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/000-default-le-ssl.conf
vim /etc/apache2/sites-available/000-default-le-ssl.conf

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName 改成 TWCA 申請 SSL 的網址
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html/

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        Include /etc/letsencrypt/options-ssl-apache.conf  # 這個是因為小蛙有使用 letsencrypt
        SSLCertificateFile /etc/ssl/server.cer            # 加上這個
        SSLCertificateKeyFile /etc/ssl/server.key         # 加上這個
        SSLCertificateChainFile /etc/ssl/uca.cer          # 加上這個
</VirtualHost>
</IfModule>

儲存後啟用該站點，檢查沒問題後重起 apache 就完成囉！

a2ensite 000-default-le-ssl.conf
apache2ctl configtest
Syntax OK
service apache2 graceful

增加安全性系列：

• 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache)
• Ubuntu 16.04 升級 phpMyAdmin 並開啟二階段驗證( 2FA )
• Ubuntu 16.04 安裝 fail2ban

這篇文章 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache) 最早出現於 記下來。

使用免費的 SSL 就要承受每三個月過期一次的麻煩，但是想想三個月過期一次就可以省一大筆錢，似乎又還蠻划算的～之前遇到很多種奇怪的狀況，這篇記錄一下第一次遇到這種 ACMEv1。

小蛙覺得奇怪，怎麼去年三月到現在已經正常運行那麼久了，卻在這時候突然失靈，輸入 certbot run 的指令後出現 ACMEv1 is deprecated and you can bla bla bla 通常附上的連結點過去都沒什麼結果，直接把相關問題丟 Google 比較實在。

經過一番查詢後才知道原來是 certbot 的版本更新了，原本使用的 ACMEv1 已經不能使用，好友網站是 Ubuntu 16.04 LTS，更新也很簡單

apt-get install --only-upgrade certbot

期間可能會連帶更新例如 python3 等相依的套件，等他跑完就完成了！

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 Certbot error: ACMEv1 is deprecated and you can … 最早出現於 記下來。

Certbot 真的是個方便的東西，記得很久以前小蛙架部落格剛要轉 https 的時候，還要去 SSL for Free 網站手動申請及安裝(可參考這邊)，SSL for Free 的好處是申請 SSL 完全免費，但是有一個缺點是每三個月必須自己手動去更新(renew)，小蛙用了一段時間後發現，原來有 Certbot 這麼方便又好用的東西，之後有機會再來介紹這個，今天這篇只是要記錄使用 certbot 錯誤的解決方法。

是這樣的，在 Ubuntu 可以直接透過 certbot 申請 SSL 憑證，也包含了自動更新的功能，但是小蛙要申請一個新的網域的時候，卻發生了下列錯誤

root@lc:/home/sysadm# certbot certonly --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Which names would you like to activate HTTPS for?
 
1: mydomain.com
 
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1

Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Waiting for verification…
Cleaning up challenges
Failed authorization procedure. mydomain.com (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mydomain.com/.well-known/acme-challenge/xxxxxx [xxx.xxx.xxx.xxx]: "\n\n404 Not Found\n\n Not Found \n<p"
 IMPORTANT NOTES:
 The following errors were reported by the server:
 Domain: mydomain.com
 Type:   unauthorized
 Detail: Invalid response from
 http://mydomain.com/.well-known/acme-challenge/xxxx
 [xxx.xxx.xxx.xxx]: "\n\n404 Not Found\n\n Not Found \n<p"

To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. 

裡面看到幾個關鍵「Failed authorization procedure」、「unauthorized」、「Invalid response from」、「The client lacks sufficient authorization」

第一直覺是檔案連不到，但直接連 http://mydomain.com/.well-known/acme-challenge/xxxxxx 又沒有問題，看到朋友的主機有一堆奇怪的 site 設定檔，先清一清看看，嗯 ~ 好，沒有反應，錯誤還是存在。

一直發生上面的錯誤，不斷測試不斷重試，結果得到下面的錯誤 … (嗚嗚嗚)

root@lc:/etc/apache2/sites-enabled# certbot --apache

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Which names would you like to activate HTTPS for?
 
 1: mydomain.com
 
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1

Obtaining a new certificate
An unexpected error occurred:
  There were too many requests of a given type :: Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
Please see the logfiles in /var/log/letsencrypt for more details.

進去錯誤訊息給的連結後，裡面有一段話寫著「我們還有網域驗證失敗限制，對於每個帳號每域名每小時 5 次的限制。在測試環境中並沒有那麼嚴格的限制，因此你可以使用測試環境來針對連線問題除錯。」

額外得知原來加了--dry-run就是測試環境，只會用來測試並不會真正儲存申請的憑證，而且限制比較沒那麼嚴格，如果是要測試為什麼申請失敗只要加上--dry-run，確定都沒有問題後才透過正式環境申請。小蛙這邊超過了每小時五次的限制，只能等到先用--dry-run來測試，等 unban 之後再到正式環境申請了。

經過重重困難後，決定一個參數一個參數試試看，於是試出了

root@lc:/var/www/html# certbot certonly --webroot -w /var/www/html/ -d mydomain.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Using the webroot path /var/www/html for all unmatched domains.
Waiting for verification…
Cleaning up challenges

IMPORTANT NOTES:
 Congratulations! Your certificate and chain have been saved at:
 /etc/letsencrypt/live/mydomain.com/fullchain.pem
 Your key file has been saved at:
 /etc/letsencrypt/live/mydomain.com/privkey.pem
 Your cert will expire on 2021-09-19. To obtain a new or tweaked
 version of this certificate in the future, simply run certbot
 again. To non-interactively renew all of your certificates, run
 "certbot renew"
 If you like Certbot, please consider supporting our work by:
 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le 

終於，加上了--webroot -w /var/www/html/之後就成功了 ~ 看起來可能是.well-known/acme-challenge/xxxxxxx的預設路徑不知道為什麼不在目前使用的目錄，導致驗證的時候會抓不到產生的驗證檔案而噴錯，加入該設定之後就完成了，這篇文章留給有需要的朋友 ~

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 Certbot 申請 SSL certificate 錯誤問題 最早出現於 記下來。

安裝 AWStats

sudo apt-get install awstats libgeo-ipfree-perl libnet-ip-perl

這邊應該沒有什麼問題，安裝就是了。

設定要統計的網站

# 把預設的 awstats.conf 複製一份出來改
sudo cp /etc/awstats/awstats.conf /etc/awstats/awstats.noter.tw.conf
# 編輯設定檔
sudo vim /etc/awstats/awstats.noter.tw.conf

安裝完之後在 /etc/awstats/ 下面會有一個預設設定檔 awstats.conf，直接複製出來改成 awstats.接上你的網址.conf，然後進入編輯。

要修改的部份小蛙直接參考 Awstats流量統計@Alvin Chen Club 的設定

# 要分析的 log 路徑，大概在 50 行左右
LogFile="/var/log/apache2/access.log"

# 記錄類別，維持不變 W = weblog，大概在 62 行
LogType=W

# 記錄格式，這邊小蛙的環境是 Apache2，維持 1 就好，也可以自己設定
# 大概在 123 行
LogFormat=1

# Domain，大概在 154 行
SiteDomain="noter.tw"

# 其他可連到主機的名稱，大概在 169 行
HostAliases="localhost 127.0.0.1"

AllowFullYearView=3
LoadPlugin="tooltips"
LoadPlugin="graphgooglechartapi"
LoadPlugin="geoipfree"

小蛙大概改了這些東西，好了之後存檔離開。

搬移排程檔

因為剛安裝的時候，會自動在 /etc/cron.d/ 下面建立一個 awstats，打開可以看到裡面已經設定了自動執行的排程，為了避免等一下我們設定統計資料的時候，這個排程造成干擾，因此先把它移動到其他地方。

# 把 awstats 排程檔移動到其他地方放，e.g. /root 目錄下
sudo mv /etc/cron.d/awstats /root
# 把 awstats 裡面原本建立的檔案都先刪掉
sudo rm /var/lib/awstats/*

手動執行

要知道設定檔能不能正確執行，就先手動跑一次囉！

sudo /usr/lib/cgi-bin/awstats.pl -config=noter.tw -update

這一步小蛙跑超久超久，期間還一直被中斷 … 因為小蛙總共要跑 5 份統計資料，花了不少時間在這邊測試，後來發現很簡單，只要搭配這篇 SSH 遠端登出後繼續執行

感謝同事翻到這篇文章，並且了小蛙跑超久的解決方案

分析速度很慢的問題把 DNSLookup 改成 0 應該就好了
官方文件有說
With DNSLookup enabled, log analyze speed is decreased by 40 to 100 times, so use it only if required

# 使用 screen
screen

# 要執行的指令
sudo /usr/lib/cgi-bin/awstats.pl -config=noter.tw -update

# 離開 screen
ctrl + a, d

這樣就會背景執行，突然斷線也不用擔心沒跑完，那要怎麼知道有沒有跑完呢？

# 查看所有 screen
screen -ls

# 連到特定 screen (xxxx 是上面 -ls 出現的數字)
screen -r xxxx

# 如果看到 Found xxxx new qualified records. 的字樣，就可以關閉 screen
ctrl + a, k

設定排程檔

跑完一次統計資料之後，就可以設定排程了，網路上看到的資料都是 10 分鐘跑一次，但是小蛙遇到的 case 跑一次要兩小時 … 十分鐘跑一次不就會後面卡一堆排程 … 在這邊花了一兩天測試。

除了跑很久的問題，還遇到指令的問題，例如這台主機已經有被其他人設定過 awstats，但是設定檔有問題造成無法正確執行；原本網站使用的/usr/lib/cgi-bin/awstats.pl -update無法執行 …

先把剛剛移去 /root 下面放的 awstats 排程檔案移到 /etc/cron.d 下面放

# 把排程檔移回
sudo mv /root/awstats /etc/cron.d

# 編輯排程檔
sudo vim /etc/cron.d/awstats

# 每天早上六點執行
0 6 * * * * root /usr/lib/cgi-bin/awstats.pl -config=noter.tw -update > /dev/null

小蛙的狀況如果沒有加上 -config=noter.tw 的話沒有辦法執行 Orz … 跟別人講的不一樣啊！總之加了好了，就加吧！想知道有沒有成功，可以先把運行時間調到三、五分鐘後，然後等他執行完再來看看有沒有。

設定可以透過瀏覽器瀏覽

編輯 /etc/apache2/site-enabled/awstats.conf 加入以下設定

Alias /awstatsclasses "/usr/share/awstats/lib/"
Alias /awstats-icon/ "/usr/share/awstats/icon/"
Alias /awstatscss "/usr/share/doc/awstats/examples/css"
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
ScriptAlias /awstats/ /usr/lib/cgi-bin/
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch

開啟模組，重啟 apache

因為 awstats 是用 cgi 跑的，要開啟這個模組，開啟後重啟 apache

sudo a2enmod cgi
sudo service apache2 restart

以上設定都沒問題的話，用瀏覽器開啟

http://你的網址/cgi-bin/awstats.pl?config=上面設定的網址

限制瀏覽

如果不想讓其他人看到這個頁面的話，就必須要加上這一步限制瀏覽 … 先透過以下指令建立可登入的使用者帳號及密碼

sudo htpasswd -c /etc/apache2/htpasswd 要登入的帳號

只要在剛剛編輯的 /etc/apache2/site-enabled/awstats.conf 加上

<Directory "/usr/lib/cgi-bin/">
AuthUserFile /etc/apache2/htpasswd
AuthName "Please Enter Your Password"
AuthType Basic
Require valid-user
</Directory>

重新啟動 apache 就完成囉！

這篇文章 Ubuntu 18.04 安裝 AWStats 來統計網站流量 最早出現於 記下來。

問題

大概長這樣，源源不絕噴出來～

DoS / DDoS 在維基百科的翻譯是

阻斷服務攻擊（英語：denial-of-service attack，簡稱DoS攻擊）亦稱洪水攻擊，是一種網路攻擊手法，其目的在於使目標電腦的網路或系統資源耗盡，使服務暫時中斷或停止，導致其正常用戶無法存取。
當駭客使用網路上兩個或以上被攻陷的電腦作為「殭屍」向特定的目標發動「阻斷服務」式攻擊時，稱為分散式阻斷服務攻擊（distributed denial-of-service attack，簡稱DDoS攻擊）。

阻斷服務攻擊

解決方法

小蛙有掛 Cloudflare CDN，標榜可以擋掉一些 DoS / DDoS，不過 log 裡還是能看到一大堆記錄，小蛙參考了兩篇文章，基本做法都差不多。

第一篇參考自 Deny Access to WordPress xmlrpc.php with NGINX
第二篇參考自 資安：WordPress 禁止 xmlrpc.php 攻擊

從 WordPress 3.5 以後，xmlrpc 預設是開啟的，記得很久以前小蛙的主機也被密集攻擊過一次

小蛙用的是 nginx，裡面可以設定當某個路徑被存取的時候，作相對應的動作，這邊我們確切知道就是 /xmlrpc.php 這支，所以就可以這樣寫

server {
  ...
  location = /xmlrpc.php {
    deny all;
    access_log off;
    log_not_found off;
    return 444; 
  }
}

當被存取 xmlrpc.php 的時候，拒絕所有連線，把存取 log 跟找不到檔案 log 都關掉，最後回傳 444，而這個 444 維基百科上的說明是 nginx 自己擴充的狀態碼。

雖然這樣 request 還是會進來，但是至少被 nginx 拒絕掉之後，不會因為大量執行 php，導致占用 CPU 跟記憶體，另外 Deny Access to WordPress xmlrpc.php with NGINX 最下面也有提到，用這個方法的話，會導致一些需要透過外部存取的插件失效，不過小蛙沒有用類似的套件，先解燃眉之急囉！這篇留在這邊給有需要的人或是未來換主機之後又遇到的自己。

這篇文章 xmlrpc.php 被攻擊了！Nginx 一個設定擋掉 DoS / DDoS 攻擊 最早出現於 記下來。

這問題直接丟 Google 會有很多很多一拖拉庫的解法，不過有些應該是 CentOS 或是其他版本的，小蛙看 Ubuntu 18.04 + Apache 2.4 的路徑在 /etc/apache2/，跟網路上很多教學裡提到的 /etc/httpd/ 不一樣，就 ~ 都試試看吧。

終於看到一篇好像不錯 Disabling TLS 1.0 on Apache web servers，嗯嗯，路徑不同，不過既然知道要修改的屬性名稱叫做「SSLProtocol」，那就到小蛙的目錄 /etc/apache2/ 來搜尋一下

$ cd /etc/apache2/
$ grep -ir "SSLProtocol" *
mods-available/ssl.conf:        SSLProtocol all -SSLv3

Bingo! 找到在模組資料夾中的 ssl.conf，動手改掉他吧！小蛙收到的需求是把 1.0 跟 1.1 關閉，保留 1.2 即可，因此把上面的 SSLProtocol all -SSLv3 改成 SSLProtocol TLSv1.2，改好之後 sudo service apache2 restart，立馬到 SSL Checker 測試看看，結果 … 竟然沒生效 @@

左查右查，會不會是上面的網站 cache 呢？下指令查查看

$ nmap --script ssl-enum-ciphers -p 443 ip或domain | grep TLSv
|   TLSv1.0:
|   TLSv1.1:
|   TLSv1.2:

我的天啊 ~ 真的沒生效 … (如果沒有安裝的話可以先 apt-get install nmap 來安裝這個套件)，查了很多 stackoverflow 終於找到這篇 Disabling TLS 1.0 in Apache 2.4，原來設定有成功，只是因為小蛙使用了 letsencrypt 的免費 SSL，造成 Apache 載入 SSL 設定的時候，會被較後面載入的 letsencrypt 設定檔蓋掉，因此前面的 ssl.conf 才會設定了但沒有效果。把剛剛上面的設定檔設定到 /etc/letsencrypt/options-ssl-apache.conf 看看吧！

$ nmap --script ssl-enum-ciphers -p 443 ip或domain | grep TLSv
|   TLSv1.2:

打完收工，太感謝 stackoverflow 的那個答案了，真的好想幫他按讚，可惜小蛙的積分不夠 >..<

這篇文章 Ubuntu 取消 Apache 2.4 的 TLSv1.0 教學 最早出現於 記下來。

手邊得到一個需求是在 tomcat 下進行改寫網址的功能，也就是把

https://www.abc.com/def/ijk.jsp?type=xyz

改寫成這種漂亮的

https://www.abc.com/def/xyz

啟用 Tuckey 步驟

大概搜尋了一下之後發現 Tomcat 8.0 以下沒有辦法直接使用 urlrewrite 功能，只好用 tuckey 來做 urlrewrite 功能，跟著 官方文件 做就可以完成了，這邊小蛙還是大概記錄一下。

1. 到 Tuckey 官方文件，點選 Download 下載 urlrewritefilter-4.0.3.jar
2. 將該 jar 放在 tomcat_project/WEB-INF/lib/ 資料夾中
3. 編輯 WEB-INF/web.xml 文件，如果沒有的話就建立一個，加入以下內容

<filter>
  <filter-name>UrlRewriteFilter</filter-name>
  <filter-class>org.tuckey.web.filters.urlrewrite.UrlRewriteFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>UrlRewriteFilter</filter-name>
  <url-pattern>/*</url-pattern> 
  <dispatcher>REQUEST</dispatcher> 
  <dispatcher>FORWARD</dispatcher>
</filter-mapping>

4. 建立 WEB-INF/urlrewrite.xml，可直接下載範例：urlrewrite.xml
5. 重新啟動 tomcat 就完成了

URLRewrite 設定範例

重啟 tomcat 沒有出現錯誤的話，就表示已經安裝成功，可以開始在urlrewrite.xml檔案中添加自己的規則了，上面下載的官方範例檔或官方說明文件中已經列出幾種常用的範例，以下僅節錄部份：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE urlrewrite PUBLIC "-//tuckey.org//DTD UrlRewrite 4.0//EN" "http://www.tuckey.org/res/dtds/urlrewrite4.0.dtd">
  <urlrewrite>
    <rule>
      <note>
        The rule means that requests to /test/status/ will be redirected to /rewrite-status the url will be rewritten. 概念就是從 from 對應到 to，如果有 redirect 就會重新導向，瀏覽器上面的網址會變 </note>
      <from>/test/status/</from>
      <to type="redirect">%{context-path}/rewrite-status</to>
    </rule>
    <rule>
      <note>
        Redirect one url，重新導向一個頁面 
	  </note>
      <from>/some/old/page.html</from>
      <to type="redirect">/very/new/page.html</to>
    </rule>
    <rule>
      <note>
        Redirect a directory，重新導向一個資料夾 
	  </note>
      <from>/some/olddir/(.*)</from>
      <to type="redirect">/very/newdir/$1</to>
    </rule>
    <rule>
      <note>
        Clean a url，清理 URL eg, /products/1234 will be passed on to /products/index.jsp?product_id=1234 without the user noticing. 
	  </note>
      <from>/products/([0-9]+)</from>
      <to>/products/index.jsp?product_id=$1</to>
    </rule>
  </urlrewrite>

清理 URL 設定

小蛙這邊希望做的事情是把上面提到的好看的網址，內部轉到有網頁名稱( xxx.jsp )跟問號( ? )的網址，對使用者來說是輸入好看的網址，醜的網址由 tuckey 內部處理對應關係隱藏起來。以小蛙的例子來說，原本的網址是https://abc.com/web/javascripts/pdfjs/viewer.jsp?f=106project，那小蛙接到的需求是希望能簡化成https://abc.com/web/project，所以外部連進來是沒有問號的好看的網址，而內部對應維有問號的網址，因此設定寫成：

<rule>
 <from>^/web/([0-9a-zA-Z_]+)$</from>
 <to>/web/javascripts/pdfjs/viewer.jsp?f=$1</to>
</rule>

其中$1會替換成 from 中 () 內的內容，至於為什麼文章一開頭會說小蛙犯蠢呢？因為小蛙的同事劈頭就問了，那台伺服器上面不是有 nginx 嗎？直接用 nginx 導向就好了 … ㄜ ~ 一點也沒錯，用 nginx 反而簡單些 … Tuckey 附的範例檔在小蛙需要的 Clean a url 的例子中，一直設定不起來，小蛙找了好久才發現，範例文件 from 部份寫/prodocts/([0-9]+)，但在新版的文件中的範例卻是^/products/([0-9]+)，在前面多加一個^就可以正常運作了

參考資料

1. URLRewrite in Tomcat 7
2. UrlRewriteFilter 4.0.3

這篇文章 使用 Tuckey 讓舊版 Tomcat 也能 URLRewrite 最早出現於 記下來。

朋友說他有另一個 domain 要對應到主機上，但是 dns 已經指過去了，連進去卻遇到一堆奇怪的事，例如：路徑明明指向 /var/www/html/aaaa，瀏覽器連進去卻出現指向 /var/www/html/ 的 index …，或是明明檔案就放在對的路徑，連進去卻是 404 Not Found 或是 403 Forbidden，朋友只好向小蛙求助。

But … 小蛙也不太會設定 apache 啊！大概測試了一下，不知道怎麼處理直接丟 Google，看了官方的 VirtualHost 設定的文件，立馬發現 … 自己根本完全寫錯，這樣 apache 還可以執行，真是太強大了，瞎貓碰到死耗子。

接下來小蛙記錄自己的做法，由於不確定有沒有更好的辦法，如果你剛好也不知道怎麼辦，不妨試試。

建立 VirtualHost

前往 host 設定路徑(可能不同版本或不同安裝方法會有不同路徑)

cd /etc/apache2/site-available/

這裡應該會有一個預設的 000-default.conf 及 default-ssl.conf，前者是 http 設定，後者是 https 基本設定，小蛙寫不出這些設定檔，最快的方式是直接複製一份出來改裡面的設定。

cp 000-default.conf 001-mydomain.conf  // 換成自己可以辨識的名字就好了
cp default-ssl.conf mydomain-ssl.conf
vim 001-mydomain.conf

基本內容大概會長這樣

<VirtualHost *:80>
    # 自己要對應的 domain
    ServerName mydomain.com  
    ServerAdmin webmaster@localhost
    # 自己的 web 路徑
    DocumentRoot /var/www/html/mydomain/ 
    # 這可以設定 log 等級
    #LogLevel info ssl:warn
    # log 檔案路徑
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

編輯完後存檔，這邊就不討論 ssl 的設定了。apache 的設計邏輯是 site-available 放置可以使用的網站設定，但是實際上會載入的網站則是在 site-enabled，所以剛剛設定的站台，目前並不會生效，必須再透過指令啟動。這個動作小蛙的理解是 apache 會把 site-available 裡，指定的設定檔建一份軟連結到 site-enabled 裡面，而 apache 就去啟動 site-enabled 裡面的。

a2ensite 001-mydomain.conf
Enabling site 001-mydomain.
To activate the new configuration, you need to run:
  service apache2 reload

這邊小蛙還額外做一件事，就是把 default 的設定拿掉，做這些動作後都別忘了重啟 apache 喔！

a2dissite 000-default.conf
Site 000-default disabled.
To activate the new configuration, you need to run:
  service apache2 reload

要查看目前有哪些站點是生效的除了進入上述的 site-enabled 目錄查看外，也可以直接透過以下指令

a2query -s
domain2-ssl (enabled by site administrator)
mydomain-ssl (enabled by site administrator)
002-domain2 (enabled by site administrator)
001-mydomain (enabled by site administrator)

大概就記錄到這邊了，希望能幫助到有需要的人。

這篇文章 Ubuntu 16.04 設定 Apache VirtualHost 最早出現於 記下來。

手動設定 php 版本 – 1

如果你很明確知道 php 的執行檔放在哪個地方，直接下指令就可以切換了

update-alternatives --set php /usr/bin/php5.6

清單挑選 php 版本 – 2

第二個方法是列出所有的 php 版本，讓你可以直接用挑選的方式設定

update-alternatives --config php

參考資料

• Switch php versions on commandline ubuntu 16.04 @ Stack Overflow

這篇文章 調整 php 版本 最早出現於 記下來。

介紹這有什麼功能以及強項一向不是小蛙的 style，這邊就是記錄怎麼把這東西安裝起來比較重要，介紹性的文章就找一些專業的介紹文來看吧！總之會來到這邊的人應該是想知道怎麼把這東西裝起來的吧！(應該吧！哈哈)

這個編譯過程比想像中的還要容易一些，期間沒有遇到什麼詭異的大問題，直接進入步驟吧！

步驟

先到 參考資料1 下載 Source Code，小蛙下載的時候已經有 v4.0.0，但總覺得怪怪的，因此還是找了 v2.0.10-stable 來做比較保險，至少名稱上有個 stable，下載完後解壓縮，並進入該資料夾。

wget https://github.com/swoole/swoole-src/archive/v2.0.10-stable.zip
unzip v2.0.10-stable.zip
cd swoole-src-2.0.10-stable/

安裝 php-dev

apt-get install php-dev

執行編譯，這邊小蛙的主機上竟然沒有 make，必須要先 apt-get install make 來安裝 make 工具。

phpize
./configure
make

完成囉！

修改 php.ini 導入模組，小蛙使用的這版 php 跟以前那種直接去 php.ini 新增 extension=swoole.so 不太一樣，而是在安裝目錄下載入 module。

cd /etc/php/7.2/mods-available/
隨便複製一個 ini
cp mysqli.ini swoole.ini
vim swoole.ini
把 extension=mysqli.so 改成 extension=swoole.so
cd /etc/php/7.2/cli/conf.d/
ln -s /etc/php/7.2/mods-available/swoole.ini 20-swoole.ini
service apache2 restart
檢查是否正確安裝
php -m | grep 'swoole'

目前小蛙也還在看看 swoole 能做到哪些酷炫的事情，看看是否自己的主機也要裝這個模組！

參考資料

• Swoole @ GitHub

這篇文章 Ubuntu 16.04 編譯並安裝 Swoole 最早出現於 記下來。