如果服务器没法动，就只有改造网络了。

第一种方式是架 vpn 专网，服务器放专网里，然后客户端先 vpn 拨入再访问服务器。如果你熟悉 docker 的话，架设 vpn 最简单的方式是用 hwdsl2/ipsec-vpn-server 镜像(下载量超千万)，windows 客户端使用 Windows 内置的 IKEv2 协议(不推荐 l2tp 协议)，客户端无需安装第三方软件，只需要将 vpn 证书导入系统，然后配置即可。使用者是无法导出证书，也就是说，只有你安装的机器可以用 vpn ，使用者无法自己克隆一个出来，克隆硬盘也不行。

第二种方式是使用 stunnel 做双向证书认证，stunnel 稳定性很好，这个配置有点专业，你可以自己研究一下。

推荐一款设备做 vpn 服务器，软路由神器 nano pi r2s 或者 r4s ，安装 armbian linux 操作系统，安装 Docker ，安装 hwdsl2/ipsec-vpn-server 镜像，如果企业用，不推荐 openwrt ，直接上 armbian ，妥妥的 500Mbps+。

有几个改善的地方，供参考：
（ 1 ）把你手头参与的项目整理一下，有些是自己负责的，尽力做好。有些和自己没多大关系，只是别人能力问题，硬把你拽进来的，就找机会甩出去。
（ 2 ）领导任务派过来，如果不是自己本职范围的，可以试着拒掉。例如，你可以这样回复领导：目前手头上有某某项目、某某项目都在关键时间点，如果再参与这个项目，自己忙不过来，影响原有项目交付，您可以找找其他同事。

工作抓重点，杂七杂八的事少了，工作压力可以减轻。只要你能力足够强，能帮领导完成任务 /解决问题。领导不合理要求，多拒几次，领导才会照顾你的感受，才会为你升职加薪。

你目前是拿北京的工资，生活在成都。领导应该看重你的能力，才会答应全职远程。如果是普通打工人，直接让你提辞职了。你时间相对比较自由，这也是一种福利吧，可以骑驴找马，找找新工作，或者提升学历。

stunnel 双向证书认证，frp 放在 stunnel 后面。

这个问题，也困惑了几天。不过，问题已经得到解决了：等 24 小时磁盘空间就会自动恢复的。

原理大体是：
mac os high sierra 带来了新的 time machine localsnapshots 功能，本地硬盘所有文件自动保存 24 小时。

也就是文件被删除，即使废纸篓被清空，这些文件其实还是在你的电脑上的，可以通过 time machine 直接在本地硬盘找回。你外出使用电脑，没有通过 time machine 备份到外置硬盘或网络存储里，也可以找回来。

试试这个算法：

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES128-SHA:AES128-SHA256:AES256-SHA:AES256-SHA256:DES-CBC3-SHA

为提高安全性：
(1) cookie 的 HttpOnly 属性要设置为 True ，防止脚本注入后，通过 javascript 窃取 cookie 。
(2) 如果安全要求高，网站可以启用 https ，然后配置 cookie 的 Secure 属性为 True ， cookie 仅在 https 协议传输，如果 http 协议不会传输，可以防止网络窃听 Cookie ，冒用登录。

用户注册时，在用户表里保存一个随机产生的 KEY ，当用户修改密码时，更新这个 KEY 。
用户登录时选择“记住登录密码”，下发三个 cookie ： UserID 、过期时间、(UserID+过期时间+KEY)的数字签名。

用户再次登录请求时，先判断过期时间是否有效，然后通过 UserID 加载 KEY ，比对数字签名。

注意点：
(1) 不要通过设定 Cookie 过期时间的方式，限制密码保存天数，用户可以很容易篡改 Cookie 过期时间的，应该下发过期时间，并且把过期时间加到数字签名内容中。
(2) 数字签名，最简单的方式是使用 HMAC_SHA1 算法，如果金融类网站可以使用更加安全的 RSA 签名。

解决办法有 2 个：
（ 1 ） 翻墙，然后重启 chrome 53
（ 2 ） 升级 chrome 54

参考： https://www.myssl.cn/ssl/chrome/53/bug.htm

翻墙法只支持 chrome 53 ，不支持 Chromium 53

看了一篇文章 https://www.myssl.cn/ssl/chrome/53/bug.htm
其中有 1 个字眼：国内用户，然后就找到了答案了！

解决办法有 2 个：
（ 1 ） 升级 chrome 54
（ 2 ） 翻墙，然后重启 chrome 53

有时候不得不购买证书。如果只有 1 个 IP 地址，要部署多个网站的 SSL 证书，只有以下 3 种方式：

(1) 不同的单域名证书安装在不同的 TCP 端口：例如 https://www.d1.com:443 https://www.d2.com:444 坏处： https://www.d3.com:445 给客户感觉不好，而且很多企业的防火墙只开放 80 、 443 、 21 、 25 、 110 等标准 TCP 端口，设置非标准端口可以某个企业用户无法访问。

(2) 使用 TLS 的 SNI 技术，多张单域名证书都部署在 443 端口，坏处： winxp 和 Android2.x 不能访问。国内使用 XP 的用户还是很多的。

(3) 购买一张通配符证书或者多域名证书，这是最好的方式，京东、淘宝都是采用这种方式。

所以，有时候不能不购买通配符证书或多域名证书。

通配符证书浏览器兼容性最好的，就是 RapidSSL 、 GeoTrust 、 Symantec ， RapidSSL 相对便宜。
多域名证书浏览器兼容性最好的，是 GeoTrust 、 Symantec 证书。

普通磁盘阵列 缺点是不能断电。如果磁盘阵列突然断电，而 mac 还运行着，可能导致磁盘阵列数据严重受损。建议上 UPS 。

MacBook Pro 应该是有不兼容的程序，活动监视器查一下那个程序占用 CPU 高，删除试试。
实在不行，建议重装 MacOS 。

群晖（ Synology ）的设备很好，支持 mac 也好。

有向 apple 投诉了，我在朋友圈里看到，有朋友向 apple 投诉，几天钱就回来了。

@daiv 下载文件中有 1 个 key 密钥文件和 1 个 pem 证书文件，用这个工具可以合成 pfx ，导入 iis 就 OK 了。

https://www.myssl.cn/tools/merge-pfx-cert.html

GlobalSign SSL 证书这次玩大了。

macOS 的 safari 访问淘宝、京东正常了。但是， chrome for mac 还是不能访问。 CA 系统的运营至关重要。估计，阿里和京东的技术大牛们重来没想到这种幺蛾子。