<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<rss version="2.0" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:trackback="http://madskills.com/public/xml/rss/module/trackback/" xmlns:wfw="http://wellformedweb.org/CommentAPI/" xmlns:slash="http://purl.org/rss/1.0/modules/slash/"><channel><title>愚蠢的地球人</title><link>https://www.fairysoft.net/</link><description>Hello Earth!</description><generator>RainbowSoft Studio Z-Blog 2.3 Avengers Build 180518</generator><language>utf-8</language><pubDate>Thu, 11 Jun 2026 09:06:16 +0800</pubDate><item><title>Windows Server服务器上原生部署Headplane</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/87.html</link><pubDate>Sat, 23 May 2026 21:14:36 +0800</pubDate><guid>https://www.fairysoft.net/post/87.html</guid><description><![CDATA[<p>Headscale 官方原生并没有提供内置的后台管理界面。官方只专注于开发高性能的命令行工具和控制层服务。 不过，得益于 Headscale 提供了完善的 REST API，开源社区开发了多款优秀的第三方网页管理后台。</p><p>Headplane 是目前社区中最受推崇、维护也最活跃的 Web UI 之一。创建用户、审批客户端、创建预登录密钥、审批路由等操作都可以在 Headplane 的图形化的管理界面（Web UI）中完成。</p><p>同样的，Headplane 原生也是针对 Linux 环境设计的，不过它是用 Node.js 编写的，理论上也可以在 Windows 上编译运行。以下是我经过踩坑总结出来的编译教程：</p><p>先安装 Node.js 的 Windows 版本，然后下载 Headplane 的源代码。</p><p>Headplane 官方使用 pnpm 管理依赖。运行以下命令安装：</p><pre class="brush:ps;toolbar:false;">npm&nbsp;install&nbsp;-g&nbsp;pnpm</pre><p>在 C:\headplane 目录下，运行 pnpm 自动下载并安装所有前端与后端依赖组件：</p><pre class="brush:ps;toolbar:false;">pnpm&nbsp;install</pre><p>install 过程中会有一些警告，基本上都是一些可选的依赖组件安装失败了，不影响正常使用，可以忽略。</p><p>安装完成后，运行以下命令编译前端和后端代码：</p><pre class="brush:ps;toolbar:false;">pnpm&nbsp;build</pre><p>编译完成后在 C:\headplane\build 目录下会生成前端和后端的编译结果。</p><p><br/></p><p>先在 headscale 里面创建一个 API_KEY 供 Headplane 使用：</p><pre class="brush:ps;toolbar:false;">.\headscale.exe&nbsp;apikeys&nbsp;create</pre><p>然后在 C:\headplane 根目录下，新建一个名为 config.yaml 的文件，写入以下基础配置内容：</p><pre class="brush:bash;toolbar:false;">server:
&nbsp;&nbsp;host:&nbsp;&quot;127.0.0.1&quot;
&nbsp;&nbsp;port:&nbsp;3003
&nbsp;&nbsp;base_url:&nbsp;&quot;https://headscale.myhost.com&quot;
&nbsp;&nbsp;cookie_secret:&nbsp;&quot;abcdefghijklmnopqrstuvwxyz123456&quot;
&nbsp;&nbsp;cookie_secure:&nbsp;true
&nbsp;&nbsp;cookie_max_age:&nbsp;86400
&nbsp;&nbsp;cookie_domain:&nbsp;&quot;headscale.myhost.com&quot;
&nbsp;&nbsp;data_path:&nbsp;&quot;./data&quot;
headscale:
&nbsp;&nbsp;url:&nbsp;&quot;https://myhost.com:8080&quot;
&nbsp;&nbsp;public_url:&nbsp;&quot;https://myhost.com:8080&quot;
&nbsp;&nbsp;config_path:&nbsp;&quot;C:/Headscale/config.yaml&quot;
&nbsp;&nbsp;api_key:&nbsp;&quot;hskey-api-xxxxxxxx&quot;
&nbsp;&nbsp;config_strict:&nbsp;false
integration:
&nbsp;&nbsp;agent:
&nbsp;&nbsp;&nbsp;&nbsp;enabled:&nbsp;false
&nbsp;&nbsp;&nbsp;&nbsp;pre_authkey:&nbsp;&quot;&quot;
&nbsp;&nbsp;docker:
&nbsp;&nbsp;&nbsp;&nbsp;enabled:&nbsp;false
&nbsp;&nbsp;&nbsp;&nbsp;container_label:&nbsp;&quot;me.tale.headplane.target=headscale&quot;
&nbsp;&nbsp;&nbsp;&nbsp;socket:&nbsp;&quot;unix:///var/run/docker.sock&quot;
&nbsp;&nbsp;kubernetes:
&nbsp;&nbsp;&nbsp;&nbsp;enabled:&nbsp;false
&nbsp;&nbsp;&nbsp;&nbsp;validate_manifest:&nbsp;true
&nbsp;&nbsp;&nbsp;&nbsp;pod_name:&nbsp;&quot;headscale&quot;
&nbsp;&nbsp;proc:
&nbsp;&nbsp;&nbsp;&nbsp;enabled:&nbsp;false</pre><p>输入以下命令运行服务：</p><pre class="brush:ps;toolbar:false;">$env:HEADPLANE_CONFIG_PATH=&quot;$PWD\config.yaml&quot;
node&nbsp;build/server/index.js</pre><p><br/></p><p>如果在运行之后报错，找到错误提示，按照提示修改代码，直到能够成功运行。</p><p>我在运行过程中遇到了两个错误，分别是：</p><p>1. 在 hp-agent.ts 文件中，使用了 getegid 和 geteuid 这两个函数来获取当前进程的用户和组 ID，这两个函数在 Windows 上是不存在的，所以需要修改代码来兼容 Windows。</p><p>2. 在 index.ts 文件中，使用了 drizzle 函数来创建数据库连接，传入的参数是一个文件路径，但是在 Windows 上需要将文件路径转换为 URL 格式才能正常使用，所以需要修改代码来兼容 Windows。</p><p>我是先修改了两处源代码：</p><pre class="brush:js;toolbar:false;">//&nbsp;编辑文件&nbsp;/app/server/hp-agent.ts
///将原来的代码：
import&nbsp;{&nbsp;getegid,&nbsp;geteuid&nbsp;}&nbsp;from&nbsp;&#39;node:process&#39;;
//&nbsp;替换为：
import&nbsp;process&nbsp;from&nbsp;&#39;node:process&#39;;
const&nbsp;getegid&nbsp;=&nbsp;process.getegid&nbsp;?&nbsp;process.getegid&nbsp;:&nbsp;()&nbsp;=&gt;&nbsp;0;
const&nbsp;geteuid&nbsp;=&nbsp;process.geteuid&nbsp;?&nbsp;process.geteuid&nbsp;:&nbsp;()&nbsp;=&gt;&nbsp;0;

//&nbsp;编辑文件&nbsp;/app/server/index.ts
//&nbsp;在文件顶部引入&nbsp;pathToFileURL：
import&nbsp;{&nbsp;pathToFileURL&nbsp;}&nbsp;from&nbsp;&#39;node:url&#39;;
//&nbsp;找到&nbsp;createDbClient&nbsp;函数，将原来的：
const&nbsp;db&nbsp;=&nbsp;drizzle(`file://${realPath}`);
//&nbsp;替换为：
const&nbsp;dbUrl&nbsp;=&nbsp;pathToFileURL(realPath).toString();
const&nbsp;db&nbsp;=&nbsp;drizzle(dbUrl);</pre><p>修改完成后重新编译，再运行就没有报错了。</p><p>浏览器访问 http://localhost:3003/admin 进入 Headplane 的登录界面，输入之前创建的 API_KEY 点登录就可以进入到管理界面了。</p><p><br/></p><p>如果需要远程访问，可以在IIS上设置反向代理，将外部访问的请求转发到 http://localhost:3003 上，这样就可以通过 https://headscale.yourhost.com 来访问 Headplane 的管理界面了。</p><p>IIS反向代理规则：</p><pre class="brush:xml;toolbar:false;">&lt;?xml&nbsp;version=&quot;1.0&quot;&nbsp;encoding=&quot;UTF-8&quot;?&gt;
&lt;configuration&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&lt;system.webServer&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;rewrite&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;rules&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;rule&nbsp;name=&quot;Headplane&quot;&nbsp;stopProcessing=&quot;true&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;match&nbsp;url=&quot;^(.*)$&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;action&nbsp;type=&quot;Rewrite&quot;&nbsp;url=&quot;http://localhost:3003/{R:1}&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;serverVariables&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;set&nbsp;name=&quot;HTTP_X_FORWARDED_PROTO&quot;&nbsp;value=&quot;https&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/serverVariables&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/rule&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/rules&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/rewrite&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&lt;/system.webServer&gt;
&lt;/configuration&gt;</pre><p><br/></p>]]></description><category>计算机</category><comments>https://www.fairysoft.net/post/87.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=87</wfw:commentRss></item><item><title>Windows Server服务器上原生部署私有Tailscale服务端</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/86.html</link><pubDate>Sat, 23 May 2026 20:12:26 +0800</pubDate><guid>https://www.fairysoft.net/post/86.html</guid><description><![CDATA[<p>Tailscale 是一款基于 WireGuard 协议的虚拟组网工具，它能将不同网络环境下的设备连接至同一个加密的虚拟局域网，无需公网 IP，也免去了复杂的端口映射和防火墙配置。&nbsp;</p><p>WireGuard 要求连接的其中一端必须有公网 IP 或者在路由器上做端口映射。若两台设备都在严格的 NAT后方，通常无法直接建立连接。由于是点对点的连接，所以它的设置比较复杂，需要在每一台设备上单独手动配置密钥、IP 地址和路由等信息。一旦设备过多，管理会非常繁琐。</p><p>Tailscale 由于引入了中心协调服务器，所有设备连接到同一个虚拟网络中，由中心服务器给每个设备分配固定 IP 地址，通过图形化界面进行统一管理，它还能自动识别网络环境并实现 NAT 穿透。如果直连失败，它会通过加密中转服务器（DERP）转发流量，保证连接成功率。&nbsp;</p><p>Tailscale 除了可以使用官方的服务器之外，还允许用户自建私有服务器。Headscale 是一个开源、自托管的 Tailscale 服务器。在 Windows Server 上搭建 Headscale 最便捷且推荐的方法是利用 WSL (Windows Subsystem for Linux) 安装 Linux 版本的 Headscale，或直接使用 Docker 部署，因为 Headscale 原生主要是针对 Linux 环境设计的。但是我的云服务器配置太低，我不想安装 Docker 服务。</p><p>打开Headscale 的 Github 主页看了一下，这个项目是用 Go 语言编写的，Go 语言是跨平台的，所以理论上应该可以直接在 Windows 上编译运行。</p><p>于是我就安装了 Go 语言的 Windows 版本，下载 Headscale 的源代码，然后输入以下指令来进行编译：</p><pre class="brush:ps;toolbar:false">$env:GOOS=&quot;windows&quot;
$env:GOARCH=&quot;amd64&quot;
$env:GOPROXY&nbsp;=&nbsp;&quot;https://goproxy.cn,direct&quot;
go&nbsp;build&nbsp;-o&nbsp;headscale.exe&nbsp;./cmd/headscale</pre><p>编译完成后在当前目录下生成了 headscale.exe 文件，说明编译已经成功了。</p><p><br/></p><p>接着按照官网的范例创建一个配置文件 config.yaml：</p><pre class="brush:bash;toolbar:false">#&nbsp;基础访问配置
server_url:&nbsp;https://myhost:8080
listen_addr:&nbsp;0.0.0.0:8080
metrics_listen_addr:&nbsp;127.0.0.1:9090
grpc_listen_addr:&nbsp;0.0.0.0:50443
grpc_allow_insecure:&nbsp;false
#&nbsp;密钥与协议
noise:
&nbsp;&nbsp;private_key_path:&nbsp;./data/noise_private.key
#&nbsp;IP&nbsp;分配
prefixes:
&nbsp;&nbsp;v4:&nbsp;100.100.64.0/24
&nbsp;&nbsp;v6:&nbsp;fd7a:115c:a1e0::/48
&nbsp;&nbsp;allocation:&nbsp;sequential
#&nbsp;DERP&nbsp;核心配置
derp:
&nbsp;&nbsp;server:
&nbsp;&nbsp;&nbsp;&nbsp;enabled:&nbsp;true&nbsp;#&nbsp;开启内置&nbsp;DERP
&nbsp;&nbsp;&nbsp;&nbsp;region_id:&nbsp;999
&nbsp;&nbsp;&nbsp;&nbsp;region_code:&nbsp;&quot;headscale&quot;
&nbsp;&nbsp;&nbsp;&nbsp;region_name:&nbsp;&quot;Headscale&nbsp;Embedded&nbsp;DERP&quot;
&nbsp;&nbsp;&nbsp;&nbsp;verify_clients:&nbsp;true
&nbsp;&nbsp;&nbsp;&nbsp;stun_listen_addr:&nbsp;&quot;0.0.0.0:3478&quot;
&nbsp;&nbsp;&nbsp;&nbsp;ipv4:&nbsp;129.28.179.56
&nbsp;&nbsp;&nbsp;&nbsp;private_key_path:&nbsp;./data/derp_server_private.key
&nbsp;&nbsp;&nbsp;&nbsp;automatically_add_embedded_derp_region:&nbsp;true
&nbsp;&nbsp;#&nbsp;清空官方&nbsp;URL，不使用外部路径
&nbsp;&nbsp;urls:&nbsp;[]
&nbsp;&nbsp;paths:&nbsp;[]
&nbsp;&nbsp;auto_update_enabled:&nbsp;true
&nbsp;&nbsp;update_frequency:&nbsp;3h
disable_check_updates:&nbsp;false
#&nbsp;其他设置
node:
&nbsp;&nbsp;expiry:&nbsp;0
&nbsp;&nbsp;ephemeral:
&nbsp;&nbsp;&nbsp;&nbsp;inactivity_timeout:&nbsp;30m
&nbsp;&nbsp;routes:
&nbsp;&nbsp;&nbsp;&nbsp;ha:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;probe_interval:&nbsp;10s
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;probe_timeout:&nbsp;5s
#&nbsp;数据库配置
database:
&nbsp;&nbsp;type:&nbsp;sqlite
&nbsp;&nbsp;sqlite:
&nbsp;&nbsp;&nbsp;&nbsp;path:&nbsp;./data/db.sqlite
&nbsp;&nbsp;&nbsp;&nbsp;write_ahead_log:&nbsp;true
&nbsp;&nbsp;&nbsp;&nbsp;wal_autocheckpoint:&nbsp;1000
#&nbsp;证书配置
tls_cert_path:&nbsp;./data/fairysoft.net-chain.pem
tls_key_path:&nbsp;./data/fairysoft.net-key.pem
log:
&nbsp;&nbsp;#&nbsp;Valid&nbsp;log&nbsp;levels:&nbsp;panic,&nbsp;fatal,&nbsp;error,&nbsp;warn,&nbsp;info,&nbsp;debug,&nbsp;trace
&nbsp;&nbsp;level:&nbsp;info
&nbsp;&nbsp;#&nbsp;Output&nbsp;formatting&nbsp;for&nbsp;logs:&nbsp;text&nbsp;or&nbsp;json
&nbsp;&nbsp;format:&nbsp;text
policy:
&nbsp;&nbsp;#&nbsp;The&nbsp;mode&nbsp;can&nbsp;be&nbsp;&quot;file&quot;&nbsp;or&nbsp;&quot;database&quot;&nbsp;that&nbsp;defines
&nbsp;&nbsp;#&nbsp;where&nbsp;the&nbsp;policies&nbsp;are&nbsp;stored&nbsp;and&nbsp;read&nbsp;from.
&nbsp;&nbsp;mode:&nbsp;file
&nbsp;&nbsp;#&nbsp;If&nbsp;the&nbsp;mode&nbsp;is&nbsp;set&nbsp;to&nbsp;&quot;file&quot;,&nbsp;the&nbsp;path&nbsp;to&nbsp;a&nbsp;HuJSON&nbsp;file&nbsp;containing&nbsp;policies.
&nbsp;&nbsp;path:&nbsp;&quot;&quot;
#&nbsp;DNS&nbsp;配置
dns:
&nbsp;&nbsp;magic_dns:&nbsp;true
&nbsp;&nbsp;base_domain:&nbsp;home
&nbsp;&nbsp;override_local_dns:&nbsp;true
&nbsp;&nbsp;nameservers:
&nbsp;&nbsp;&nbsp;&nbsp;global:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;223.5.5.5
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;114.114.114.114</pre><p><br/><span style="text-wrap-mode: nowrap;"></span></p><p>测试一下看能不能运行</p><pre class="brush:ps;toolbar:false">.\headscale.exe&nbsp;serve</pre><p><br/></p><p>测试通过之后就可以使用 nssm.exe 将 Headscale 注册为服务，这样就不需要每次都手动运行了。</p><p>先下载 nssm.exe，然后输入以下指令注册服务：</p><pre class="brush:ps;toolbar:false">.\nssm.exe&nbsp;install&nbsp;headscale</pre><p><br/></p><p>在弹出来的界面中做以下设置：</p><pre class="brush:ps;toolbar:false">Path:&nbsp;C:\headscale\headscale.exe
Startup&nbsp;directory:&nbsp;C:\headscale
Arguments:&nbsp;serve&nbsp;-c&nbsp;C:\headscale\config\config.yam</pre><p>设置好之后点击安装，安装完成后就可以在服务管理器里面看到 headscale 服务了，右键点击启动即可。</p><p>到现在为止，Headscale 服务器的编译安装工作就全部完成了。</p><p><br/></p><p>然后我们进行配置。首先，添加一个用户，后面的操作会用到，用户名随便取：</p><pre class="brush:ps;toolbar:false">.\headscale.exe&nbsp;users&nbsp;create&nbsp;Admin</pre><p><br/></p><p>部署好了服务器，接下来就是将客户端加入到这个私有的虚拟局域网，第一种方法是先在客户端上发起入网认证申请，我第一个测试的设备是威联通：</p><pre class="brush:bash;toolbar:false">/share/CACHEDEV1_DATA/.qpkg/Tailscale/tailscale&nbsp;up&nbsp;--login-server&nbsp;https://myhost:8080&nbsp;--reset&nbsp;--force-reauth</pre><p>输入这条指令按回车之后终端会输出一个 URL，将这个 URL 复制粘贴到浏览器打开就会向服务器提交入网申请，服务器会在浏览器上返回一行包含了临时密钥的审批指令，按照提示将这条指令在服务器上执行就可以通过审批：</p><pre class="brush:ps;toolbar:false">.\headscale.exe&nbsp;auth&nbsp;register&nbsp;--auth-id&nbsp;hskey-authreq-xxxxxx&nbsp;--user&nbsp;Admin</pre><p>审批通过之后，这台设备就成功加入了这个虚拟局域网，有图形界面的客户端这时就可以看到自己的登录状态以及这个局域网内其他所有设备了。</p><p>这种登录方式主要适用于 Linux 这种使用命令行的客户端。对于有操作界面的 Tailscale 客户端就不用输入指令这么麻烦，直接在菜单中直接输入自定义的登录网址之后会自动弹出系统浏览器并打开入网审批的 URL。</p><p><br/></p><p>对于 Windows、安卓、苹果等有操作界面的客户端，更方便的入网申请方法是先在服务器上创建一个预认证密钥(authkey)，然后在客户端上输入服务器的登录网址和这个密钥来加入网络。在服务器上创建预认证密钥的指令如下：</p><pre class="brush:ps;toolbar:false">.\headscale.exe&nbsp;auth&nbsp;create-api-key&nbsp;--user&nbsp;Admin</pre><p>这种入网认证方法同样适用于纯命令行的 Linux 客户端：</p><pre class="prism-highlight prism-language-bash">tailscale&nbsp;up&nbsp;--login-server=https://myhost:8080&nbsp;--authkey&nbsp;hskey-auth-xxxxxxxx</pre><p><br/></p><p>如果需要通过威联通访问整个家庭局域网，可以在威联通上声明子网路由(--advertise-routes)，如果需要将威联通作为出口进行互联网访问，可以声明出口节点(--advertise-exit-node)：</p><pre class="brush:bash;toolbar:false">/share/CACHEDEV1_DATA/.qpkg/Tailscale/tailscale&nbsp;up&nbsp;\
&nbsp;&nbsp;--login-server&nbsp;https://myhost:8080&nbsp;\
&nbsp;&nbsp;--advertise-routes=192.168.1.0/24&nbsp;\
&nbsp;&nbsp;--advertise-exit-node&nbsp;\
&nbsp;&nbsp;--reset</pre><p>客户端申明了路由之后并不会自动生效，而是需要在 Headscale 服务端进行审批，因为出于安全考虑，服务端默认不信任客户端声明的路由，需要手动进行确认。</p><pre class="brush:ps;toolbar:false">#查看威联通节点的&nbsp;ID
.\headscale.exe&nbsp;nodes&nbsp;list
#查看节点&nbsp;2&nbsp;的所有路由请求
.\headscale.exe&nbsp;nodes&nbsp;list-routes&nbsp;-i&nbsp;2
#同意审批
.\headscale.exe&nbsp;nodes&nbsp;approve-routes&nbsp;-i&nbsp;2&nbsp;-r&nbsp;&quot;192.168.1.0/24,0.0.0.0/0,::/0&quot;</pre><p>服务器端完成确认之后，其他客户端就能通过威联通访问整个家庭局域网了。其他设备上还可以选择是否通过威联通进行互联网访问。如果想要让家庭局域网中的其他没有安装 Tailscale 的设备也能访问整个虚拟局域网，可以在出口路由器上添加一条静态路由，把 100.100.64.0/24 这个网段路由到威联通的局域网 IP 地址上。</p><p><br/></p><p>其实以上这些创建用户、审批客户端、创建预登录密钥、审批路由等操作都可以在图形化的管理界面（Web UI）中完成。下一篇文章我会介绍如何部署 Headscale 的 Web UI 管理界面。</p><p><br/></p>]]></description><category>计算机</category><comments>https://www.fairysoft.net/post/86.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=86</wfw:commentRss></item><item><title>威联通的防火墙把自己干死了，多亏了Tailscale</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/85.html</link><pubDate>Sat, 23 May 2026 16:54:12 +0800</pubDate><guid>https://www.fairysoft.net/post/85.html</guid><description><![CDATA[<p>
    今天在家里电脑上打开威联通的 QTS 系统，结果发现页面打不开。
</p>
<p>
    我还以为是 QTS 系统崩溃了，于是我想通过 SSH 连接到威联通上，结果发现 SSH 也连不上。
</p>
<p>
    然后我输入 ping 指令测试，居然连 ping 都不通！
</p>
<p>
    打开机柜检查发现网口的指示灯正常闪亮，硬件连接是好的。
</p>
<p>
    我想起来之前部署过 Tailscale 的服务，于是在手机上打开 Tailscale 看了一下，结果惊奇的发现威联通竟然在线。
</p>
<p>
    于是我试着用 Tailscale 的虚拟IP地址连接，居然成功连上了。
</p>
<p>
    这就有点诡异了，物理网卡无法连接但是虚拟网卡却能连接，这太不正常。
</p>
<p>
    仔细分析了一下，怀疑是防火墙的问题。
</p>
<p>
    于是开始排查，先试着在 QTS 里面关闭防火墙，结果 QuFirewall 的窗口一直转圈，根本无法加载。
</p>
<p>
    登录 SSH，输入 /etc/init.d/QuFirewall.sh stop，执行成功。
</p>
<p>
    再测试 QTS，现在能通过局域网 IP 打开了，再输入 /etc/init.d/QuFirewall.sh start
</p>
<p>
    出现一堆错误，内容基本看不懂，大概意思就是启动失败。测试局域网访问，失败。
</p>
<p>
    现在终于真相大白了，看来确实是防火墙的问题。
</p>
<p>
    分析原因，我昨天访问 QTS 的时候系统提示启用安全中心，于是我就点了启用。进入安全中心之后，显示防火墙没有开，于是我就点了一下防火墙的启动按钮。
</p>
<p>
    可能是因为我很长时间没有开启 QuFirewall，期间又升级过 QTS 系统或者 QuFirewall 应用程序。之前的防火墙配置文件可能不兼容了，导致防火墙无法正常启动。而当时我访问 NAS 的设备是通过 Tailscale 接入的，所以当时并没有发现异常。
</p>
<p>
    防火墙正常启动时，第一步就是先封锁住所有的网络，然后再按照配置文件里面的规则逐条放行，结果现在防火墙在完成第一步之后就卡死了，所以整个网络就永久被封住了。
</p>
<p>
    那为什么 Tailscale 能突破这个封锁呢，我想可能是因为防火墙封锁的是入站连接，而 Tailscale 是一个从内部发起的出站连接，所以能够突破防火墙的封锁。
</p>
<p>
    于是卸载掉 QuFirewall，重新安装了一下，安装完成后重新设置规则，一切正常。
</p>
<p>
    这次多亏了 Tailscale，留下了自救的通道。看来这东西不仅可以用来做内网穿透，关键时刻还能救砖。
</p>
<p>
    下次我来讲一讲如何在 Windows Server 服务器上部署 Tailscale 的私有服务端。
</p>
<p>
    <br/>
</p>]]></description><category>计算机</category><comments>https://www.fairysoft.net/post/85.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=85</wfw:commentRss></item><item><title>在不同Linux系统下用脚本实现SSL证书的自动更新</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/84.html</link><pubDate>Thu, 21 May 2026 12:24:15 +0800</pubDate><guid>https://www.fairysoft.net/post/84.html</guid><description><![CDATA[<p>从去年开始，各大ssl证书服务商统一把免费证书的有效期从 1 年缩短到了 90 天，以前一年更新一次，手动操作还可以忍，现在每年要操作四到五次，就有点麻烦了。于是我在 Windows Server 云服务器上部署了 Win-acme，解决了证书更新的问题。但是我还有几台其他的 Linux 设备，也需要同步更新，于是我想到了通过计划任务定时执行脚本来实现证书自动更新。</p><p>首先，把 Win-acme 自动下载的证书挂到 ftp 下，直接用 IIS 内置的的 ftp 服务就行，注意开启 SSL。</p><p>原理很简单，写一个 sh 脚本检查证书的有效期，如果临近过期，则连接到远程 ftp 服务器，下载最新的证书并替换原来快过期的证书，然后重启 Web 服务器。最后把这个脚本添加到系统的计划任务中，每天定时执行就行了。</p><p>这一切在 Ubuntu 和 Debian 系统下都非常容易实现，直接贴代码，/etc/ssl/update_ssl.sh：</p><pre class="brush:bash;toolbar:false;">#!/usr/bin/bash
#&nbsp;自动获取当前脚本所在的绝对路径
SCRIPT_DIR=$(cd&nbsp;&quot;$(dirname&nbsp;&quot;$0&quot;)&quot;;&nbsp;pwd)

#&nbsp;如果不是在终端运行（说明是&nbsp;crontab&nbsp;触发），则启用静默和错误日志模式
if&nbsp;[&nbsp;!&nbsp;-t&nbsp;1&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;exec&nbsp;2&gt;&gt;&nbsp;&quot;${SCRIPT_DIR}/update_ssl_err.log&quot;&nbsp;&gt;/dev/null
fi

#&nbsp;====================&nbsp;配置区域&nbsp;====================
FTP_HOST=&quot;ftp.your_host&quot;
FTP_USER=&quot;ftp_user&quot;
FTP_PASS=&quot;password&quot;
FTP_DIR=&quot;/ssl&quot;
FTP_URL=&quot;ftp://${FTP_HOST}${FTP_DIR}&quot;
CURL_OPTS=&quot;--ssl-reqd&nbsp;-k&nbsp;-sS&nbsp;-u&nbsp;${FTP_USER}:${FTP_PASS}&quot;

REMOTE_CERT_FILE=&quot;fairysoft.net-chain.pem&quot;&nbsp;
REMOTE_KEY_FILE=&quot;fairysoft.net-key.pem&quot;&nbsp;&nbsp;

LOCAL_CERT_FILE=&quot;/etc/ssl/fairysoft.net-chain.pem&quot;
LOCAL_KEY_FILE=&quot;/etc/ssl/fairysoft.net-key.pem&quot;

NGINX_RELOAD_CMD=&quot;systemctl&nbsp;reload&nbsp;nginx&quot;
EXPIRE_DAYS=28
#&nbsp;=================================================

#&nbsp;检查本地证书文件是否存在
if&nbsp;[&nbsp;!&nbsp;-f&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;本地证书文件不存在，将直接下载新证书。&quot;
else
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;获取当前证书的过期时间并计算剩余天数
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_DATE=$(openssl&nbsp;x509&nbsp;-in&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;-enddate&nbsp;-noout&nbsp;|&nbsp;cut&nbsp;-d=&nbsp;-f2)
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_SECS=$(date&nbsp;-d&nbsp;&quot;$EXPIRE_DATE&quot;&nbsp;+%s)
&nbsp;&nbsp;&nbsp;&nbsp;CURRENT_SECS=$(date&nbsp;+%s)
&nbsp;&nbsp;&nbsp;&nbsp;DAYS_LEFT=$((&nbsp;($EXPIRE_SECS&nbsp;-&nbsp;$CURRENT_SECS)&nbsp;/&nbsp;86400&nbsp;))
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_DATE=$(date&nbsp;-d&nbsp;&quot;$EXPIRE_DATE&quot;&nbsp;&#39;+%Y-%m-%d&#39;)
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;判断是否需要更新
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;[&nbsp;&quot;$DAYS_LEFT&quot;&nbsp;-ge&nbsp;&quot;$EXPIRE_DAYS&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;当前证书有效期($EXPIRE_DATE)，将在&nbsp;$DAYS_LEFT&nbsp;天后过期&nbsp;，无需更新。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;exit&nbsp;0
&nbsp;&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;当前证书有效期($EXPIRE_DATE)，将在&nbsp;$DAYS_LEFT&nbsp;天后过期&nbsp;，需要更新。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;fi
fi

echo&nbsp;&quot;开始从远程&nbsp;FTP&nbsp;服务器下载新证书...&quot;

#&nbsp;通过&nbsp;curl&nbsp;从&nbsp;FTP&nbsp;服务器下载最新证书
echo&nbsp;&quot;正在下载证书...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_CERT_FILE}&quot;&nbsp;-o&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;

echo&nbsp;&quot;正在下载私钥...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_KEY_FILE}&quot;&nbsp;-o&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;

#&nbsp;检查下载是否成功
if&nbsp;[&nbsp;-s&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;[&nbsp;-s&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;下载成功！正在替换旧证书...&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;备份旧证书
&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;-f&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;mv&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;&quot;${LOCAL_CERT_FILE}.bak&quot;
&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;-f&nbsp;&quot;$LOCAL_KEY_FILE&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;mv&nbsp;&quot;$LOCAL_KEY_FILE&quot;&nbsp;&quot;${LOCAL_KEY_FILE}.bak&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;移动新证书到正式位置
&nbsp;&nbsp;&nbsp;&nbsp;mv&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;&nbsp;&quot;$LOCAL_CERT_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;mv&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;&nbsp;&quot;$LOCAL_KEY_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;设置正确的权限
&nbsp;&nbsp;&nbsp;&nbsp;chmod&nbsp;644&nbsp;&quot;$LOCAL_CERT_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;chmod&nbsp;600&nbsp;&quot;$LOCAL_KEY_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;重载&nbsp;Nginx&nbsp;使新证书生效
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;正在重载&nbsp;Nginx&nbsp;服务...&quot;
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;eval&nbsp;$NGINX_RELOAD_CMD;&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;SSL&nbsp;证书更新并重载&nbsp;Nginx&nbsp;成功！&quot;
&nbsp;&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;Nginx&nbsp;重载失败，请检查配置文件！&quot;
&nbsp;&nbsp;&nbsp;&nbsp;fi
else
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;错误：从&nbsp;FTP&nbsp;下载证书失败或文件为空，更新终止。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;rm&nbsp;-f&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;
&nbsp;&nbsp;&nbsp;&nbsp;exit&nbsp;1
fi

echo&nbsp;&quot;SSL&nbsp;证书自动更新成功并已生效！&quot;</pre><p>然后用 crontab -e 编辑计划任务，添加：</p><pre class="brush:bash;toolbar:false;">0&nbsp;2&nbsp;*&nbsp;*&nbsp;*&nbsp;/usr/bin/bash&nbsp;/etc/ssl/update-ssl.sh</pre><p>完成！就这么简单</p><p>在搞定了 Debian 服务器之后，我又开始研究威联通的 NAS，威联通的 QNAP 系统是深度定制的 Linux 系统，跟常见的 Ubuntu/Debian 系统区别很大。最大的区别，也是我踩过的最大的坑，就是证书的格式。</p><p>QNAP 虽然使用的是 Apache 作为 Web 服务器，但是证书管理却使用了 stunnel，配置文件如下：</p><pre class="brush:bash;toolbar:false;">SSLCertificateFile&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&quot;/etc/stunnel/stunnel.pem&quot;&nbsp;&nbsp;#&nbsp;这里面同时包含私钥和网站证书
SSLCertificateChainFile&nbsp;&quot;/etc/stunnel/uca.pem&quot;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;中继证书</pre><p>从配置文件可以看出来，威联通使用的证书格式跟 Nginx 和 Apache 都不一样，私钥和网站证书合并成一个证书链，而中继证书却单独放。</p><p>经过几天时间的折腾，最后终于搞定了，/mnt/HDA_ROOT/.config/stunnel/update_ssl.sh：</p><pre class="brush:bash;toolbar:false;">#!/bin/bash
#&nbsp;自动获取当前脚本所在的绝对路径
SCRIPT_DIR=$(cd&nbsp;&quot;$(dirname&nbsp;&quot;$0&quot;)&quot;;&nbsp;pwd)

#&nbsp;如果不是在终端运行（说明是&nbsp;crontab&nbsp;触发），则启用静默和错误日志模式
if&nbsp;[&nbsp;!&nbsp;-t&nbsp;1&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;exec&nbsp;2&gt;&gt;&nbsp;&quot;${SCRIPT_DIR}/update_ssl_err.log&quot;&nbsp;&gt;/dev/null
fi

#&nbsp;====================&nbsp;配置区域&nbsp;====================
FTP_HOST=&quot;ftp.your_host&quot;
FTP_USER=&quot;ftp_user&quot;
FTP_PASS=&quot;password&quot;
FTP_DIR=&quot;/ssl&quot;
FTP_URL=&quot;ftp://${FTP_HOST}${FTP_DIR}&quot;
CURL_OPTS=&quot;--ssl-reqd&nbsp;-k&nbsp;-sS&nbsp;-u&nbsp;${FTP_USER}:${FTP_PASS}&quot;

REMOTE_CRT_FILE=&quot;fairysoft.net-crt.pem&quot;
REMOTE_KEY_FILE=&quot;fairysoft.net-key.pem&quot;
REMOTE_CHAIN_FILE=&quot;fairysoft.net-chain-only.pem&quot;

TMP_DIR=&quot;/tmp/ssl_download&quot;
STUNNEL_DIR=&quot;/mnt/HDA_ROOT/.config/stunnel&quot;
LOCAL_CERT_FILE=&quot;${STUNNEL_DIR}/stunnel.pem&quot;
LOCAL_UCA_FILE=&quot;${STUNNEL_DIR}/uca.pem&quot;
EXPIRE_DAYS=28
#&nbsp;=================================================

#&nbsp;检查本地证书文件是否存在
if&nbsp;[&nbsp;!&nbsp;-f&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;本地证书文件不存在，将直接下载新证书。&quot;
else
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;获取当前证书的过期时间并计算剩余天数
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_DATE=$(openssl&nbsp;x509&nbsp;-in&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;-enddate&nbsp;-noout&nbsp;|&nbsp;cut&nbsp;-d=&nbsp;-f2)
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_SECS=$(date&nbsp;-d&nbsp;&quot;$EXPIRE_DATE&quot;&nbsp;+%s)
&nbsp;&nbsp;&nbsp;&nbsp;CURRENT_SECS=$(date&nbsp;+%s)
&nbsp;&nbsp;&nbsp;&nbsp;DAYS_LEFT=$((&nbsp;($EXPIRE_SECS&nbsp;-&nbsp;$CURRENT_SECS)&nbsp;/&nbsp;86400&nbsp;))
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_DATE=$(date&nbsp;-d&nbsp;&quot;$EXPIRE_DATE&quot;&nbsp;&#39;+%Y-%m-%d&#39;)
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;判断是否需要更新
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;[&nbsp;&quot;$DAYS_LEFT&quot;&nbsp;-ge&nbsp;&quot;$EXPIRE_DAYS&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;当前证书有效期($EXPIRE_DATE)，将在&nbsp;$DAYS_LEFT&nbsp;天后过期&nbsp;，无需更新。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;exit&nbsp;0
&nbsp;&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;当前证书有效期($EXPIRE_DATE)，将在&nbsp;$DAYS_LEFT&nbsp;天后过期&nbsp;，需要更新。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;fi
fi

echo&nbsp;&quot;开始从远程&nbsp;FTP&nbsp;服务器下载新证书...&quot;

#&nbsp;创建并清理临时下载目录
mkdir&nbsp;-p&nbsp;&quot;$TMP_DIR&quot;

#&nbsp;通过&nbsp;curl&nbsp;从&nbsp;FTP&nbsp;服务器下载最新证书
echo&nbsp;&quot;正在下载&nbsp;crt&nbsp;文件...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_CRT_FILE}&quot;&nbsp;-o&nbsp;&quot;${TMP_DIR}/${REMOTE_CRT_FILE}&quot;

echo&nbsp;&quot;正在下载&nbsp;key&nbsp;文件...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_KEY_FILE}&quot;&nbsp;-o&nbsp;&quot;${TMP_DIR}/${REMOTE_KEY_FILE}&quot;

echo&nbsp;&quot;正在下载&nbsp;chain&nbsp;文件...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_CHAIN_FILE}&quot;&nbsp;-o&nbsp;&quot;${TMP_DIR}/${REMOTE_CHAIN_FILE}&quot;

#&nbsp;校验下载的文件大小，防止下载了空文件导致服务瘫痪
if&nbsp;[&nbsp;!&nbsp;-s&nbsp;&quot;${TMP_DIR}/${REMOTE_CRT_FILE}&quot;&nbsp;]&nbsp;||&nbsp;[&nbsp;!&nbsp;-s&nbsp;&quot;${TMP_DIR}/${REMOTE_KEY_FILE}&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;错误：从&nbsp;FTP&nbsp;下载证书失败或文件为空！更新终止。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;rm&nbsp;-rf&nbsp;&quot;$TMP_DIR&quot;
&nbsp;&nbsp;&nbsp;&nbsp;exit&nbsp;1
fi

echo&nbsp;&quot;下载完成！开始更新旧证书...&quot;
#&nbsp;备份旧证书
[&nbsp;-f&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;mv&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;&quot;${LOCAL_CERT_FILE}.bak&quot;
[&nbsp;-f&nbsp;&quot;$LOCAL_UCA_FILE&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;mv&nbsp;&quot;$LOCAL_UCA_FILE&quot;&nbsp;&quot;${LOCAL_UCA_FILE}.bak&quot;

#&nbsp;合并私钥与域名证书到&nbsp;stunnel.pem，私钥在前，证书在后&nbsp;
cat&nbsp;&quot;${TMP_DIR}/${REMOTE_KEY_FILE}&quot;&nbsp;&quot;${TMP_DIR}/${REMOTE_CRT_FILE}&quot;&nbsp;&gt;&nbsp;&quot;${LOCAL_CERT_FILE}&quot;

#&nbsp;写入中间证书链
if&nbsp;[&nbsp;-s&nbsp;&quot;${TMP_DIR}/${REMOTE_CHAIN_FILE}&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;cat&nbsp;&quot;${TMP_DIR}/${REMOTE_CHAIN_FILE}&quot;&nbsp;&gt;&nbsp;&quot;${LOCAL_UCA_FILE}&quot;
fi

#&nbsp;覆盖两个&nbsp;backup&nbsp;文件
cat&nbsp;&quot;${TMP_DIR}/${REMOTE_CRT_FILE}&quot;&nbsp;&gt;&nbsp;&quot;${STUNNEL_DIR}/backup.cert&quot;
cat&nbsp;&quot;${TMP_DIR}/${REMOTE_KEY_FILE}&quot;&nbsp;&gt;&nbsp;&quot;${STUNNEL_DIR}/backup.key&quot;

chmod&nbsp;600&nbsp;&quot;${LOCAL_CERT_FILE}&quot;&nbsp;&quot;${LOCAL_UCA_FILE}&quot;

#&nbsp;清理临时文件
rm&nbsp;-rf&nbsp;&quot;$TMP_DIR&quot;

echo&nbsp;&quot;正在重启系统服务使证书生效...&quot;

#&nbsp;重启核心&nbsp;stunnle、web&nbsp;与反向代理服务
/etc/init.d/stunnel.sh&nbsp;stop
sleep&nbsp;3
/etc/init.d/Qthttpd.sh&nbsp;restart&nbsp;2&gt;&amp;1&nbsp;|&nbsp;grep&nbsp;-v&nbsp;&quot;php_ext.ini&quot;
sleep&nbsp;3
/etc/init.d/thttpd.sh&nbsp;restart
sleep&nbsp;3
/etc/init.d/stunnel.sh&nbsp;start
sleep&nbsp;3
if&nbsp;[&nbsp;-f&nbsp;&quot;/etc/init.d/reverse_proxy.sh&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;/etc/init.d/reverse_proxy.sh&nbsp;reload&nbsp;&nbsp;2&gt;&amp;1&nbsp;|&nbsp;grep&nbsp;-v&nbsp;&quot;AH00558&quot;
fi

echo&nbsp;&quot;SSL&nbsp;证书自动更新成功并已生效！&quot;</pre><p>脚本跑通之后就是添加计划任务，威联通系统添加计划任务的方法跟其他 Linux 系统不一样，网上有很多教程，很容易就能搜到。需要先编辑 /etc/config/crontab，可以使用 vi 或者 nano，然后再执行指令：</p><pre class="brush:bash;toolbar:false;">crontab&nbsp;/etc/config/crontab&nbsp;&amp;&amp;&nbsp;/etc/init.d/crond.sh&nbsp;restart</pre><p>在搞定了威联通之后，我又把目光转到了我家里的一台 Home Assistant 服务器，HAOS 系统更加特殊，虽然底层是 Linux，但是默认并没有开启 SSH，需要先下载一个 SSH工具。</p><p>在 HA 插件商店里，搜索并安装 Advanced SSH &amp; Web Terminal，开启&nbsp;SSH，编写脚本测试，运行正常，/ssl/update_ssl.sh：</p><pre class="brush:bash;toolbar:false;">#!/bin/bash
#&nbsp;自动获取当前脚本所在的绝对路径
SCRIPT_DIR=$(cd&nbsp;&quot;$(dirname&nbsp;&quot;$0&quot;)&quot;;&nbsp;pwd)

#&nbsp;如果不是在终端运行（说明是&nbsp;crontab&nbsp;触发），则启用静默和错误日志模式
if&nbsp;[&nbsp;!&nbsp;-t&nbsp;1&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;exec&nbsp;2&gt;&gt;&nbsp;&quot;${SCRIPT_DIR}/update_ssl_err.log&quot;&nbsp;&gt;/dev/null
fi
#&nbsp;====================&nbsp;HAOS&nbsp;专用配置区域&nbsp;====================
FTP_HOST=&quot;ftp.your_host&quot;
FTP_USER=&quot;ftp_user&quot;
FTP_PASS=&quot;password&quot;
FTP_DIR=&quot;/ssl&quot;
FTP_URL=&quot;ftp://${FTP_HOST}${FTP_DIR}&quot;
CURL_OPTS=&quot;--ssl-reqd&nbsp;-k&nbsp;-sS&nbsp;-u&nbsp;${FTP_USER}:${FTP_PASS}&quot;

REMOTE_CERT_FILE=&quot;fairysoft.net-chain.pem&quot;&nbsp;
REMOTE_KEY_FILE=&quot;fairysoft.net-key.pem&quot;&nbsp;&nbsp;

LOCAL_CERT_FILE=&quot;/ssl/fairysoft.net-chain.pem&quot;
LOCAL_KEY_FILE=&quot;/ssl/fairysoft.net-key.pem&quot;

NGINX_RELOAD_CMD=&quot;ha&nbsp;apps&nbsp;restart&nbsp;core_nginx_proxy&quot;
EXPIRE_DAYS=28
#&nbsp;=========================================================


#&nbsp;检查本地证书文件是否存在
if&nbsp;[&nbsp;!&nbsp;-f&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;];&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;本地证书文件不存在，将直接下载新证书。&quot;
else
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;获取&nbsp;OpenSSL&nbsp;的原始英文时间
&nbsp;&nbsp;&nbsp;&nbsp;RAW_DATE=$(openssl&nbsp;x509&nbsp;-in&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;-enddate&nbsp;-noout&nbsp;|&nbsp;cut&nbsp;-d=&nbsp;-f2)
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;示例格式:&nbsp;May&nbsp;30&nbsp;23:59:59&nbsp;2026&nbsp;GMT
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;针对&nbsp;HAOS&nbsp;(Alpine)&nbsp;环境，用&nbsp;awk&nbsp;将英文月份转换为纯数字格式&nbsp;(YYYY-MM-DD&nbsp;HH:MM:SS)
&nbsp;&nbsp;&nbsp;&nbsp;CLEAN_DATE=$(echo&nbsp;&quot;$RAW_DATE&quot;&nbsp;|&nbsp;awk&nbsp;&#39;
&nbsp;&nbsp;&nbsp;&nbsp;BEGIN&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;split(&quot;Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec&quot;,&nbsp;months,&nbsp;&quot;|&quot;);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;(i=1;&nbsp;i&lt;=12;&nbsp;i++)&nbsp;m_num[months[i]]&nbsp;=&nbsp;sprintf(&quot;%02d&quot;,&nbsp;i);
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;print&nbsp;$4&nbsp;&quot;-&quot;&nbsp;m_num[$1]&nbsp;&quot;-&quot;&nbsp;sprintf(&quot;%02d&quot;,&nbsp;$2)&nbsp;&quot;&nbsp;&quot;&nbsp;$3
&nbsp;&nbsp;&nbsp;&nbsp;}&#39;)

&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_DATE=$(date&nbsp;-d&nbsp;&quot;$CLEAN_DATE&quot;&nbsp;&#39;+%Y-%m-%d&#39;)

&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;计算具体的剩余天数&nbsp;$DAYS_LEFT
&nbsp;&nbsp;&nbsp;&nbsp;EXPIRE_SECS=$(date&nbsp;-d&nbsp;&quot;$CLEAN_DATE&quot;&nbsp;+%s)
&nbsp;&nbsp;&nbsp;&nbsp;CURRENT_SECS=$(date&nbsp;+%s)
&nbsp;&nbsp;&nbsp;&nbsp;DAYS_LEFT=$((&nbsp;($EXPIRE_SECS&nbsp;-&nbsp;$CURRENT_SECS)&nbsp;/&nbsp;86400&nbsp;))

&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;检查证书是否在指定的&nbsp;$EXPIRE_DAYS&nbsp;天数内过期
&nbsp;&nbsp;&nbsp;&nbsp;CHECK_SECS=$((&nbsp;EXPIRE_DAYS&nbsp;*&nbsp;86400&nbsp;))
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;openssl&nbsp;x509&nbsp;-in&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;-checkend&nbsp;$CHECK_SECS&nbsp;&gt;&nbsp;/dev/null;&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;当前证书有效期($EXPIRE_DATE)，将在&nbsp;$DAYS_LEFT&nbsp;天后过期&nbsp;，无需更新。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;exit&nbsp;0
&nbsp;&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;当前证书有效期($EXPIRE_DATE)，将在&nbsp;$DAYS_LEFT&nbsp;天后过期&nbsp;，需要更新。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;fi
fi

echo&nbsp;&quot;开始从远程&nbsp;FTP&nbsp;服务器下载新证书...&quot;

#&nbsp;通过&nbsp;curl&nbsp;从&nbsp;FTP&nbsp;服务器下载最新证书
echo&nbsp;&quot;正在下载证书...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_CERT_FILE}&quot;&nbsp;-o&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;

echo&nbsp;&quot;正在下载私钥...&quot;
curl&nbsp;$CURL_OPTS&nbsp;&quot;${FTP_URL}/${REMOTE_KEY_FILE}&quot;&nbsp;-o&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;

#&nbsp;检查下载是否成功
if&nbsp;[&nbsp;-s&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;[&nbsp;-s&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;!&nbsp;grep&nbsp;-q&nbsp;-E&nbsp;&quot;html|Error&quot;&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;;&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;下载成功！正在替换旧证书...&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;备份旧证书
&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;-f&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;mv&nbsp;&quot;$LOCAL_CERT_FILE&quot;&nbsp;&quot;${LOCAL_CERT_FILE}.bak&quot;
&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;-f&nbsp;&quot;$LOCAL_KEY_FILE&quot;&nbsp;]&nbsp;&amp;&amp;&nbsp;mv&nbsp;&quot;$LOCAL_KEY_FILE&quot;&nbsp;&quot;${LOCAL_KEY_FILE}.bak&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;移动新证书到正式位置
&nbsp;&nbsp;&nbsp;&nbsp;mv&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;&nbsp;&quot;$LOCAL_CERT_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;mv&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;&nbsp;&quot;$LOCAL_KEY_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;设置正确的权限
&nbsp;&nbsp;&nbsp;&nbsp;chmod&nbsp;644&nbsp;&quot;$LOCAL_CERT_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;chmod&nbsp;600&nbsp;&quot;$LOCAL_KEY_FILE&quot;
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;重载&nbsp;Nginx
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;正在重载&nbsp;Nginx&nbsp;服务...&quot;
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;eval&nbsp;$NGINX_RELOAD_CMD;&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;SSL&nbsp;证书更新并重启&nbsp;Nginx&nbsp;成功！&quot;
&nbsp;&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;Nginx&nbsp;重启失败，请检查命令行！&quot;
&nbsp;&nbsp;&nbsp;&nbsp;fi
else
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;&quot;错误：从&nbsp;FTP&nbsp;下载证书失败，更新终止。&quot;
&nbsp;&nbsp;&nbsp;&nbsp;rm&nbsp;-f&nbsp;&quot;${LOCAL_CERT_FILE}.new&quot;&nbsp;&quot;${LOCAL_KEY_FILE}.new&quot;
&nbsp;&nbsp;&nbsp;&nbsp;exit&nbsp;1
fi

echo&nbsp;&quot;SSL&nbsp;证书自动更新成功并已生效！&quot;</pre><p>脚本跑通之后，下一步就是添加计划任务了，但这时候问题来了，计划任务却怎么都跑不起来。</p><p>问 AI，告诉我说 HAOS 不支持计划任务，让我使用系统自带的自动化功能配合 Shell Command 来实现，在 AI 的引导下，一顿操作猛如虎，折腾了一上午，脚本硬是没有执行起来。</p><p>只好自己想办法排查问题，经过一番排查，发现 Shell Command 根本没有 /ssl 目录的写入权限，然后我改目录，证书倒是能下载了，最后却又没有 ha apps restart core_nginx_proxy&nbsp;的执行权限。</p><p>被一堆权限问题搞得焦头烂额之后，我只好换了一家 AI，请出 Gemini 大哥出场，他让我直接在&nbsp;Advanced SSH &amp; Web Terminal 的配置页面里编辑YAML：</p><pre class="brush:bash;toolbar:false;">init_commands:
&nbsp;&nbsp;-&nbsp;echo&nbsp;&quot;00&nbsp;03&nbsp;*&nbsp;*&nbsp;*&nbsp;/bin/bash&nbsp;/ssl/update_ssl.sh&quot;&nbsp;&gt;&nbsp;/etc/crontabs/root
&nbsp;&nbsp;-&nbsp;echo&nbsp;&quot;&quot;&nbsp;&gt;&gt;&nbsp;/etc/crontabs/root
&nbsp;&nbsp;-&nbsp;chmod&nbsp;600&nbsp;/etc/crontabs/root
&nbsp;&nbsp;-&nbsp;crond</pre><p>改完之后点保存，系统会自动重启 Advanced SSH &amp; Web Terminal，测试正常，还得是Gemini。</p>]]></description><category>计算机</category><comments>https://www.fairysoft.net/post/84.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=84</wfw:commentRss></item><item><title>腾讯云 SSL 证书文件格式踩坑笔记</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/83.html</link><pubDate>Wed, 20 May 2026 21:54:49 +0800</pubDate><guid>https://www.fairysoft.net/post/83.html</guid><description><![CDATA[<p>最近在给网站部署 SSL 证书，由于我的设备跨越了 Windows Server、Debian、QNAP 等多个平台，所以证书格式也要用到很多种，以下是我经过几天时间踩坑之后总结出来的干货。</p>

<p>先说证书，IIS 的就不说了，只说说 Nginx 和 Apache 证书格式的区别，以及威联通 QNAP 系统独特的证书格式。</p>

<p>腾讯云的 Nginx 证书包解压之后有四个文件，文件名分别为：</p>

<pre class="prettyprint">
fairysoft.net_bundle.crt 网站证书跟中继证书合并的证书链
fairysoft.net_bundle.crt 这个文件跟上面那个文件内容完全一样，只是扩展名不同
fairysoft.net.csr        申请证书时生成的请求文件，部署时用不到，可删
fairysoft.net.key        私钥文件</pre>

<p>腾讯云的 Apache 证书包解压之后也有四个文件，文件名分别是：</p>

<pre class="prettyprint">
fairsoft.net.crt 网站证书
fairsoft.net.key 私钥
fairsoft.net.csr 申请证书时生成的请求文件，部署时用不到，可删
root_bundle.crt  中继证书</pre>

<p>Nginx 的配置文件如下，需要指定两个文件，一个是网站证书跟中继证书合并成的证书链，另外一个是单独的私钥：</p>

<pre class="prettyprint">
ssl_certificate     /etc/ssl/fairysoft.net_bundle.pem;
ssl_certificate_key /etc/ssl/fairysoft.net.key;</pre>

<p>旧版 Apache（2.4.8 之前）配置文件中需要指定三个文件：</p>

<pre class="prettyprint">
SSLCertificateFile      /etc/ssl/fairsoft.net.crt
SSLCertificateChainFile /etc/ssl/root_bundle.crt
SSLCertificateKeyFile   /etc/ssl/fairsoft.net.key</pre>

<p>新版 Apache（2.4.8 及以后）配置文件中废弃了 SSLCertificateChainFile，强制要求把域名证书跟中继证书顺序拼接成一个证书链，私钥依旧单独文件，格式跟 Nginx 一致了。</p>

<pre class="prettyprint">
SSLCertificateFile    /etc/ssl/fairysoft.net_bundle.pem
SSLCertificateKeyFile /etc/ssl/fairsoft.net.key</pre>

<p><br />
总结一下，腾讯云 Apache 证书包是拆分文件：域名证书.crt + 中继.crt + 私钥.key，旧版专用，新版不能直接用。新版 Apache 2.4.8+ 如果要用旧版的 Apache 证书包，必须手动将：域名证书.crt + 中继.crt &rarr; 合并成证书链文件，和 Nginx 格式一致，其实直接下载 Nginx 的证书包就可以直接用了，不需要手动合并。</p>

<p>威联通 QNAP 系统则有些特殊，QNAP 虽然使用的是 Apache 作为 Web 服务器，但是证书管理却使用了&nbsp;stunnel，配置文件如下：</p>

<pre class="prettyprint">
SSLCertificateFile      &quot;/etc/stunnel/stunnel.pem&quot;  # 这里面同时包含私钥和网站证书
SSLCertificateChainFile &quot;/etc/stunnel/uca.pem&quot;      # 中继证书</pre>

<p>从配置文件可以看出来，威联通使用的证书格式跟 Nginx 和 Apache 都不一样，私钥和网站证书合并成一个证书链，而中继证书却单独放。</p>

<p>最近我还在 Windows Server 服务器上部署了 Win‑acme ，下载的证书文件格式如下：</p>

<pre class="prettyprint">
fairsoft.net‑key.pem        私钥文件
fairsoft.net‑crt.pem        网站证书
fairsoft.net‑chain‑only.pem 仅中继证书
fairsoft.net‑chain.pem      网站证书和中级证书合并的证书链
</pre>

<p>对比一下就会发现 Win‑acme 下载的证书跟 Nginx 格式的证书包完全互通，可直接通用于 Nginx 和新版 Apache。</p>

<p>下一期我来讲一下如何在各种 Linux 系统上部署脚本，自动更新快过期的证书。</p>

<p>&nbsp;</p>
]]></description><category>计算机</category><comments>https://www.fairysoft.net/post/83.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=83</wfw:commentRss></item><item><title>当飞机遇到GPS干扰</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/82.html</link><pubDate>Wed, 08 Apr 2026 22:23:17 +0800</pubDate><guid>https://www.fairysoft.net/post/82.html</guid><description><![CDATA[<p>两年前我就想写一篇关于飞机GPS干扰的文章，一直没找到机会写，直到昨天我自己遭遇了一次严重的GPS干扰事件。</p>

<p>昨天飞晚班回重庆，着陆前10分钟，在我们飞过沙坪坝上空时，飞机弹出一个&ldquo;ADS-B故障&rdquo;的信息，我们明白这是遇到了GPS干扰。但这时候我们还以为这只是一次普通的干扰，对这种由于GPS干扰导致的ADS-B故障我们最近几年经常遇到，早就习以为常了，一般这种干扰只会持续几秒钟就会消失，因为通常干扰范围是局部的，以我们飞机的速度很快就能脱离这个干扰区域，而且就算是持续受到干扰，对我们飞机影响也不大，因为我们飞机有三套高精度的惯性导航系统，它们可以完全不依赖外部的GPS信号来工作。</p>

<p>可是随后我在无线电频率里听到一架在我前面的山东航空的飞机报告管制员说他们遭遇GPS干扰中止进近拉升了，这时候我才意识到这次的干扰可能跟之前不一样，于是我们开始评估风险，我们重点检查了飞机的导航系统，确认飞机的位置没有出现偏移，但我们还是通告了管制员要求帮我们通过地面雷达监控我们飞机的位置和高度，因为空管的一次雷达是使用无线电波反射原理来主动测量飞机的位置，而不依赖飞机的位置报告系统。</p>

<p>没过多久，飞机又弹出一个&ldquo;FMS/GPS位置不一致&rdquo;的信息，这个信息意味着GPS受到的不是普通的干扰&mdash;&mdash;普通的干扰属于&ldquo;压制式信号干扰&rdquo;，只是用一个杂乱无章的无线电噪声淹没掉正常的GPS卫星信号，使得GPS接收机无法从这一堆噪声中提取出有用的信息，也就无法计算出经纬度位置数据。这种情况下，GPS只是暂时罢工但并不会添乱，失去了GPS定位，飞机的位置精度会略微下降一点点，但还是能满足除了RNP进近之外的大多数飞行程序的要求。但是这个&ldquo;FMS/GPS位置不一致&rdquo;的告警信息意味着GPS接收机接收到了一组精心伪造的无线电信号并解码计算出了一个错误的经纬度位置信息，这种升级版的干扰被称为&ldquo;GPS欺骗&rdquo;，这种情况下，GPS不再是罢工这么简单了，它会直接给你添乱。虽然GPS欺骗很难对飞机的导航系统产生严重的影响，因为飞机的FMGS计算机会识别出明显不合理的GPS位置信息并将其舍弃掉，但是错误的位置信息会对飞机的增强型近地警告系统（EGPWS）造成极大的影响，因为EGPWS系统的位置信号是直接来源于GPS接收机而不是FMGS计算机，EGPWS系统在发出告警之前并不会对GPS接收机提供的位置信息做有效性校验。</p>

<p>果然这个信息弹出来没多久，驾驶舱里PULL UP警告就开始响了起来，当时我的内心也是慌得一批，倒不是担心会撞山&mdash;&mdash;因为我很清楚我飞机当时的位置根本没有任何撞山的可能。我在重庆飞了近20年，这条航路我太熟悉了：当时我们正在左转五边准备建立盲降，我左前方是鹅公岩长江大桥，江对岸是南岸区，虽然正前方是南山，但是南山海拔最高的地方也只有600米，而我们飞机当时的高度在1500米以上。</p>

<p>那我慌啥呢？非业内人士可能不知道&ldquo;PULL UP&rdquo;警告有多严重，可以这么说，这个警告是飞机上最严重的警告，没有之一！99%的飞行员一辈子都不会在真飞机上听到这个警告，如果你触发了这个警告，在现在的处罚制度下，基本上就可以宣告你的职业生涯终结了。不过好在这是个假警告，所以我们三个人的饭碗暂时是保住了，算是虚惊一场。随后的重点是如何决策，当时我们有两个选择，一是直接中止进近拉升，二是忽略警告继续进近。</p>

<p>原则上讲，PULL UP警告是最高优先级、立即动作级警告，根本没时间给你去思考判断和决策，你要做的只能是立即执行地形避让的记忆项目：迅速前推油门杆到底同时断开自动驾驶并向后拉杆到底。这个原则曾经是不容置疑的，关键时刻能保命。但问题是在GPS干扰越来越频发的当今，这种地形避让操作带来的衍生风险也不容忽视：首先，迅速带杆到底的操作对飞机的飞控系统是一个很大的挑战，虽说空客的正常法则会保护飞机不进入失速，但是飞行数据上必然会出现很多超限，每一个超限都够飞行员喝一壶了，如果造成旅客受伤你更是吃不了兜着走了；其次，警告持续响你就得持续爬升，势必会导致穿越多个高度层，在繁忙的机场很容易跟空中其他飞机造成飞行冲突，任何一个冲突都可能会造成事故征候级别的后果，何况受到干扰的飞机不止你一架，大家全都满油门大角度爬升，估计空管都要疯掉了。所以空客公司在最近的一个&ldquo;关于应对虚假TAWS告警&rdquo;的技术通告里面很委婉的提示飞行员，首先，如果在安全高度之上&ldquo;不应当机械的执行TAWS记忆项目&rdquo;；其次，在明确GPS受到干扰并执行完地形意识简令之后可以考虑关闭飞机的TERR告警功能。不过，可能是为了免责，空客在通告中还是强调触发TAWS告警之后处置原则依然是立即执行地形避让的记忆项目。</p>

<p>在犹豫了0.01秒之后我选择了违反原则，忽略警告并抑制TERR告警功能，继续进近。虽然从结果来看我的选择是对的，如果我选择拉升避让，可能后果会非常严重。但是直到现在我一直在反复思考这个问题：飞行员一直以来被要求原则上应当无条件服从机器的告警指示，是因为我们一直以来都认为机器比人更可靠，人会犯错，机器不会，但是当这个机器明确被证实存在某个Bug，在某些情况下会给出错误的指示，当这种情况发生时，我们是否还应该遵循之前的原则。</p>

<p>这个问题就不多写了，大家有兴趣可以讨论一下。最后留点科普时间给大家粗略的讲解一下飞机FMGS计算位置的方法。</p>

<p>首先讲一下惯性导航系统（INS），惯导是一种完全自主的导航设备，它不依赖任何外部信号，仅通过飞机自身，就能实时计算出自身的位置、速度、姿态信息。惯导的核心部件有两个，一个是激光陀螺：负责测量飞机的俯仰、倾斜、转弯角度等，跟位置计算没啥关系，这里就不细说了。另一个核心部件是加速度计：负责测量飞机在空间坐标系中xyz三个方向的加速度。根据牛顿运动定律，加速度对时间积分得到速度，速度对时间积分得到位移，初始位置加位移就是飞机的当前位置。惯导的短时精度非常高，但惯导有一个无法避免的缺陷&mdash;&mdash;累计误差。因为积分运算会不断累积测量过程中的微小偏差，随着飞行时间延长、飞行距离增加，这些误差会一点点累积，导致位置精度逐渐下降。飞行时间越久，惯导算出的位置与真实位置偏差就越大，单纯依靠惯导，无法满足长途飞行的高精度定位需求。</p>

<p>再说一下GPS定位，GPS是我们最熟悉的定位方式，飞机通过接收卫星发射的信号，实时测算与多颗卫星的距离，通过计算得出自身的位置。它的优势十分突出：定位精度高，且误差不会随飞行时间累积，无论飞多久，只要能稳定接收卫星信号，就能保持较高的位置准确性。但GPS的短板也很明显：信号极易受干扰。就像此前提到的GPS干扰问题，一旦GPS失效，飞机就会失去这一精准定位来源。</p>

<p>飞机上的FMGS计算机融合惯导与GPS各自的优点，将二者数据融合，取长补短，打造出稳定又精准的定位最优解。工作原理简单来说就是利用惯导短时精度高的优点来对接收到的GPS位置进行校验，采纳可信GPS位置，舍弃不可信GPS位置，不断修正惯导的累积位置偏差。</p>

<p>所以大家大可不必担心GPS干扰甚至GPS欺骗会对飞机FMGS的定位导航造成严重的影响，就算是受到严重的GPS干扰，飞机位置也不会突然发生剧烈的变化，最多不过是随着时间的累积，慢慢的发生微小漂移。再说了，失去GPS辅助以后FMGS还会降级到无线电位置更新，利用地面导航台的方位距离信息来计算自身的位置，并修正惯导的漂移。就算是无线电位置更新也不可用，惯导仅依靠自身的精度也能维持一段时间的导航精度。这就是为什么没有GPS的飞机如果执行RNAV10的跨洋航线会限制纯惯导的飞行时间不能大于6小时，因为据说惯导漂移的适航认证要求每小时漂移距离不得大于2海里，纯惯导飞行6小时基本能满足RNAV10的要求。实际飞行时我观察过惯导的漂移量，一般每小时只有零点几海里的误差，远低于适航认证的上限。RNP AR(0.3)进离港的GPS空洞期最大允许5分钟也跟这个有关，其逻辑就是在GPS信号丢失之后，惯导仅靠自身的精度能保证在5分钟之内位置偏差不会超过0.3海里。</p>

<p>最后再说一下受到GPS干扰之后，如果两部GPS都失效的情况下到底能不能使用RNAV进离港程序的问题。我查阅了RNAV1的设计规范，发现设计规范并不强制机载设备必须具备GNSS，可使用 GNSS、DME/DME 或DME/DME/IRU中的任意一种，只有RNP进近和RNP AR进近才强制必须具备GNSS，普通RNP进近要求1部GPS，RNP AR要求两部GPS。但是实际运行中我发现国内几乎所有机场的RNAV进离港程序都要求GNSS，所以在这些机场运行时，一旦GPS失效，就只能申请飞传统进离港程序。不过也有例外，比如成都双流机场的进离港程序就没有要求必须要有GNSS，理论上，双GPS失效的情况下只要DME/DME/IRU可用，在成都双流机场一样能飞RNAV进离港程序，只不过最后进近只能接盲降或者VOR程序，不能飞RNP进近。</p>
]]></description><category>飞行技术</category><comments>https://www.fairysoft.net/post/82.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=82</wfw:commentRss></item><item><title>飞行员专用座舱高度监控报警器</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/81.html</link><pubDate>Sun, 08 Dec 2024 10:37:56 +0800</pubDate><guid>https://www.fairysoft.net/post/81.html</guid><description><![CDATA[<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208110662916291.jpg" style="height:270px; width:360px" /></p>

<p>空客A319飞机在飞高原的时候，座舱压力控制计算机有一个BUG，偶尔小概率会触发一个假警告，空客公司认为只是个假警告而已，不理他就行了，所以一直不去修复。但CAAC太卷，领导说了哪怕是假警告也坚决不能响，所以制定了一套补充程序要求机组在座舱高度达到8500ft时执行，以避免这个假警告。但是机组有时候事太多，经常忘了去做这个程序，如果运气不好碰巧这个警告响了的话，回来就会被收拾。所以我做了这个物理外挂，在需要执行程序的时候来提醒机组。使用ESP32处理器，MS5611高精度气压传感器，1.3寸低功耗OLED显示屏，三个物理按键，内置500mAh电池。</p>

<p>以下是产品简要说明：</p>

<blockquote>
<p><strong>简介：</strong></p>

<p style="margin-left:40px">一个带有高度报警和升降率报警功能的气压高度表。</p>

<p><strong>基本操作：</strong></p>

<p style="margin-left:21pt">1、&nbsp;在主界面下，左键开关显示屏，关屏状态下高度提醒功能仍然在后台工作。</p>

<p style="margin-left:21pt">2、&nbsp;主界面下短按中键进入设置模式，设置气压基准和高度提醒值。</p>

<p style="margin-left:21pt">3、&nbsp;主界面下长按中键设置升降率报警值。</p>

<p style="margin-left:21pt">4、&nbsp;主界面下短按右键切换公英制。</p>

<p style="margin-left:21pt">5、&nbsp;主界面下长按右键将气压基准恢复为1013hPa，高度提醒值恢复为8300ft。</p>

<p style="margin-left:21pt">6、&nbsp;设置模式下，左右键操作数值的减和加。</p>

<p><strong>四种提醒：</strong></p>

<p style="margin-left:21pt">1、&nbsp;高度超过8300ft，提醒CPC转换，持续滴滴约20秒，按任意键停止。</p>

<p style="margin-left:21pt">2、&nbsp;巡航时首次升降率超过500ft/m，滴滴两声，提醒主控CPC已进入下降模式。</p>

<p style="margin-left:21pt">3、&nbsp;座舱高度超过13000ft，滴滴5声，提醒检查高高度电门是否接通。</p>

<p style="margin-left:21pt">4、&nbsp;升降率超过设定值提醒，只要升降率超过设定值就一直滴滴，无法通过按键停止。本提醒只在亮屏模式下才工作，因为需要高采样频率的支持。</p>

<p><strong>自动熄屏：</strong></p>

<p style="margin-left:40px">正常开机后默认5分钟无按键操作自动熄屏进入待机模式。</p>

<p style="margin-left:40px">按住右键再打开电源开关则不启用自动熄屏功能。</p>

<p><strong>气压传感器校准：</strong></p>

<p style="margin-left:40px">按住左键再打开电源开关进入气压传感器校准页面，左右键调整校准值，中键保存。</p>
</blockquote>

<p>&nbsp;</p>

<p>记录一下开发过程：</p>

<p>突然有一天有了这个想法，于是画了这张手稿</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/2024120810420196196.jpg" style="height:640px; width:360px" /></p>

<p>说干就干，用ESP32开发板搭建试验平台</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208104379977997.jpg" style="height:270px; opacity:0.9; width:360px" /></p>

<p>学习单片机编程，第一步当然是写&ldquo;Hello World！&rdquo;</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208104772177217.jpg" style="height:203px; width:360px" /></p>

<p>带上飞机调试，精度非常满意</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/2024120810490568568.jpg" style="height:480px; width:360px" /></p>

<p>开始学习画电路板</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105093029302.jpg" style="height:411px; width:360px" /></p>

<p>学习手工焊接CPU</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105163256325.jpg" style="height:270px; width:360px" /></p>

<p>第一台试验样机组装成功</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105280448044.jpg" style="height:480px; width:360px" /></p>

<p>为了提高续航，研究ESP32的睡眠模式，经过一番努力终于把待机电流控制到了2毫安以下，算下来待机时间可以达到200小时以上。</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105392809280.jpg" style="height:480px; width:360px" /></p>

<p>最终实现了量产。</p>

<p>经济版用的3D打印塑料外壳，定价319元。</p>

<p>豪华版使用铝合金CNC外壳，定价499元。</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105688668866.jpg" style="height:270px; width:360px" /></p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105762646264.jpg" style="height:480px; width:360px" /></p>

<p>有需要的可以联系我购买</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241208105981938193.jpg" style="height:480px; width:360px" /></p>
]]></description><category>飞行技术</category><comments>https://www.fairysoft.net/post/81.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=81</wfw:commentRss></item><item><title>当前高高原中止进近之后的CPC转换程序存在的问题</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/80.html</link><pubDate>Sat, 07 Dec 2024 17:49:12 +0800</pubDate><guid>https://www.fairysoft.net/post/80.html</guid><description><![CDATA[<p>先插入一个我自己开发的CPC转换提醒器的广告，详情点击：<a href="https://www.fairysoft.net/post/81.html">&ldquo;飞行员专用座舱高度监控报警器&rdquo;</a></p>

<p>进入主题之前我先说一个很多人对于CPC转换的误解。可能很多人都认为CPC转换的作用是强制让备用CPC跟主用CPC&ldquo;同步&rdquo;，其实这个理解是不正确的。转换CPC并不会立刻让两部CPC的工作模式同步，每一部CPC原本处于什么模式，转换之后还是什么模式。既然这样，那为什么在下降之后当座舱高度达到8500ft的时候进行一次CPC转换能有效避免虚假的&ldquo;座舱高度过高&rdquo;警告呢？我来仔细分析一下这个CPC转换程序背后的逻辑：</p>

<p>飞机正常下降之后当座舱高度开始上升，说明这时候主用CPC已经进入了下降模式。但这时候备用CPC却不一定也进入了下降模式，也就是所谓的&ldquo;不同步&rdquo;或者叫&ldquo;延迟&rdquo;，此时有两种可能性：<br />
A.备用CPC也进入了下降模式<br />
B.备用CPC还停留在巡航模式</p>

<p>平时飞行时大多数情况都是A，在这种情况下就算不转换也不会触发警告，不过转换一下也没坏处。</p>

<p>如果是情况B，只要飞机持续保持下降，备用CPC还是会探测到飞机已下降，从而进入下降模式，转换时机虽有延迟但大多数时候也不会延迟到座舱高度达到9550ft的报警高度，所以也不会出现警告。这就是为什么在以前，大家虽然都没有做8500转换CPC的程序，也很少出现这个假警告。</p>

<p>只有在极少数情况下，当主用CPC进入到了下降模式而备用CPC还停留在巡航模式正巧又遇到飞机改平，那么备用CPC就会一直停留在巡航模式，主用CPC因为在下降模式，会控制座舱高度一直上升，当上升到9550ft的时候，备用CPC就会发出警告。</p>

<p>在这种情况下，只要在座舱高度达到9550ft之前进行一次CPC的转换，就能使原本卡在巡航模式的CPC变成主用，转换之后处于巡航模式的主用CPC会控制座舱高度从上升转为下降，座舱高度不会达到9550ft，于是避免了触发警告。随后当飞机转入下降，这部停留在巡航模式的CPC迟早也会探测到下降，所以座舱高度又会从8000ft再次上升，这时候也不用担心到了9550ft会触发警告了，因为两部CPC都已经是下降模式了。</p>

<p>CPC转换这个动作并不能直接使两部CPC立刻同步。只是在某些特定的阶段，比如在飞机从巡航开始下降之后当主用CPC已经进入了下降模式的时候，CPC转换程序能确保两部CPC都进入下降模式，从结果上看，两部CPC确实&ldquo;同步&rdquo;了，所以才会给大家造成误解。大家一定要知道，转换CPC这个操作并不是在所有情况下都能让两部CPC同步，比如说中止进近之后的转换，后面会详细分析。</p>

<p>写到这里忍不住吐槽一下公司的手册，连猜带蒙才大致看懂写的什么意思：</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241207181588278827.jpg" style="height:412px; width:400px" /></p>

<p>&nbsp;</p>

<p>了解了CPC转换并不一定能使两部CPC同步这个原理，我们再看一下中止进近之后的CPC转换程序：</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/2024120718190631631.jpg" style="height:306px; width:400px" /></p>

<p>为什么我说这个程序存在BUG？下面我会通过两起典型的案例分析来解释这个问题。</p>

<p>首先看一下空客A320飞机的CPC转换逻辑图</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/12/20241207193879867986.jpg" style="height:349px; width:400px" /></p>

<p>从这个图表中可以看到CPC从下降模式进入上升模式需要探测到持续60秒的飞机爬升，所以中止进近之后如果只上升60秒左右改平，就会导致两部CPC有可能其中一部进入了上升模式而另一部却停留在下降模式。一共有四种可能性：</p>

<p>A.两部都进入了上升模式<br />
B.两部都停留在下降模式<br />
C.主用进入了上升模式而备用停留在下降模式<br />
D.主用停留在下降模式而备用进入了上升模式</p>

<p>其中A和B两种情况下两部CPC处于&ldquo;同步&rdquo;状态，所以不管是否转换CPC都不会触发假警告。只有当C或者D两种情况出现时，才有可能触发这个警告。</p>

<p>先说情况D，这个案例是我亲自遇到的，2022年2月在邦达中止进近，改平之后未进行CPC转换（当时手册中还没有中止进近之后的CPC转换程序）。当时是从6300米上升到6600米，只上升了1000英尺就改平（爬升过程大概60秒左右），刚中止进近的时候两部CPC都处于下降模式，座舱高度13800ft。飞机上升一段时间之后备用CPC探测到了超过60秒的持续爬升，进入了爬升模式。但是主用CPC却由于未探测到持续60秒的爬升，还停留在下降模式，所以座舱高度也一直保持在13800ft没有下降。飞机在6600米改平之后不久，备用CPC进入了巡航模式，触发了&ldquo;座舱高度过高&rdquo;的警告。如果当时我们改平之后立即（备用CPC进入巡航模式之前）进行一次CPC的转换，就能避免这个假警告。</p>

<p>再说情况C，这个案例是2024年2月在拉萨中止进近，改平之后机组进行了CPC转换，在转换完CPC后不久触发了警告。当时是从6900米爬升到7200米，同样也是只上升了1000英尺就改平（爬升过程大概60秒左右），刚中止进近的时候两部CPC都处于下降模式，座舱高度11300ft，CPC2为主控，CPC1为备用。随后CPC2探测到爬升时间超过了60秒，进入到了上升模式，于是CPC2控制座舱高度下降到目标高度8000英尺。CPC1直到飞机改平都没有探测到60秒的持续爬升，所以未能进入上升模式，仍然停留在下降模式。改平之后不久CPC2从上升模式转为巡航模式，但是CPC1仍然停留在下降模式（因为下降模式无法直接跳到巡航模式）。当座舱高度下降到8500ft时，机组转换CPC，导致处于下降模式的CPC1成为了主控，处于巡航模式的CPC2被转换到了备用，成为主控的CPC1（下降模式）控制座舱高度从8500ft再次转为上升，当座舱高度上升到9550英尺时，处于备用状态的CPC2（巡航模式）触发了警告。</p>

<p>通过上面的案例分析我发现：情况C如果不转换CPC不会出现警告，转换之后反而会触发警告。情况D不转换CPC会出现假警告，如果转换则能避免这个警告。但是目前的FCOM手册的程序并没有区分这两种不同的情况，统一要求机组在改平之后进行CPC转换。也就是说机组现在所执行的这个程序，在某些情况下能避免假警告，但是在某些情况下不仅不能避免警告，反而还会导致假警告。</p>

<p>以上分析都是我个人的理解，不一定正确，因为缺乏更多的技术资料和案例可查阅，但是根据目前我所知的这几起案例，以上整个分析过程从逻辑上是能自洽的。如果大家有不同看法，请留言指出，不吝赐教！&nbsp;</p>
]]></description><category>飞行技术</category><comments>https://www.fairysoft.net/post/80.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=80</wfw:commentRss></item><item><title>RNP进近的温度限制</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/79.html</link><pubDate>Sun, 28 Jul 2024 01:29:31 +0800</pubDate><guid>https://www.fairysoft.net/post/79.html</guid><description><![CDATA[<p>我们先来看一个某公司最近的事件报告中的片段：</p>

<p>&ldquo;机组在做进近准备收到签派电话：告知西双版纳/嘎洒机场盲降不工作，因机场温度过高不能使用 RNP LNAV/VNAV进近程序，可能使用 LNAV 或 VOR/DME 进近。机组收到消息后主计划按 RNP LNAV 程序准备，二计划按 VOR/DME 程序准备&hellip;&hellip;。13:56 机组首次联系嘎洒进近（后简称进近），被告知使用 16 号 RNP 程序进近，机组考虑温度超限制，提出使用 LNAV 进近，进近告知机组：不能使用 LNAV 程序，更改指令使用 16 号跑道 VOR/DME 进近&hellip;&hellip;&rdquo;</p>

<p>看完这段报告，我们来思考一个问题：版纳机场16号RNP进近航图上标注了这样一个限制：&ldquo;无温度补偿的航空器，运行温度范围为0℃-29℃(Baro-VNAV)&rdquo;。现在机场气温30℃，能否运行RNP进近程序？</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/7/2024072801340481481.jpeg" style="height:120px; width:338px" /></p>

<p>要回答这个问题，首先要弄清楚RNP进近图上的&ldquo;LNAV/VNAV&rdquo;与&ldquo;LNAV&rdquo;是什么。我们都知道LNAV代表水平导航、VNAV代表垂直导航，这是航空器的两个导航功能。但是在RNP进近程序中，这两者却另有所指。我查阅了民航局飞标司的咨询通告《在终端区和进近中实施RNP的运行批准指南》(AC-91-FS-2010-01R1)。通告中是这么写的：&ldquo;RNP 进近一般包括 LNAV 和 LNAV/VNAV 两类运行最低标准。&rdquo;</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/7/20240728014747214721.jpeg" style="height:132px; width:480px" /></p>

<p>由此可见，&ldquo;LNAV/VNAV&rdquo;和&ldquo;LNAV&rdquo;是RNP进近的两类最低标准，也可以理解为RNP进近程序的两个子类，前者是类精密进近，使用DA，后者是非精密进近，使用MDA。这两类进近由于垂直导航源使用的是气压式高度表，所以机场的温度会对飞机的飞行高度产生影响，简单来说就是温度高的时候飞机飞行轨迹会比预期高，温度低的时候飞机飞行轨迹会比预期低。于是程序设计上会对没有温度补偿功能的飞机（比如说常见的A320和B737）做出限制，当温度超出限制范围，就不能使用LNAV/VNAV的最低标准，只能使用LNAV的最低标准，也就是降级为非精密进近。使用LNAV最低标准的RNP进近和其他非精密进近程序一样是没有温度限制的，比如丽江20号的RNP进近只有LNAV标准，航图上就没有标注温度限制。</p>

<p>那么现在又有了一个新问题：同样是使用气压高度表作为垂直导航源，为什么类精密进近有温度限制而非精密进近没有温度限制呢？对这个问题，我翻了一下书，没找到标准答案，所以只能自己揣测一下：这大概是因为类精密进近在设计飞行程序的时候没有给飞行员提供低温修正的程序。而传统的非精密进近由于可以做低温修正，所以不需要设置运行温度的下限。类精密进近把垂直引导完全交给计算机控制，不允许飞行员对计算机程序数据进行修改，这其实是一种很先进的设计理念。只是目前受限于技术的原因使用了气压高度表来作为垂直导航数据源，所以才不得不加入温度限制。等到使用LPV技术的RNP进近在国内普及之后，温度限制的问题就不复存在了。</p>

<p>好了，总结一下：温度超出范围并不意味着RNP程序不可用，只是对于大部分不具备温度补偿功能的飞机来说不能执行LNAV/VNAV的最低标准，只能使用LNAV的最低标准，也就是降级为非精密进近，降级的目的是为了让你能做低温修正程序。但是温度高于最高限制值为什么也要降级为非精密进近，这一点我始终没有想明白。虽说温度高会带来下滑角过大的问题，但是降级为非精密进近之后并不能解决这个问题，因为我们只有低温修正程序而没有高温修正程序。</p>

<p>了解了以上这些知识，我们再来看一下具体操作上问题：RNP进近使用LNAV/VNAV最低标准和使用LNAV最低标准分别该怎么飞？很多人对此都有一个误区，认为LNAV不能使用FINAL APP模式来引导。为此我专门查阅了几个航司的飞行手册（空客系列），基本上大同小异：对于使用LNAV/VNAV最低标准的RNP进近，只能使用FINAL APP这一种模式来引导；对于使用LNAV最低标准的RNP进近，可以使用FINAL APP模式也可以使用NAV FPV模式，而且公司更推荐的是FINAL APP模式，NAV FPA模式大致是为了用于低温修正程序。</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/7/20240729025375537553.jpeg" style="height:456px; width:480px" /></p>

<p>最后我们再回过头来分析一下文章开头那个事件报告中的几个问题，首先，机组和签派混淆了概念，把LNAV/VNAV当成了进近程序，认为温度超出限制范围就&quot;不能使用LNAV/VNAV进近程序&quot;，于是向管制员申请&quot;使用LNAV程序&quot;，管制员也许是没明白机组的意图，以为机组无法执行RNP进近程序，于是指挥机组使用VOR进近，而版纳16号VOR进近的下滑角是3.5度，比RNP还大，30多度的高温让梯度变得更陡，飞行难度更大，从而导致后面发生了一些其他不安全事件。机组当时其实不需要向管制员申请，因为管制员已经给了机组RNP进近的许可，机组发现温度超限，只需要执行LNAV的最低标准就可以了。至于在进近引导方式上，机组依然可以使用FINAL APP的模式来引导。我查阅了飞行操作手册，对于垂直管理引导模式，手册上只对低温做了限制，没有对高温做出使用限制。</p>

<p><img alt="" src="https://www.fairysoft.net/zb_users/upload/2024/7/20240729030444854485.jpeg" style="height:121px; width:480px" /></p>

<p><em>在文章最后我申明一下：文章开头写的&ldquo;某公司的事件&rdquo;是我瞎编的，如有雷同，纯属巧合。</em></p>
]]></description><category>飞行技术</category><comments>https://www.fairysoft.net/post/79.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=79</wfw:commentRss></item><item><title>安卓应用的https抓包简明教程</title><author>null@null.com (liu_geng)</author><link>https://www.fairysoft.net/post/78.html</link><pubDate>Mon, 16 Oct 2023 14:54:40 +0800</pubDate><guid>https://www.fairysoft.net/post/78.html</guid><description><![CDATA[<p>基本原理：在电脑上运行抓包工具Fiddler，安卓手机跟电脑在同一个局域网内，Fiddler会启动一个网络代理，在安卓手机的WIFI设置里面手动指定这个代理，手机所有的流量都会通过Fiddler来转发，于是Fiddler就能抓取手机的http数据包了。但是https的包是经过加密的，Fiddler抓到的包无法显示包的内容，这时我们就需要在手机上安装Fiddler的证书，并信任这个证书。在安卓手机上安装和信任证书需要Root，由于手机Root不太方便，所以我使用的是夜神安卓模拟器。</p>

<p>方法很简单，教程如下：</p>

<p>1.下载安装抓包工具Fiddler和夜神模拟器，下载地址和安装方法本文略过</p>

<p>2.下载安装openssl，下载地址：http://slproweb.com/products/Win32OpenSSL.html</p>

<p>3.安装完openssl之后，在环境变量PATH中添加openssl的可执行文件路径，比如说： C:\Program Files\OpenSSL-Win64\bin，然后打开命令提示符或者Power Shell输入命令：openssl version 查看openssl版本（验证是否安装成功）</p>

<p>4.打开Fiddler、选项、HTTPS、勾上&ldquo;抓取HTTPS&rdquo;，然后点右边的Actions按钮，在下拉菜单中点击&ldquo;导出证书到桌面&rdquo;，你会发现桌面上有了一个名为&ldquo;FiddlerRoot.cer&rdquo;的证书文件</p>

<p>4.用openssl将证书转换为pem格式：openssl x509 -inform DER -in FiddlerRoot.cer -out cacert.pem，执行完成之后桌面上会出现一个名为&ldquo;cacert.pem&rdquo;的pem格式证书</p>

<p>5.获取cacert.pem的hash信息：openssl x509 -inform PEM -subject_hash_old -in cacert.pem，比如说hash信息为&ldquo;269953fb&rdquo;</p>

<p>6.用这个hash信息来重命名cacert.pem文件为269953fb.0，然后将269953fb.0复制到安卓设备/system/etc/security/cacerts/这个目录下（文件管理器要支持root才行，我用的是ES文件浏览器）</p>

<p>7.在手机设置---&gt;安全--&gt;加密凭证--&gt;信任的凭证中找到名为&ldquo;DO_NOT_TRUST&rdquo;的证书，看一下有没有启用，如果没启用的话就启用。</p>

<p>完成！</p>

<p>&nbsp;</p>
]]></description><category>计算机</category><comments>https://www.fairysoft.net/post/78.html#comment</comments><wfw:commentRss>https://www.fairysoft.net/feed.asp?cmt=78</wfw:commentRss></item></channel></rss>
