一、启用 ssl
二、获得证书
三、自建证书
四、服务器的证书部署
五、客户端的证书设置
十、在做一份

对于传输密码或私密信息的http明文没有可靠性可言，需要https，为此需要制作ssl证书。

商业的权威机构用ca来证明某个.crt公钥属于特定组织或个人。.crt证书网站部署的证书文件。.key的私钥可以解密用.crt公钥加密后的信息（小心保管）。而.csr包含了.crt的公钥信息，供网站向CA发起认证请求，中间文件。

一、启用 ssl

$ sudo a2enmod ssl
这条命令相当于做软链接：
$ sudo ln -s /etc/apache2/mods-available/ssl.load /etc/apache2/mods-enabled
$ sudo ln -s /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-enabled
对应的停用是：
$ sudo a2dismod ssl

二、获得证书

这个有自签名的和商业购买的两种方式。 大多数浏览器会对自签署的证书报警，可以从价格比较便宜的Comodo购买， 为了购买先产生自己的私钥和请求文件:
$ openssl req -new -newkey rsa:2048 -nodes -keyout mykey.key -out mycsr.csr
然后发送给 Comodo 购买证书：
Root CA Certificate – AddTrustExternalCARoot.crt
Intermediate CA Certificate – COMODORSAAddTrustCA.crt
Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate – mycrt.crt

三、自建证书

3.1 创建CA签名
$ sudo openssl genrsa -des3 -out zdh2.key 1024
如果不使用密码去除-des3选项
3.2、创建CSR
$ sudo openssl req -new -key zdh2.key -out zdh2.csr
3.3、自己签发证书
$ sudo openssl x509 -req -days 3650 -in zdh2.csr -signkey zdh2.key -out zdh2.crt
3.4、或者一步完成：
$ sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/apache2/ssl/zdh2.key -out /etc/apache2/ssl/zdh2.crt
上面的： openssl，命令行工具；req，证书类型；-x509，需要生成自签名证书文件，而不是证书请求文件；-nodes，不需要密码保护.key文件，否则每次apache都会提示输入密码；
-days 3650，证书有效期；-newkey rsa:2048: 同时生成rsa私钥和证书；-keyout，命名私钥文件；-out，命名证书文件。

四、服务器的证书部署

4.1、复制到某个目录
$ sudo mkdir /etc/apache2/ssl
$ sudo cp zdh.crt /etc/apache2/ssl …..
4.2、修改配置文件
以上步骤后/etc/apache2/sites-available/目录下会在/etc/apache2/sites-enabled/下有软链接，修改它：
$ sudo vim ……sites-enabled/default-ssl.conf
在段中保证以下内容：
SSLEngine On
SSLOptions +StrictRequire ???
SSLCertificateFile /etc/ssl/certs/zdh.crt
SSLCertificateKeyFile /etc/ssl/private/zdh.key
4.3、监听端口
检查/etc/apache2/ports.conf文件中443>(ssl的端口)
已经监听:
Listen 443
4.4、此时启动apache会提示输密码，如果不想的话在httpd.conf修改IfModule ssl_module 配置：
“SSLPassPhraseDialog exec:/home/admin/xxx/conf/apache_pass.sh”
而 apache_pass.sh 内容就是显示密码：
#!/bin/sh
echo “password”

4.5、测试部署
在客户机从浏览器访问：
https://serverIP
浏览器可能报警证书问题。需要通过下面步骤对客户机的证书做设置。

五、客户端的证书设置

7.1 Chrome
Q: 如果browser是google的chrome的话，会报错“Failed to get access to local media. Error code was Permission Denied”
因为，chrome needs https to use get user media，Updated to secure http and everything works fine.
由于，Starting with Chrome 47, getUserMedia() requests only allowed from secure HTTPS or localhost, so need to setup a self signed ssl certificate for webserver and and access with https://722.20.10.11:8080
所以，如果使用chrome浏览器的话，可以部署自签署证书采用ssl实现https。
如果一定要选择http实现webrtc的话，那就用firefox浏览器不要用chrome。

Q: how to always accept webRTC webcam request in chrome?
if command line:
$ google-chrome “http://localhost” –use-fake-ui-for-media-stream
which avoids the need to grant camera/microphone permissions.
or, on Chrome:
chrome://settings/content#media-stream-mic

APP: List of Chromium Command Line Switches
http://peter.sh/experiments/chromium-command-line-switches/

7.2 Firefox
Q: how to always accept webRTC webcam request in firefox?
Go in url about:config
Search media.navigator.permission.disabled
dbClick or set value to true

7.3 Setup ssl https connection
As mentioned earlier, apps running on Chrome browsers can’t access local cameras and microphones unless the application is hosted from localhost or an SSL server (https).
When you are doing development, it is simplest to get node.js to handle the SSL. Benefits of using SSL:
* Increase end user confidence
* Secure signaling traffic from eavesdroppers
* In Chrome: Browser remembers camera and microphone sharing preference for site. Does not re-ask at each – visit.
* In Chrome: Enables screen sharing API
Before applying, you will need to generate a CSR (Certificate Signing Request). The most common software used for generating CSR’s and handling SSL is OpenSSL,
There are many operating system specific guides available for how to use SSL on your server Self signed certificates are a free method of creating a certificate suitable for development. A warning will occur when browsing your site.
http://www.selfsignedcertificate.com/ <— from thi st ogenerate or, You can create a key and certificate yourself instead of downloading them from this page. This makes your key more secure. To generate a key: $ openssl genrsa -out 172.20.10.3.key 2048 And the certificate: $ openssl req -new -x509 -key 172.20.10.3.key -out 172.20.10.3.cert -days 3650 -subj /CN=172.20.10.3 or, to buy one http://bit.ly/i95aUS 如果是商业购买的，证书链可靠，浏览器不需要设置。 如果是自签名的，需要导入或下载证书，各个浏览器不同。 5.1、Firefox 这个在访问https://serverIP时， 会提示网站不可信任。 那么添加例外就可以： exception->confirm security exception https://serverIP ok，就可以通过ip地址访问。 5.2、Chrome 这个访问https://IP-address，浏览器： Your connection is not private Attackers might be trying to steal your information from 116.50.77.22 (for example, passwords, messages or credit cards). NET::ERR_CERT_COMMON_NAME_INVALID 具体的： This server could not prove that it is 116.50.77.22; its security certificate is not trusted by your computer’s operating system. This may be caused by a misconfiguration or an attacker intercepting your connection. Proceed to 116.50.77.22 (unsafe) 所以，同样需要添加证书： edit->preference->advanced setting->https/ssl->authorities->import->ok. 但是， Chrome非常憎恨自签署证书Why does Chrome hate self-signed certificates so much。 浏览器依然不能像http那样通过IP地址访问服务器，对于https://serverIP这种方式依然报警： Server’s certificate does not match the URL 所以，需要根据证书里Issued to的域名信息修改： $ vi /etc/hosts 10.10.0.1 dehaou14-n501jw $ ping dehaou14-n501jw ok https://dehaou14-n501jw/ ok

十、在做一份

对于webRTC的nodejs使用8080端口的音视频聊天服务，重复上述步骤，生成zdh2_rtc.crt和zdh2_rtc.key，重复上述步骤部署。

分布式特点的ROS对网络配置的要求主要四点：

1、只能有一台作为master，
2、所有节点node必须通过ROS_MASTER_URI配置为相同的master，
3、配对机器的所有端口必须具有完全的双向连接，
4、所有机器必须广播一个其他机器可以解析的机器名。

先设置三个环境变量，$ROS_MASTER_URI，$ROS_HOSTNAME，$ROS_IP ：
ROS_MASTER_URI，整个ROS系统的主机IP+端口，启动roscore
ROS_HOSTNAME 和 ROS_IP设置ROS节点公网地址，两者互斥，ROS_HOSTNAME优先

常规可以这样设置：
export ROS_MASTER_URI=http://`hostname -I`:11311
export ROS_HOSTNAME=`hostname`
export ROS_IP=`hostname -I`
不带i的是主机名、带了i的输出主机地址（需要先设/etc/hosts）

再假设三台机器的应用场景：
一台笔记本作为robot的主机，master230 ，172.20.10.5；
一个台式机作为workstation的客户端，client501 ，172.20.10.3；
然后我们工作在远程的第三台笔记本上，client480，172.20.10.1.

1、edit  /etc/hosts file

To know the mapping of some hostnames to IP addresses before DNS can be referenced. This mapping is kept in the /etc/hosts file. In the absence of a name server, any network program on your system consults this file to determine the IP address that corresponds to a host name. For example in master’s netbook ：

IPAddress—– Hostname—–Alias

127.0.0.1 localhost master230 .xxx.com

172.20.10.5 master230 master230.xxx.com

172.20.10.3 client501 client501.xxx.com

172.20.10.1 client480 client480.xxx.com

然后我们工作在远程的第三台笔记本上，client480，172.20.10.1。

don’t forget to restart your network for the changes to take effect：

$ /etc/init.d/networking restart

2、网络设置

首先，master230和client480的所有端口需要完整的双向连接。
1、自身ping
测试robot ，$ping master230
测试客户端 ，$ping client480
2、互相ping
测试robot ，$ping master230
测试客户端 ，$ping client480
3、netcat
只能自身ping通和相互ping通仅仅检查了相互之间的ICMP包正常，但这还是不够的，需要验证所有端口可用，完整地检查很困难，因为有65K个端口，可以使用netcat尝试
特定的端口测试。挑选大于1024的端口号：
（1）测试master230到client480, 启动netcat监听：
$netcat -l 1234
（2）在client480连接master230，
$netcat master230 1234
（3）互相聊一聊，正常。
（4）然后更换一个方向，正常。

3、多机互联

1、启动master
注意只能有一台作为master，这里选择master230作为master：
$roscore
$export ROS_MASTER_URI=http://p110:11311/
2、启动一个听者
$ssh hal
$export ROS_IP=p110.local
$export ROS_MASTER_URI=http://p110.local:11311
$rosrun rospy_tutorials listener.py
3、启动一个讲者
$ssh marvin
$export ROS_IP=dehao-B3.local
$export ROS_MASTER_URI=http://p110.local:11311
$rosrun rospy_tutorials talker.py
此时可以看到p110接收到来自dehao-B3的消息。
4、其实这是双向的，下一步互换：
把讲者和听者在两台机器之间互换，同样工作。
5、便利操作
如果长期这样使用，可以把上面的命令添加到.bashrc中。

在ROS节点node广播主题topic时，提供的是hostname:port组合也就是URI，有几种设置方法。
1、显式的设置名字
ROS_IP和ROS_HOSTNAME是设置ROS的node时候可选的环境变量，他们是互斥的，同时设置的话优先的是ROS_HOSTNAME，所以我们一般是设置ROS_HOSTNAME而不是设置ROS_IP。

4、时间同步

在坐标变换出现错误：TF complaining about extrapolation into the future时，首先要检查不同机器之间的时间矛盾：
$ntpdate -q other_computer_ip
必要的话安转chrony同一时间。

1. Check one machine against another machine:
$ ntpdate -q other_computer_ip or hostname
2. Install Chrony:
$ sudo apt-get install chrony
3. For instance computer c2 gets its time from computer c1 then add following line:
$ sudo /etc/chrony/chrony.conf
server c1 minpoll 0 maxpoll 5 maxdelay .05
4. That machine will then slowly move its time towards the server.
$ sudo /etc/init.d/chrony stop
$ ntpdate other_computer_ip
$ sudo /etc/init.d/chrony start
5. manually sync NTP
$ sudo ntpdate ntp.ubuntu.com

实际环境中：
需要把多个机器人rbt1、rbt2…和不同服务器server-vpn、server-web…和各个管理计算机pc1、pc2…配置在同一个虚拟专网里面，并配发不同的vpn证书已进行安全管理。
对于后台管理系统，需要通过ssl配发不同的证书进行安全管理。对于远程操操纵，更要配发证书进行安全管理。