8 月 22 2024
更換 SSL 憑證與 DNSSEC 演算法
近期處理一些網站 SSL 憑證與 DNSSEC 相關的事,寫這篇留點紀錄供日後參考…
原先的 SSL 憑證幾乎都是透過 certbot 取得 (參考:用 certbot 取用 Let’s Encrypt 的 certificates);在 ECDSA certificates by default and other upcoming changes in Certbot 2.0 能看到其預設的演算法已從 RSA 變更成 ECDSA,但… 早期取得憑證時產生的設定檔仍須自己做更改。
設定檔都在 /etc/letsencrypt/renewal 目錄裡面,調整後的參數如下:
... [renewalparams] ... key_type = ecdsa # default: secp256r1 #elliptic-curve = secp384r1 ...
在準備更換 SSL 憑證時,恰巧看到 RFC 8624 – Algorithm Implementation Requirements and Usage Guidance for DNSSEC,就順便處理 DNSSEC 的事。
依據 3.1 節的說明,ED25519 是最佳選擇,其次就是 ECDSAP384SHA384 或 ED448;選擇演算法前,必須先看看域名註冊商提供的設定項。
以 ED25519 為例,我的操作流程如下:
- 先產生金鑰 (第一行指令產生 ZSK,第二行指令產生 KSK)
# dnssec-keygen -a ED25519 ##DOMAIN##.tw # dnssec-keygen -f KSK -a ED25519 ##DOMAIN##.tw
- 把 K##DOMAIN##.tw.+015+##ID##.key 的內容提供給域名註冊商;若域名註冊商需要的是 DS record,可先透過下述指令取得:
# dnssec-dsfromkey K##DOMAIN##.tw.+015+##ID##.key
- 把舊的 ZSK 跟 KSK 檔案刪除
- 修改域名的 searial
- 重新啟動 DNS service
過一段時間後,可以透過一些線上工具作驗證,像是 DNSViz | A DNS visualization tool。
4 月 17 2025
幾間 VPS 供應商 ( Linode, DigitalOcean, Vultr ) 的 GPU 方案測試
基於個人好奇,挑了我列在 VPS Referrals 頁面的供應商建立機器,用 LLM:Benchmark 作點測試…
Akamai Cloud (原 Linode) 在東亞區可以用 NVIDIA Quadro RTX 6000 與 NVIDIA RTX 4000 Ada。
Vultr 列出許多 GPU 的選擇,但高階的方案目前都還不能選。我選用東京的 2 x NVIDIA A100 PCIe 方案,US$ 4.795/hr,價格與其他受測方案差不多。
DigitalOean 的 GPU 方案目前都在美洲區,我選用多倫多的 1 x NVIDIA H100 方案,US$ 3.39/hr。
先表列測試結果 (數值單位是 tokens/s),內詳附圖…
By Joe Horn • Computer Hardware 0 • Tags: AI, benchmarking, GPU, H100, LLM, nVIDIA, nVIDIA A100, nVIDIA H100, nVIDIA RTX, RTX, VPS