海运的博客

Linux下Apache和Nginx通常使用X509格式SSL证书，Windows下IIS使用PFX格式SSL证书，可以使用OpenSSL互转X509与PFX。
X509转PFX：

#https://www.haiyun.me
openssl pkcs12 -export -inkey www.haiyun.me.key -in www.haiyun.me.cer -out www.haiyun.me.pfx

PFX转X509：

openssl pkcs12 -in www.haiyun.me.pfx -nodes -out www.haiyun.me.pem 
openssl rsa -in www.haiyun.me.pem -out www.haiyun.me.key
openssl x509 -in www.haiyun.me.pem -out www.haiyun.me.crt 

申请StartSSL免费SSL证书见：https://www.haiyun.me/archives/startssl-free-ssl.html，获取到证书私钥及公钥，然后生成IIS可导入的PFX证书。
1.使用StartSSL网页提供的PFX生成工具：

2.使用OpenSSL转为PFX证书。
然后在IIS管理器中导入生成的PFX证书并绑定到相应域名。

Windows下系统防护从三个方面入手，FD目录权限，AD账户权限，RD注册表权限，通过账户对目录、注册表权限进行限制，从而做到立体防护。
Windows账户权限控制已经很细致，运行的程序继承于用户的权限，子进程继承于父进程的权限。以普通用户权限运行的程序能对系统目录、注册表读访问，无写入权限，而大部分用户不愿受控制而使用Administrator登录导致系统安全性大大降低，以下介绍保障系统的易用性上进行提权或降权来保障系统安全。
1.以普通用户登录，需要时再适当提权，Vista后系统加入了UAC控制，用户可轻易以管理员身份执行程序，XP下可使用runas以管理员用户运行提权。

runas /user:administrator "c:\WINDOWS\explorer.exe"

2.以管理员登录，对危险程序降权运行，XP下可使用组策略限制以基本用户运行或使用DropMyRights降权。
XP组策略添加受限用户、基本用户：

REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ /v Levels /t REG_DWORD /d 0x31000

查看当前系统用户级别：

Runas /ShowTrustLevels

使用Runas以基本用户权限运行IE浏览器：

runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\Iexplore.exe"

使用DropMyRights降权运行IE浏览器：

DropMyRights.exe "c:\Program Files\Internet Explorer\IEXPLORE.EXE" -N

Windows7下不能正常使用DropMyRights，组策略下以基本用户运行和不允许一样，可使用psexec降权。

psexec -l -d "c:\program files\internet explorer\iexplore.exe"

Windows7以管理员运行程序所拥有的权限：

Windows7使用psexec降权后程序所拥有的权限：

Windows下Gvim安装后会在右键菜单添加使用Vim编辑的选项，绿色版Gvim可自行添加：

;https://www.haiyun.me
reg.exe ADD HKEY_CLASSES_ROOT\*\shell\用Vim编辑\Command -d "D:\\Program Files\\Gvim\\vim73\\gvim.exe  \"%1\""

或导入以下注册表，Gvim目录自行替换。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\用Vim编辑\Command]
@="D:\\Program Files\\Gvim\\vim73\\gvim.exe \"%1\""

配置Gvim的时候经常要引用Gvim的安装和插件目录，保持Vim配置文件的简洁和可移值性可使用Gvim的目录变量。

$VIM vim安装目录
$VIMRUNTIME vim支持文件所在目录，也就是$VIM/vim73目录
$HOME 当前系统用户目录
~ 当前系统用户目录