截止到我写这篇博客，我在网络上所看到的将 Yubikey PIV 证书与 Windows 一起使用的教程和文档都是已经有完整的私钥和公钥（在 Yubikey 外生成），将其安装在 Windows 和导入到 Yubikey 使用。但是，Yubikey 还提供了一种具有更高安全性的选项：在 Yubikey 上生成私钥，这种方法的好处是私钥不会离开 Yubikey，因此不可能被泄露。但是在这样的情况下，我们没有可以用于导入到 Windows 的私钥，Windows 并不知道我们具有相应数字证书的私钥，在签名时不会将我们的证书作为可用的证书。

本文将介绍如何在 Yubikey 上生成私钥，使 Windows 将证书与 Yubikey 上的私钥相关联，以便在 Windows 上进行代码签名。尽管本文的目的是进行代码签名，但是文中的关联方法也适用于其他需要使用在 Yubikey 上生成的私钥的场景。

我最喜欢的 shell 是 zsh，它的自动补全功能非常强大，但是经过长期的使用我也感受到一些问题。为了解决这些问题，我查找资料并按自己的喜好配置了它的自动补全系统。本文记录了我的配置。

Cloudflare WARP 是 Cloudflare 提供的免费 VPN 服务，由于多数服务商都将其出口 IP 视作信誉良好的家宽 IP，许多人将其用于 IP 地址较脏的服务器，以便访问风控较严格的网站。然而当我们将它在自己的服务器上使用时，会遇到以下的问题：

• 官方 WARP 客户端在默认模式 1.1.1.1 with WARP 下会阻断所有入站连接，这意味着服务器上的网站和服务都无法被访问
• 官方 WARP 客户端在 Local Proxy 模式下尽管没有阻断入站连接的问题，其提供的 HTTPS/SOCKS5 代理并不能传输 UDP 数据包
• 为了防止滥用，Cloudflare 在部分地区阻止了第三方客户端 (wgcf 等) 访问 WARP 服务，暂不清楚它是否会扩大该措施的范围

本文将在 Docker 中运行官方 WARP 客户端，以解决上述问题。

不知从什么时候开始，微软限制了将 OEM 激活的 Windows 家庭和学生版直接升级到批量激活（使用 KMS 激活）的专业版，网上之前存在的很多方法都失效了。恰好最近我买了一台新电脑，需要升级到学校提供的专业版，但是又不希望重装（这意味着重新安装全部驱动），于是开始寻找相应的办法。在尝试网上搜索发现的多种办法均失败后，我自行探索得到了一种无需重装的升级方式。我将在本文中给出我的探索过程和最终成功的方法。

matplotlib 是一个被广泛使用的 Python 绘图库，但是在远程服务器等无头设备上使用时，可能会遇到 plt.show() 无法显示和缺少中文字体的问题。本文将介绍如何解决这些问题。

由于某些原因，我们往往无法直接在境内服务器上克隆 GitHub 上的仓库。对于公开仓库，我们可以通过公益或自建的反向代理来解决这个问题。但是当我们希望将仓库保持私有时，我们遇到了以下几个问题：

1. 我们不希望将自己的凭据上传到服务器，因此需要使用权限较低的 personal access token
2. 很多反向代理方式，尤其是公益的，并不支持传递 personal access token
3. 在服务器上使用 personal access token 配合反向代理进行 HTTPS clone 将会向反向代理服务器暴露该 token

本文将通过转发 GitHub 的 SSH 端口并使用 Deploy key 来解决这些问题。使用该方案，服务器上的凭据将仅限于读取指定仓库，且中间人无法获得你的凭据。

WSL 即 Windows Subsystem for Linux，可以在 Windows 中运行 Linux 子系统。WSL2 使用虚拟机的方式运行 Linux 子系统，很方便在 Windows 中使用 Linux 的命令行工具。但是，WSL2 也有一些限制，比如不能直接访问 Windows 的硬件设备，比如 Yubikey。本文是 Yubikey 系列教程的第三篇，介绍如何在 WSL2 中使用 Yubikey 的 GPG 功能。

本文是 Yubikey 系列教程的第二篇，介绍如何安全地生成 GPG 密钥并通过 Yubikey 安全地存储和使用它。

托 Cloudflare 的福，我以极低的价格购买了一个 Yubikey 5 NFC 和一个 Yubikey 5C NFC。我将写作一系列文章来记录我设置和使用 Yubikey 的过程。本文是第一篇，主要介绍收货检查和基本配置。

在做笔记、写博客或者制作梗图时，我们有时需要将多张图片合成为动图。这里介绍一种使用 ffmpeg 从多张图片生成动图的方法，最终效果如下：