你至少要说一下你用什么 HTTP server
再贴一下配置文件吧

域名记得替换掉.

你可以指定 CSR。用已存在的私钥和 openssl req 命令来生成 CSR

如果使用 Let's Encrypt 官方的 CertBot(在多数操作系统上称为 certbot，少数称为 letsencrypt)
那么需要使用 certonly 模式，并用 --csr 来指定 CSR 的路径
(根据官方文档 https://certbot.eff.org/docs/using.html )

如果使用 acme.sh，可参考作者的说明 https://github.com/Neilpang/acme.sh/wiki/Issue-a-cert-from-existing-CSR

倒数第二张太暴力了

@mcspring 你这话并不准确
一个正常的 CA 会要求你生成密钥对、相关信息(域名、国家、组织、部门、SAN ……)
之后创建并提交 CSR 文件，其中包括<b>公钥</b>和相关信息。
CA 证实相关信息后，将这些信息和公钥一并签名作为 X.509 证书
换言之 CA 不能得到你的私钥

当然你说的情况也并非完全不存在，国内有些 CA(沃通,etc)要求你在线提交信息，验证后发给你证书(链)和私钥
这样 CA 有机会得到你使用的私钥

如果是前端则不必要

如果是后端(服务器(数据库)存储的敏感信息)还是有必要的

感觉也得看 U 盘

几块或十几块的
和
银灿 IS903(2)主控+SLC 的客制化或 Sandisk CZ80 这样的当然比不了

1.VPS
2.双系统(如果另一台电脑 Unaffordable,一块 SSD 应该可以吧,为了避免文件系统问题.)
3.虚拟机
4.淘汰的旧机器

当然这不是长久之计，爬虫和反爬虫就如病毒和杀软……

30# @hard2reg 说的算是很高端的了。
IP 对方可以扫代理
UA 的话，提供常见浏览器 UA 的网站很多，可以来回改，伪装成正常的浏览器.

如果支持正则表达式的话
应该不会
这么写 ^Mozilla/5\.0$
没有加多位通配符 .* 的话 其他包含 Mozilla/5.0 的 UA 不会一并被屏蔽.

你配置文件里 pasv_max_port 和 pasv_min_port 似乎写反了
不知道有无影响

此外，服务器的 PASV，也就是主动模式是指客户端在一定范围内选择端口号，然后服务器与其使用协商好的端口号？
这样做是因为 ISP 封 TCP20 21 么？

然而并没有
5.99 USD

你永远无法用技术手段解决人性的问题
如 1#所说，你再采用何种技术手段，如真有内鬼想要泄露，也可以用最原始的拍照或手抄等方法

即便你用隐写术在文档中留下肉眼不可见的水印用于在泄露时追查泄露源，也是无法阻止泄露发生的.
关于『使用一个特定的软件，将文件解压到临时目录，读入内存后立刻删除』这种方法，可参见
https://hardrain980.com/1158.html 实则并不安全(我这个例子中，DRM 程序是使用"预共享密钥",没有密钥协商 /密钥交换的过程.但我还是把它 Bypass 掉了;为的不是侵犯著作权,而是令老师的 PPT 能在手机上观看.)

30 分钟???

(黑人问号.jpg)

# 添加至 Apache httpd 配置文件
SetEnvIfNoCase User-Agent ".*msie" AllowUA
<Directory /path/only_allows_MSIE>
Order deny,allow
deny from all
allow from env=AllowUA
</Directory>

# 添加至 .htaccess
SetEnvIfNoCase User-Agent ".*msie" AllowUA
Order deny,allow
deny from all
allow from env=AllowUA

@akwIX
可是建行似乎把 RC4-SHA 作为首选的加密套件
也不支持前向安全性
E:\nmap-7.40>nmap.exe ibsbjstar.ccb.com.cn -p 443 -script=ssl-enum-ciphers

Starting Nmap 7.40 ( https://nmap.org ) at 2017-04-25 10:09 ?D1ú±ê×?ê±??
Stats: 0:00:08 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 40.00% done; ETC: 10:09 (0:00:09 remaining)
Nmap scan report for ibsbjstar.ccb.com.cn (114.255.11.130)
Host is up (0.11s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| TLSv1.2:
| ciphers:
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
|_ least strength: C

Nmap done: 1 IP address (1 host up) scanned in 11.85 seconds

还有这种密码
12345!@#$%

基于键盘布局的都不安全吧...

这飞线简直 666