さくらのVPSにRapidSSLを導入する(CentOS6.6+Apache+RapidSSL)
備忘録も兼ねて…ApacheのInstallは割愛します。
CSR作成
秘密鍵作成
# cd /etc/pki/tls/certs/ # openssl genrsa -des3 -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...............................+++ ................................................. ................................................. ................+++ e is 65537 (0x10001) Enter pass phrase for server.key: (←パスフレーズを入力) Verifying - Enter pass phrase for server.key: (←パスフレーズを再入力)
CSR作成
※下記は入力例です
# openssl req -new -key server.key -out server.csr Enter pass phrase for server.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:JP ←国名 State or Province Name (full name) :Osaka ←都道府県 Locality Name (eg, city) [Default City]:Osaka-shi ←市区町村 Organization Name (eg, company) [Default Company Ltd]: example.info ←組織名 ※個人運営なのでドメイン名にしています(何でも良い) Organizational Unit Name (eg, section) : ←部署名 Common Name (eg, your name or your server's hostname) :www.example.info ←ドメイン名 Email Address :webmaster@example.info ←メールアドレス Please enter the following 'extra' attributes to be sent with your certificate request A challenge password : ←空Enter An optional company name : ←空Enter
CSRの内容確認
# openssl req -text -noout -in server.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=JP, ST=Osaka, L=Osaka-shi, O=example.info, CN=www.example.info/emailAddress=webmaster@example.info Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: (略) Exponent: 65537 (0x10001) Attributes: (略) Signature Algorithm: sha1WithRSAEncryption (略)
Subject: の行が合っていることと、Public-Key: の行が 2048 bitであることが確認できれば良い
証明書発行申請
# cat server.csr -----BEGIN CERTIFICATE REQUEST----- (略) -----END CERTIFICATE REQUEST-----
で表示される文字列をコピー、ペーストする
証明書ファイルの発行/確認
さくらインターネット社からの案内に従って対応し、証明書を発行。
発行された証明書(server.crt)ファイルをテキストエディタなどで開いてサーバに貼り付ける。
# cd /etc/pki/tls/certs/ # vi server.crt -----BEGIN CERTIFICATE----- (略) -----END CERTIFICATE-----
証明書の中身を確認する
# openssl x509 -text -noout -in server.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number: (略)
Signature Algorithm: sha256WithRSAEncryption ←SHA-2(SHA256)の証明書
Issuer: C=US, O=GeoTrust Inc., CN=RapidSSL SHA256 CA - G3
Validity
Not Before: Oct xx xx:xx:xx 2015 GMT ←開始日
Not After : Nov x xx:xx:xx 2018 GMT ←終了日
Subject: CN=www.example.info ←ドメイン確認
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit) ←2048bitを確認
Modulus:
(略)
Exponent: (略)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:(略)
Authority Information Access:
OCSP - URI:http://gv.symcd.com
CA Issuers - URI:http://gv.symcb.com/gv.crt
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Subject Alternative Name:
DNS:www.example.info, DNS:example.info ← ドメイン確認
X509v3 CRL Distribution Points:
Full Name:
URI:http://gv.symcb.com/gv.crl
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Certificate Policies:
Policy:
CPS: https://www.rapidssl.com/legal
Signature Algorithm: sha256WithRSAEncryption
(略)
パスフレーズ応答を削除(Apache再起動の度に確認が来るため)
# openssl rsa -in server.key -out server.key Enter pass phrase for server.key: ←パスフレーズ入力 writing RSA key
Apacheの設定変更
RapidSSLの中間証明書のインストール、SSL設定が必要
RapidSSLの中間証明書はGeoTtustのサイトにて取得
www.geotrust.co.jp
SHA-2の中間証明書を取得
中間証明書の作成
# vi /etc/pki/tls/certs/rapidssl-chain.crt -----BEGIN CERTIFICATE----- (略) -----END CERTIFICATE-----
先ほど取得した文字列をコピー、ペースト。
SSLの設定
# vi /etc/httpd/conf.d/ssl.conf ~以下を編集~ DocumentRoot "/var/www/html" ServerName www.example.info:443 SSLProtocol all -SSLv2 -SSLv3 SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/certs/server.key SSLCertificateChainFile /etc/pki/tls/certs/rapidssl-chain.crt ※ 2019/03/24 記載漏れのため追記
Windows10でのGoogle日本語入力が既定のIMEにならない件
昨日Win10にUpdateしたが、日本語入力がMSのIMEから変わらない。
手動で切り替えても再起動すると元に戻ってしまう。
Windows 10 で発生している他社製 IMEの問題についてblogs.msdn.com
一旦Google日本語入力をアンインストールしてから、再インストール実施。
再インストールの際に既定のIMEに指定して再起動。
これでいけました。
不安な人はアンインストール前に辞書データをバックアップ
したほうが良いかもしれません。
(DNS) Negative Trust Anchors
参考になったのと。備忘録を兼ねて。
最近、DNSSECの話が挙がってたところへ丁度良いネタが。
@OrangeMorishita さんの自分用メモより
【自分用メモ】休暇中にNegative Trust AnchorがRFCになってた。// RFC 7646 - Definition and Use of DNSSEC Negative Trust Anchors https://tools.ietf.org/html/rfc7646
IETF(Internet Engineering Task Force)のRFC7646にあがってた。
RFC 7646 - Definition and Use of DNSSEC Negative Trust Anchors
ちょっと古いけど、JPRSのドメイン名関連会議報告にて、こんなものが
Negative Trust Anchors
DNSSEC署名されたゾーンにおいて運用上の事故や設定ミスが発生した場合、DNSSEC検証を有効に設定しているキャッシュDNSサーバーでは、そのゾーンを含むドメイン名の名前検索ができなくなってしまうことがあります。今回のIETF 86では特定のドメイン名配下のDNSSEC検証をキャッシュDNSサーバー側で一時的に無効にするための「ネガティブトラストアンカー」を導入することで、それらの名前が検索できなくなってしまうことを防止するための仕組みが提案されました(draft-livingood-negative-trust-anchors)。
提案者は米Comcast社のJason Livingood氏とChris Griffiths氏です。同社ではDNSSEC検証を有効にしたキャッシュDNSサーバーを他社に先駈けて運用していますが、今回の提案からは同社がしばしば発生しているDNSSEC検証エラーに悩まされており(*2)、これを解決したいという現状がうかがえます。
(*2)
Comcast社はDNSSEC検証が失敗しているドメイン名の情報を、速報として公開しています(関連URIを参照)。
DNSSEC検証にコケているドメインが引けなくなるので、それを回避するのがNegative Trust Anchors。
でも、あくまで設定ミス?った先方に直して貰う必要はありますが…。
米国のISP、Comcastでは早々にDNSSECを有効化にしていて、検証に失敗しているものを公開(晒し上げ…?)しているようです。
bindだと9.11で実装予定みたいですね(rndc nta)
https://la51.icann.org/en/schedule/mon-tech/presentation-isc-bind-13oct14-en.pdf
NetApp SNMP関連設定
NetAppのSNMP関連の備忘録
SNMP Trap
コミュニティ設定
> snmp community add ro [コミュニティ名]
Traphost設定
追加する場合 > snmp traphost add [Trap送信先IP] 削除する場合 > snmp traphost delete [Trap送信先IP]
> snmp init 1 ※実行したタイミングでCold StartのTrapが送信される
確認
> snmp contact: **** location: **** authtrap: 0 init: 1 traphosts: **** (****)**** (****) **** (****) **** (****) community: ro ****
NetApp cifs domainまわりの設定
頻繁に触ることはないので、備忘録を兼ねて。
ADサーバの参照先をを変更したりしました。
> cifs domaininfo NetBios Domain: **** Windows 2003 Domain Name: *****.ad.jp Type: Windows **** Filer AD Site: **** Current Connected DCs: \\**** Total DC addresses found: 4 Preferred Addresses: xx.xx.xx.xx **** PDC xx.xx.xx.xx PDC xx.xx.xx.xx PDC xx.xx.xx.xx PDC Favored Addresses: None Other Addresses: None Connected AD LDAP Server: \\****.ad.jp Preferred Addresses: xx.xx.xx.xx ****.ad.jp xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx Favored Addresses: None Other Addresses: None
アドレスを変更する場合は…
> cifs prefdc add [ドメイン名] xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx (参照先IPを並べる)
設定反映を確認
> cifs prefdc print
Preferred DC ordering per domain:
****:
1. xx.xx.xx.xx
2. xx.xx.xx.xx
3. xx.xx.xx.xx
4. xx.xx.xx.xx
resetdcで接続しに行く
> cifs resetdc
HP iLO Standalone Remote Console
iLOまわりで調べてたら、こんなのを見つけたので備忘と紹介
2015/7/6時点でのダウンロードURL
HP Lights-Outスタンド アロン リモート コンソール for Windows
Drivers & Software - HP Support Center.
インストールして起動。iLOページを経由しなくてもコンソールが使える。
CentOS yum updateエラー
yumコマンドで操作してもエラーが出てうまく動かない様子だったので調査
# yum check-update Loaded plugins: fastestmirror, security Determining fastest mirrors YumRepo Error: All mirror URLs are not using ftp, http[s] or file. Eg. 6.5 is not a valid and current release or hasnt been released yet/ removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6.5/base/mirrorlist.txt Error: Cannot find a valid baseurl for repo: base # cat /etc/redhat-release CentOS release 6.5 (Final)
この中で、
Eg. 6.5 is not a valid and current release or hasnt been released yet
が気になって調べてみた結果、
# rm /etc/yum/vars/releasever
でいけた。ちなみに何が書いていたかというと、
# cat /etc/yum/vars/releasever 6.5
だった
