さくらのVPSにRapidSSLを導入する(CentOS6.6+Apache+RapidSSL)

備忘録も兼ねて…ApacheのInstallは割愛します。

mod_sslのinstall

# yum -y install mod_ssl

CSR作成

秘密鍵作成

# cd /etc/pki/tls/certs/
# openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...............................+++
.................................................
.................................................
................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: (←パスフレーズを入力)
Verifying - Enter pass phrase for server.key: (←パスフレーズを再入力)

CSR作成

※下記は入力例です

# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
 -----
Country Name (2 letter code) [XX]:JP ←国名
State or Province Name (full name) :Osaka ←都道府県
Locality Name (eg, city) [Default City]:Osaka-shi ←市区町村
Organization Name (eg, company) [Default Company Ltd]: example.info ←組織名
※個人運営なのでドメイン名にしています(何でも良い)
Organizational Unit Name (eg, section) : ←部署名
Common Name (eg, your name or your server's hostname) :www.example.info ←ドメイン名
Email Address :webmaster@example.info ←メールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password : ←空Enter
An optional company name : ←空Enter

CSRの内容確認

# openssl req -text -noout -in server.csr
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=JP, ST=Osaka, L=Osaka-shi, O=example.info, CN=www.example.info/emailAddress=webmaster@example.info
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    (略)
                Exponent: 65537 (0x10001)
        Attributes:
            (略)
    Signature Algorithm: sha1WithRSAEncryption
         (略)

Subject: の行が合っていることと、Public-Key: の行が 2048 bitであることが確認できれば良い

証明書発行申請

サーバ証明書発行申請する際に、CSRを要求される。

# cat server.csr
 -----BEGIN CERTIFICATE REQUEST-----
 (略)
 -----END CERTIFICATE REQUEST-----

で表示される文字列をコピー、ペーストする

証明書ファイルの発行/確認

さくらインターネット社からの案内に従って対応し、証明書を発行。
発行された証明書(server.crt)ファイルをテキストエディタなどで開いてサーバに貼り付ける。

# cd /etc/pki/tls/certs/
# vi server.crt
 -----BEGIN CERTIFICATE-----
 (略)
 -----END CERTIFICATE-----

証明書の中身を確認する

# openssl x509 -text -noout -in server.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: (略)
    Signature Algorithm: sha256WithRSAEncryption ←SHA-2(SHA256)の証明書
        Issuer: C=US, O=GeoTrust Inc., CN=RapidSSL SHA256 CA - G3
        Validity
            Not Before: Oct xx xx:xx:xx 2015 GMT ←開始日
            Not After : Nov  x xx:xx:xx 2018 GMT ←終了日
        Subject: CN=www.example.info ←ドメイン確認
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit) ←2048bitを確認
                Modulus:
                    (略)
                Exponent: (略)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:(略)

            Authority Information Access:
                OCSP - URI:http://gv.symcd.com
                CA Issuers - URI:http://gv.symcb.com/gv.crt

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                DNS:www.example.info, DNS:example.info ← ドメイン確認
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://gv.symcb.com/gv.crl

            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Certificate Policies:
                Policy: 
                  CPS: https://www.rapidssl.com/legal

    Signature Algorithm: sha256WithRSAEncryption
         (略)

パスフレーズ応答を削除(Apache再起動の度に確認が来るため)

# openssl rsa -in server.key -out server.key
Enter pass phrase for server.key: ←パスフレーズ入力
writing RSA key

Apacheの設定変更

RapidSSLの中間証明書のインストール、SSL設定が必要
RapidSSLの中間証明書はGeoTtustのサイトにて取得www.geotrust.co.jp
SHA-2の中間証明書を取得

中間証明書の作成

# vi /etc/pki/tls/certs/rapidssl-chain.crt
 -----BEGIN CERTIFICATE-----
 (略)
 -----END CERTIFICATE-----

先ほど取得した文字列をコピー、ペースト。

SSLの設定

# vi /etc/httpd/conf.d/ssl.conf
~以下を編集~
DocumentRoot "/var/www/html"
ServerName www.example.info:443
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/certs/server.key

Apacheの再起動

# service httpd configtest
Syntax OK
# service httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中:                                            [  OK  ]

テストサイトを仮設置し、アクセスして確認。

Windows10でのGoogle日本語入力が既定のIMEにならない件

昨日Win10にUpdateしたが、日本語入力がMSのIMEから変わらない。
手動で切り替えても再起動すると元に戻ってしまう。

Windows 10 で発生している他社製 IMEの問題についてblogs.msdn.com

一旦Google日本語入力をアンインストールしてから、再インストール実施。
再インストールの際に既定のIMEに指定して再起動。
これでいけました。

不安な人はアンインストール前に辞書データをバックアップ
したほうが良いかもしれません。

(DNS) Negative Trust Anchors

参考になったのと。備忘録を兼ねて。
最近、DNSSECの話が挙がってたところへ丁度良いネタが。

@OrangeMorishita さんの自分用メモより

【自分用メモ】休暇中にNegative Trust AnchorがRFCになってた。// RFC 7646 - Definition and Use of DNSSEC Negative Trust Anchors https://tools.ietf.org/html/rfc7646

IETF(Internet Engineering Task Force)のRFC7646にあがってた。
RFC 7646 - Definition and Use of DNSSEC Negative Trust Anchors

ちょっと古いけど、JPRSドメイン名関連会議報告にて、こんなものが

Negative Trust Anchors

DNSSEC署名されたゾーンにおいて運用上の事故や設定ミスが発生した場合、DNSSEC検証を有効に設定しているキャッシュDNSサーバーでは、そのゾーンを含むドメイン名の名前検索ができなくなってしまうことがあります。今回のIETF 86では特定のドメイン名配下のDNSSEC検証をキャッシュDNSサーバー側で一時的に無効にするための「ネガティブトラストアンカー」を導入することで、それらの名前が検索できなくなってしまうことを防止するための仕組みが提案されました(draft-livingood-negative-trust-anchors)。

提案者は米Comcast社のJason Livingood氏とChris Griffiths氏です。同社ではDNSSEC検証を有効にしたキャッシュDNSサーバーを他社に先駈けて運用していますが、今回の提案からは同社がしばしば発生しているDNSSEC検証エラーに悩まされており(*2)、これを解決したいという現状がうかがえます。

(*2)
Comcast社はDNSSEC検証が失敗しているドメイン名の情報を、速報として公開しています(関連URIを参照)。

DNSSEC検証にコケているドメインが引けなくなるので、それを回避するのがNegative Trust Anchors。
でも、あくまで設定ミス?った先方に直して貰う必要はありますが…。

米国のISPComcastでは早々にDNSSECを有効化にしていて、検証に失敗しているものを公開(晒し上げ…?)しているようです。

bindだと9.11で実装予定みたいですね(rndc nta)
https://la51.icann.org/en/schedule/mon-tech/presentation-isc-bind-13oct14-en.pdf

NetApp SNMP関連設定

NetAppのSNMP関連の備忘録

SNMP Polling

> options snmp
snmp.access                  host=xx.xx.xx.xx,xx.xx.xx.xx
snmp.enable                  on

SNMP Trap

コミュニティ設定

> snmp community add ro [コミュニティ名]

Traphost設定

追加する場合
> snmp traphost add [Trap送信先IP]

削除する場合
> snmp traphost delete [Trap送信先IP]

SNMP Daemonの有効化。

> snmp init 1
※実行したタイミングでCold StartのTrapが送信される

確認

> snmp
contact:
        ****
location:
        ****
authtrap:
        0
init:
        1
traphosts:
        **** (****) 
        **** (****) 
        **** (****) 
        **** (****) 
community:
        ro ****

NetApp cifs domainまわりの設定

頻繁に触ることはないので、備忘録を兼ねて。
ADサーバの参照先をを変更したりしました。

> cifs domaininfo
NetBios Domain:           ****
Windows 2003 Domain Name: *****.ad.jp
Type:                     Windows ****
Filer AD Site:            ****

Current Connected DCs:    \\****
Total DC addresses found: 4
Preferred Addresses:
                          xx.xx.xx.xx     ****             PDC
                          xx.xx.xx.xx                      PDC
                          xx.xx.xx.xx                      PDC
                          xx.xx.xx.xx                      PDC
Favored Addresses:
                          None
Other Addresses:
                          None

Connected AD LDAP Server: \\****.ad.jp
Preferred Addresses:
                          xx.xx.xx.xx
                           ****.ad.jp
                          xx.xx.xx.xx

                          xx.xx.xx.xx

                          xx.xx.xx.xx

Favored Addresses:
                          None
Other Addresses:
                          None

アドレスを変更する場合は…

> cifs prefdc add [ドメイン名] xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx (参照先IPを並べる)

設定反映を確認

> cifs prefdc print
Preferred DC ordering per domain:

 ****:
        1. xx.xx.xx.xx
        2. xx.xx.xx.xx
        3. xx.xx.xx.xx
        4. xx.xx.xx.xx

resetdcで接続しに行く

> cifs resetdc

HP iLO Standalone Remote Console

iLOまわりで調べてたら、こんなのを見つけたので備忘と紹介

2015/7/6時点でのダウンロードURL

HP Lights-Outスタンド アロン リモート コンソール for Windows
Drivers & Software - HP Support Center.

インストールして起動。iLOページを経由しなくてもコンソールが使える。

CentOS yum updateエラー

yumコマンドで操作してもエラーが出てうまく動かない様子だったので調査

# yum check-update
Loaded plugins: fastestmirror, security
Determining fastest mirrors
YumRepo Error: All mirror URLs are not using ftp, http[s] or file.
 Eg. 6.5 is not a valid and current release or hasnt been released yet/
removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6.5/base/mirrorlist.txt
Error: Cannot find a valid baseurl for repo: base

# cat /etc/redhat-release
CentOS release 6.5 (Final)

この中で、

Eg. 6.5 is not a valid and current release or hasnt been released yet

が気になって調べてみた結果、

# rm /etc/yum/vars/releasever

でいけた。ちなみに何が書いていたかというと、

# cat /etc/yum/vars/releasever
6.5

だった