初めての VPS-#2 (SSH 接続)。

 昨日の朝, WordPress 4.0.1 になっていた。セキュリティ・アップデートということだが,主として, XSS 関連のようだ。自動でアップデートされると思うが,されない場合は,手動での早急なアップテートをお奨めする。 “An extremely unlikely hash collision could allow a user’s account to be compromised, that also required that they haven’t logged in since 2008 (I wish I were kidding).” というのを読んで,思わず笑っちゃったが,笑いごとじゃないよなあ(溜息)。

 CentOS7 は標準で SSH が使えるようだ。 OS 変更後, TeraTerm で接続してみた。もちろん,他の SSH クライアントでも構わない, PuTTY とか WinSCP とか。 SSH サーバの現時点のバージョンは 6.4p1-8 だった。

 標準の設定だと, root かつ パスワードでアクセス可能なので,ちょっと,不安。細かい設定は後回しとしても,最小限,これだけは変えておこう。

 設定いじりの前に, TeraTerm で 認証鍵ペアを作った。秘密鍵には, passphrase も設定した。サーバ上でも鍵は作れるが,それだと,秘密鍵のほうをネット経由でやり取りすることになる。これが嫌いなのだ。多人数相手だと,メールででもやり取りしないと仕方ないだろうが。

||その 1 Sudoers ファイルの編集||

  1. VPS コントロールパネルにログインし,「リモートコンソール」をクリック,続いて「VNCコンソールを開く」をクリック。
  2. 1 分以内に,「HTML5モードで開く」をクリックすると, QEMU が別窓で開く。
  3. # usermod -G wheel centos  <--- 「centos」というのは, sudo を使わせたいユーザ。
    # visudo
    ファイルが開く。
  4. ‘/wheel’ をやって,「wheel」のある行を探す。
    「%wheel ALL=(ALL) ALL」の行頭に「#」があったら,外して,アンコメントする。しかし,今回は,「#」はなかった。ということで,そのまま, visudo を閉じる。
    注)visudo の使い方は,基本的には, vi エディタのと同じである。
  5. # su - centos
  6. $ sudo shutdown -h now
  7. ‘sudo’ 使用の初回には,下記のメッセージが出る。

    We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    パスワードを要求される。
    [sudo] password for centos:

  8. “VPS ホーム” で,サーバが停止しているのを確認できる。サーバを再起動しておこう。

||その 2 policycoreutils-python のインストール||

  1. QEMU に再度ログイン。後で SSH のポートを標準から変更するときに, ‘semanage’ コマンドを使うので, policycoreutils-python をインストールしておく。
    # yum install policycoreutils-python

||その 3 SSH の設定を変更||

  1. TeraTerm (ttermpro.exe) を起動。 VPS に「centos」として,パスワード認証でログイン。
  2. 公開鍵 (id_rsa.pub) を TeraTerm の窓にドラッグ&ドロップ。 TeraTerm は SCP(Secure Copy Protocol) に対応しているので,「SCP」ボタンをクリック。
  3. $ mkdir .ssh
    $ chmod 700 .ssh
    $ cat id_rsa.pub > .ssh/authorized_keys
    $ chmod 600 .ssh/authorized_keys
    $ rm -f id_rsa.pub
  4. $ su -
    Password:  <--- root のパスワードを入力。
  5. # vi /etc/ssh/sshd_config
    sshd_config が開く。
  6. #Port22  —>  Port****
    #PermitRootLogin yes  —>  PermitRootLogin no
    PasswordAuthentication yes  —>  PasswordAuthentication no
     
    変更した sshd_config を上書き保存。

    # systemctl restart sshd.service

    注)**** には well-known ports 以外の数値を使う。ただし,数値は 0 ~ 65535。

  7. # firewall-cmd --permanent --zone=public --add-port=****/tcp
    # firewall-cmd --reload
    # semanage port -a -t ssh_port_t -p tcp ****
  8. # exit
    $ exit
    TeraTerm が終了する。
  9. 再度, TeraTerm (ttermpro.exe) を起動。今度は,鍵認証方式で「centos」として,ログイン。新しい SSH ポート(****)を使う。今回は秘密鍵の passphrase も必要である。
  10. SSH 接続で ‘sudo’ を使ってみる。

    $ sudo firewall-cmd --list-all
    public (default, active)
      interfaces: eth0
      sources:
      services: dhcpv6-client ssh
      ports: ****/tcp
      masquerade: no
      forward-ports:
      icmp-blocks:
      rich rules:

 SSH の設定変更,おしまい!!

 ところで, 15 日に PHP5.6.3 にアップデートした。 ChangLog はこんな感じ。

This entry was posted in Linux.

初めての VPS-#1 (CentOS7 のインストール)。

 くりくりさんのコメントに触発されて,さくらのVPSCentOS7 を使ってみようと思い, 18 日に 2 週間お試しに登録した。

 日本語のサービスしかなくて,日本に住んでないと使えないようだが,英語ブログでも紹介した。

図 1 お申し込み

図 1 お申し込み

||さくらのVPS に仮登録||
  1. さくらのVPS にアクセスして,「お申し込み (図 1)」をクリック。
  2. 「さくら VPS のお申し込み」ページに進む。「利用規約の確認へ (図 2)」をクリック。
  3. 「以下の約款及び個人情報の取扱いについてよくご確認ください。」ページに進む。「基本約款」と「個人情報の取扱いについて」を印刷し,じっくり読む。「同意する」をチェックし,「つぎへ –>」をクリック (図 3)。
  4. 「お客様の情報をご入力ください」のページに進む。
    図 2 利用規約の確認へ

    図 2 利用規約の確認へ


    以下の項目を記入。 (*) は必須項目。
    • メールアドレス(*):
    • ご契約者の種別(*):
    • ご契約者名(*):
    • ご契約者名カナ(*):
    • 図 3 「約款」&「個人情報の取扱いについて」

      図 3 「約款」&「個人情報の取扱いについて」

      生年月日(*)
    • 性別(*):
    • 郵便番号(*):
    • ご住所(*):
    • 街区名・番地等(*):
    • 建物名等:
    • 電話番号(*):(※携帯可)
    • FAX番号:

    「つぎへ –>」をクリック。

  5. 「会員メニューへログインするためのパスワードを指定してください」ページに進む。
    • パスワード:
    • 「ひみつ」の質問 :
    • 「ひみつ」の答え:

    「つぎへ –>」をクリック。

  6. 「サービスプラン」のページに進む。
    • 「さくらのVPS 1G」を選択。
    • レジデンスを「石狩/東京/大阪」から選択。

    「つぎへ –>」をクリック。

  7. 「支払方法」のページに進む。
    • 「毎月払い/年払い」から選択。
    • 2 週間お試しの場合は,「クレジットカード」しか使えない。
    • 注意書きがいろいろあるが,特に朱書きのものは,大事。
      ・お申込から2週間後に自動で本登録になります。キャンセルの場合は、お客様にて行っていただく必要がございます。
      ・会員メニューから「本登録」をするとキャンセルが行えなくなります。

    「つぎへ –>」をクリック。

  8. 図 4 以下の通りお申込を受付いたしました

    図 4 以下の通りお申込を受付いたしました

  9. 「最終のご確認」のページに進む。
    必要に応じて,印刷しておこう。
  10. 「以下の通りお申込を受付いたしました」のページに進む。
    • 会員ID
    • プラン名
    • サービスコード
    • メールアドレス

    「会員メニューへお進みください」をクリックする (図 4)。

 「会員メニュートップ」に進む。ログアウト。これで,仮登録は,終わり。

||VPS コントロールパネルにログイン||

  1. VPSコントロールパネル からログイン。
    IPアドレスとパスワードは「[さくらのVPS] 仮登録完了のお知らせ」メールに記載されている。
  2. まずは, VPS コントロールパネルのパスワードを変更。

||CentOS7 をインストール||

  1. 標準の OS は CentOS6 なので, CentOS7 をインストールするために,「OS再インストール」をやる。
  2. 「OS再インストール」に進み,「カスタムOSインストールへ」をクリック。
  3. 「CentOS 7 x86_64」を選択し,「確認」をクリック。
  4. 「実行」をクリック。
  5. 1 分以内に,「HTML5モードで開く」をクリック。「QEMU」が別窓で開く。
  6. インストールについては, CentOS 7 を参照。
    インストール中に, root のパスワードの設定と一般ユーザの作成を行う。
  7. インストールは,かなり時間を食う。終わったら,「Server disconnected…」というメッセージが出るので,「VPSホーム」に戻って,サーバを起動する。「ステータス」が「停止」から「稼働中」に代わる。
  8. これで, VPS の OS が CentOS7 になった。

 インストール中に困ったのは, QEMU の最下部が全く見えなかったこと。おかげで,「Reclaim space」や「Begin Installation」を,勘 + キー操作でやる羽目になった。ヤレヤレ。

This entry was posted in Linux and tagged .

覚え書-#21。

ROLIS 降下中の画像

ROLIS 降下中の画像

 みなさん,もう聞きましたか?
 
 12 日 15:35 UTC (つまり 13 日 00:35 JST) に,フィラエが,彗星に着いたってさ。すごいよなぁ。
 
 チュリュモフ・ゲラシメンコ彗星だよ。ワォ!!
 
 ところで,我がハヤブサ 2 も 11/30 打ち上げ予定だよねー。待ち遠しいな,天気がいいといいなぁ。
    メモ 1

  • 見出しNotes の見出しに Kranky を使うために,メインサイトの style.css を変更した。頭に “+” がある行を追加した。
    @import url("../sugar-and-spice/style.css");
    +@import url(http://fonts.googleapis.com/css?family=Kranky);
     
    /* Typography */
    h1, h2, h3, h4, h5, h6 {
    color: #000;
    }
    +h2 {
    + font-family: 'Kranky', cursive, Arial, sans-serif;
    + font-size: 2em;
    + margin: 0 0;
    +}
     
    変更前の CSS はこれ
     
    注)<h2> タグの関係をいじったが,うちの場合,このタグはメインサイトのほかの部分では使っていない。で,他に影響はないのだ。
  • メモ 2

  • Google Analytics by Yoast の使用をやめた。 Google アナリティクス‎ は使っているので, ID を手動で設定しなおした。
    1. ‘analyticstracking.php’ を Google アナリティクス‎のトラッキング ID ページの指示通りに作り, child theme のディレクトリにコピーする。
    2. サイトテーマの header.php を child theme のディレクトリにコピーする。
    3. 新しい headr.php を編集する。
      <body> タグの直下に, <? php include_once ("analyticstracking.php")?> を追加。
    4. 以上。
      注)データに変更が反映されるのには,しばらく時間がかかるようだ。

これ,買っちゃいました!! (^^;)

USBゲームパッド スーパーファミコン風

USBゲームパッド スーパーファミコン風

 これ,買っちゃいました。これって何かというと,右の広告写真をご覧ください \(^o^)/。
 
 先週,古ーーいのが壊れちゃいまして,しかし,近隣のお店にはそういうのがなかったもんで,通販通販と探しました。で,見つけちゃったんですよ,右のヤツ。 Buffalo 製なんですけどね,そっくりでしょ!? 昔懐かしい任天堂のやつに。スーパーファミコン華やかなりしころを思い出させますねぇ。
 
 土曜の夜 9 時ごろ注文したら,日曜の昼の 3 時に着きました。 Amazon.co.jp ,仕事早いですね。配達は,クロネコさんでした。
 
 ちゃんと動いてまっせ。満足ですワ,ヘヘッ。

(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について

投稿アップデート情報  追記(11/7)

 昨日,「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について」というのが出ていたので,慌てて, NetowleNom を見に行った。見たのは, Netowl のレジストラロックがしっかりかかっているかと,両方の登録データが変わっていないかだけだが。パスワードは,もともとかなり複雑にして使っているので,変えても仕方ないだろうし。変えるタイミングもあるし。レジストラロックというのは,レジストラが提供しているわけで, Netowl のレジストラロックは Netowl が提供しているわけだ。 com ドメインの場合, Netowl はリセラーでレジストラとしては行動しないようだが,その場合でも,ロックは効くんだと思う。判断理由は, Value-Domain のときも Value-Domain はリセラーでレジストラは Key-Systems だったんだが,そのときも同じシステムだったからだ。それに eNom の設定では, Netowl がリセラーとして管理している私のドメインについては,そういう項目はなかったし。もっとも,確認はとっていないから,私が勝手に推測しているだけだ(汗)。
 ところで,「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について」で記述のあるロックは,レジストリロックだ。これがよくわからない。記事を書いた時点(11/6)では,脳ミソが勝手に「リ」を「ラ」と読んでいた(滝汗)。レジストリロックというと,レジストリ側でロックをかけるという意味だろう。 com のレジストリというと, InterNIC ですかね。 jp だと, jprs だよな。 jp はともかく com って膨大な数だよ。実際の管理がレジストリ自体で可能なのかね。実は,レジストラやリセラーに管理委託しているとかなるんじゃないのか。
 レジストラロックていうのは,多分, clientTransferProhibited の状態のことだと思うんだけど,レジストラロックとレジストリロックってどう違うんですかね。アチコチ読んでもすっきりと納得がいかない。
 どなたか,ご指導よろしくお願いいたします m(_”_)m。

 この件に関しては,ユーザにできることは限られているから,レジストラや権威 DNS サーバの運営者や CDN サービスなどにしっかりしてもらわないとどうしようもない。今年, eNom に移管するとき,過去の事件が頭をよぎったりしたのだが, jp 国内のドメインでもこういうことの起こる時代になったんだな。狙われるようになったら,国内には危ないところが,いっぱーーいあるんだろうと,戦々恐々である。

 「速さにたじろぐ」のときにも書いたが,我が国は結構蚊帳の外だったからねぇ。ありがたくないけど,このあたりもグローバル化の時代を迎えたわけだ。

 こんなことなくても,白物家電がゾンビ PC 化したり, USB の設計そのものが悪用されたりと,なんか無力感が甚だしいのになあ。

 しかし,関連で名前挙がっている企業がおっきいとこだねえ。大きいとこはピンポイントで狙われるだろうから,その企業が特に弱いということではなく,強度については,どこも変わらんのだろうなあ。

追記(11/7):
 上の追記で,レジストリロックとレジストラロックについて,
> どなたか,ご指導よろしくお願いいたします m(_”_)m。
と書いたのだが,くりくりさんが,「登録情報の誤りによるドメインの停止措置について」というページを教えて下さった。なるほど,これがレジストリロックなんですね。よくわかる。

 レジストラロックは,あくまで, Transfer Prohibited ,つまりドメイン移管禁止だもんね。当然ながらユーザが ON/OFF できる(リセラーに頼んで変えてもらうということも含めて)。レジストリロックは,ドメインの期限切れではないのに registrar hold にされることなんだ。ということは,移管どころか,ドメインの使用自体ができなくなってしまうわけだ。対応が遅れるとドメインが削除される可能性もあると。なるほど。

 くりくりさん,ありがとうございました m(_”_)m。

リモート・デスクトップ・サービス

 多分,同じことで困っている人がいると思うが, 10 月の MS の魔の更新後,サーバ (OS は Windows7 Home Premium x86) へのリモート・デスクトップができなくなった。実のところ,これに気づくまでは,「魔の更新」とは思っていなかったんだが (-_-;)。 Windows7 Home Premium へのリモート・デスクトップです。お分かりですよね。こんなのやこんなの (http://stascorp.com/load/1-1-0-63 くりくりさんからの情報で調べてみたら,リンク先によからぬものが含まれていそうなので,リンクを外しました。跳び先で,うっかりアチコチクリックしなければ,大丈夫だと,思うんですけどね。まあ,転ばぬ先の杖で,リンクは切っておきます。興味がある場合は,自己責任で行ってください。)をめっけたので,いろいろやってみたが,ギブアップ。ハァー。

 めったに使わないとはいえ,サーバへのリモートができないのは,困る。仕方がないから Chrome Remote Desktop で代替することにした。サーバ自身に必要のないソフトのインストールは好きでないが,今回は,やむを得ないかなぁ。

もの思う秋。

Moon and clouds.

雲間の月
十五夜後の立待

 11 月になっちゃいましたねぇ。今年も残すところ,あとふた月。そんなことを思いながらわが記事を読み返してましたら,右の写真を見つけちゃいました。こんなもの見ると,王維の詩でも詠じてみたくなりませんか。
 

竹里館

明 深 弾 獨
月 林 琴 坐
來 人 復 幽
相 不 長 篁
照 知 嘯 裏

Trusteer Rapport をインストールしてみた。

 初めに,余談つうか,本日のメインイベント(呵呵大笑)。

 鷹くーん。日本一ーー\(^o^)/。

 今年一,というか,今年初のいい出来のセッツンを見せてもらったし。しかし,すっきりしない決まり方だったワイ。サファテは,来期は大きな試合に投げさせたらいかんね。いや,こんな日に文句を言ったらいけません。
 鷹のみなさま,おめでとうございます。今期もありがとうございました。

 さらに,余談。
 笑っちゃった。出演の黒ニャンコ,かわいい!! 関係ないか (^o^)。
 「iPhone 6 Plus」「iPad mini 3」のTouch IDを偽造指紋で突破、ついでに猫の肉球でも認証OK。 本文に,「あくまでパスワード入力を省くための便利なツールの 1 つとして考えたほうがよさそうとのことです。」とあるが,その程度のもんなんだねぇ。

 ところで,表題の件。
 三菱東京UFJ銀行のダイレクト(インターネットバンキング)を使っている。ふと思い立って,UFJが前からおすすめの「無料のウィルス対策ソフト」を入れてみた。実体は IBM の Trusteer Rapport だった。「他のセキュリティソフトウェアとの互換性」となっているが, Rapport は基本的にネットバンキングでの危険性回避に特化しているようなので,他のセキュリティソフトウェアとの併用が望ましいらしい。我が家でのインストール時は,特に特別な操作は必要なかった。

Trusteer Rapport

Trusteer Rapport

OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局。

投稿アップデート情報  追記(10/28)

 今回の騒ぎ“Qualys SSL Labs – Projects / SSL Server Test” をやったとき,テスト結果にやらオレンジやらが乱舞していた (^_^;)。
 
||赤いの||

  1. Trusted : No NOT TRUSTED <<---- これは,自前認証局を使っているせいなので,自信をもって無視する(笑)。
  2. IE 6 / XP No FS 1 No SNI 2 : Protocol or cipher suite mismatch : Fail3 <<---- うちの SSL サーバのユーザは私だけで,私は IE 6 / XP なんぞ使わないので,これも無視。
  3. Fail3 “Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.” なんだそうだ。うちの SSL サーバはより低レベルのプロトコルは受けつけないが,これも別に問題なし。
  4.  というわけで,赤いのについては何もやらなくてよし。

||オレンジの||

  1. Prefix handling : Not valid for “www.o6asan.com” :CONFUSING
  2. Signature algorithm : SHA1withRSA : WEAK
  3. Chain issues : Contains anchor <<---- Ivan Ristić“Chain issues Contains anchor” で書いていたことを根拠に,無視。
  4. Not in trust store <<---- これも自前認証局のせいなので,無視。
  5. Downgrade attack prevention : No, TLS_FALLBACK_SCSV not supported
  6. Forward Secrecy : With some browsers

 オレンジのについては, 1, 2, 5, 6 について対処する必要がありそうだ。まずは, 5 と 6 から。 1 と 2 は証明書そのものを作り変えないといけないので,後回し。

  1. Apache 2.4.10 (httpd-2.4.10-win32-VC11.zip) を 10/20 バージョンにアップデートした。この版は openssl-1.0.1j を使ってビルドされてて,1.0.1j は TLS_FALLBACK_SCSV をサポートしたから。
  2. httpd-ssl.conf において, SSLHonorCipherOrder on をアンコメントし, SSLCipherSuite Directive の値を変更。
    HIGH:MEDIUM:!aNULL:!MD5

    EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256
    EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP
    !PSK !SRP !DSS

       参考 : Configuring Apache, Nginx, and OpenSSL for Forward Secrecy
    SSL サーバがモバイルや旧世代の OS/browser をサポートしなくてはいけない場合は,それらに合わせた設定もする必要が生じる。うちのは,関係ないけど。
  3. この作業後,テストしたら, “Downgrade attack prevention : Yes, TLS_FALLBACK_SCSV supported”“Forward Secrecy : Yes (with most browsers) ROBUST” に変わった。

 次は, 1 と 2。
 1 は自前認証局の Common Name が o6asan.com だけだからだ。で,新しいのは, o6asan.com も www.o6asan.com もサポートさせないといけない。しかし,我が家の SSL サーバ用の IP は,一つしか割り当てる気がないよという問題がある。これに対処するために, SNI(Server Name Indication) を使う。 8 月ごろに,くりくりさんが取り組まれていた。まあ,まだすべての OS/browser がサポート完了しているわけではないが……それでも,かなりましになってきたのは確か。ワイルドカード証明書か SAN かということになるが, SANs で行くことにした。だって,うちの SSL サーバに任意のサブドメインを受け入れさせる必要はないでしょ。これについては Apache からも制限できるとはいえ,必要のない扉を大きく開けるのはポリシーに反する。
 2 は前の証明書を作ったときに OpenSSL の default を使ったからである。デフォルトだと,今もかわらず SHA1 を使うようになっている。今回は, default_md = sha256 にして,こさえるワ。
 28 日,改めて Server Name Indication を読み込んでいたのだが, SNI と ワイルドカード証明書か SAN は次元の違う話のようだ。難しいなぁ。

 openssl.cnf (← この標準の名称のままで行く) を Apche24\conf から c:\openssl-1.0.1x-winxx\ssl (← OpenSSL をフルでインストールすると,ここがデフォルト) にコピーして,以下のようにカスタマイズする。

    一行アンコメントし,いくつか値を変更する。

  1. dir = ./demoCA —->> dir = X:/demoCA <<----絶対パス
  2. default_crl_days = 30 —->> default_crl_days = 365
  3. default_md = default —->> default_md = sha256
  4. default_bits = 1024 —->> default_bits = 2048
  5. # req_extensions = v3_req —->> req_extensions = v3_req
    何行か追加する。

  1. [ v3_req ] のエリアに subjectAltName = @alt_names を追加。
  2. [ v3_ca ] エリアの直前に以下を追加。
    [ alt_names ]
    DNS.1 = example.com
    DNS.2 = www.example.com

     
    必要なドメインを DNS.1, DNS.2, DNS.3, … のように追加できる。
  3. クライアント証明書も必要な場合は, openssl.cnf の最後に以下を追加する
    [ ssl_client ]
    basicConstraints = CA:FALSE
    nsCertType = client
    keyUsage = digitalSignature, keyEncipherment
    extendedKeyUsage = clientAuth
    nsComment = "OpenSSL Certificate for SSL Client"

 さて,新自前認証局の作成をしよう。(参考 : 本家のお世話-#68)

    ||自前 CA 作成||

  1. X:/ に myCA フォルダを作る。
  2. private と newcerts という 2 つのフォルダと index.txt を myCA に作る。
  3. cmd.exe を 管理者として実行。
    pushd X:\myCA
    echo 01 > serial
    openssl req -new -keyout private\cakey.pem -out careq.pem
    openssl ca -selfsign -in careq.pem -extensions v3_ca -out cacert.pem
    copy cacert.pem (Drive_SV):\Apache24\conf\ssl.crt
    copy cacert.pem my_ca.crt

      注)(Drive_SV) というのは,自宅サーバ上のサーバウェア用パーティションである。

    ||Server 証明書作成||

  1. pushd X:\myCA
    openssl genrsa -out server.key 2048
    openssl req -new -out server.csr -key server.key
  2. 次のコマンドで CSR 内の SANs を確認する。(中にちゃんと ‘Subject Alternative Name’ があるかな?)
    openssl req -text -noout -in server.csr
  3. openssl ca -in server.csr -out server.crt -extensions v3_req
    copy server.key cp_server.key
    openssl rsa <cp_server.key> server.key
    copy server.key (Drive_SV):\Apache24\conf
    copy server.crt (Drive_SV):\Apache24\conf
    ||Client 証明書作成||

  1. pushd X:\myCA
    openssl req -new -keyout client.key -out client.csr
    openssl ca -policy policy_anything -extensions ssl_client -in client.csr -out client.crt
    openssl pkcs12 -export -in client.crt -inkey client.key -out clientcert.p12

   SANs 作成参考リンク : FAQ/subjectAltName (SAN), Multiple Names on One Certificate.

 やっと,「 SANs 対応かつ SHA256 使用の自前認証局」が出来た。満足じゃ!!

自分が ban くらっちゃった。

 さっきモバイルで自分とこにアクセスしたら, ban くらっちゃいました。えーっとか思って,モバイルルータの電源切ってアクセスしなおしたら,大丈夫でした。

 自分のところの直前に, mojo さんのところでも同じ羽目になりましたが,これも電源再投入後の IP だと大丈夫でした。

 誰か mopera のゾーンで,よからぬことをやってたヤツがいたらしい。 2ch とかで,よく規制をくらったとか聞きますが,自分は初体験でした。

 しかし,なんといっても,我が家から締め出されたのに,ビックラしたワ!!