Windows 上の Apache に SAN 対応の Let’s Encrypt 製証明書を導入する。

投稿アップデート情報  追記(4/11) 追記2(6/23) 追記3(10/13)

[2017/10/20 時点の話] ApacheLounge 2.4.x 版でも mod_md が使えるようになったので、 dehydrated ( 旧 Letsencrypt.sh) の代わりに、今はこれを使っている。この件に関する記事→「Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に」。
========================================================
【2016.7.19時点の話】
 今のところ, letsencrypt-win-simple は Windows 版の Apache 上での証明書更新作業に対応していないし,公式のクライアントである certbot も,同様の状態みたいなので, letsencrypt.sh というスクリプトを使う方法を考えてみた。☞「Windows で Letsencrypt.sh を使う-#1」
========================================================
 一昨日,これを書いた。あの時点での Let’s Encrypt 製証明書は o6asan.com に対してだけだった。

 自鯖の環境の中で今回の件に関係があるのは,以下の通り。

  1. Windows7 HE SP1 (x86)
  2. Apache2.4.x with VC14

“Windows 上の Apache に SAN 対応の Let’s Encrypt 製証明書を導入する。” の続きを読む

Win サーバに Let’s Encrypt の証明書を導入した。

投稿アップデート情報  追記(3/14)

New_Cert くりくりさんのコメントに刺激されて Let’s Encrypt 製の証明書を導入したよ。一応,成功。けど,全然わかっとらん。期限が来たら,どうやって更新するの? SAN 対応にするにはどうすればいいの? Exchange 2016 用の ‘HOW TO’ はめっけたけど,自鯖は Apache だし。

 まあ,もっと勉強が必要だね, Let’s Encrypt。

追記(3/14):
 「Windows 上の Apache に SAN 対応の Let’s Encrypt 製証明書を導入する」という記事を書いた。

DROWN という脆弱性。

覚え書-#28。

 PHP7.0.3 が出たので,一昨日アップデートした。 ChangeLog はここね。自鯖は Windows7 HE SP1 x86 なので, php-7.0.3-Win32-VC14-x86.zip をダウンロードした。
 新 php.ini-production の変更点はコメント文のみ。 php.ini について,もっと詳しい情報をという方は,「本家のお世話-#109。(PHP 5.5.16 から PHP 5.6.0 への移行)」をご覧ください。 “覚え書-#28。” の続きを読む

h2load のリビルド。

投稿アップデート情報  追記(6/18)

[2016.6.18 時点の話] 実のところ,最新の Cygwin には libev および nghttp2 が含まれているので, h2load の機能を使うために,自分で nghttp2 をビルドする必要は無くなったのだが,それでも, nghttp2 をビルドするなら, Jansson および spdylay は, Cygwin にパッケージがないので,自分でビルドしなければならない。ただ,昨今の情勢からすると, spdylay はいらないかなとも思う。
—————————————————————————————————————————————————
 libev-4.22.tar.gz と nghttp2-1.6.0.tar.xz がリリースされたので, h2load をリビルドしてみた。ご自分で h2load をビルドする場合は,先に,Cygwin 上で h2load をビルドするを読んでください。 “h2load のリビルド。” の続きを読む

Cygwin 上で h2load をビルドする。

投稿アップデート情報  追記(2016/1/4) 追記2(2/7) 追記3(6/18)

[2016.6.18 時点の話] 実のところ,最新の Cygwin には libev および nghttp2 が含まれているので, h2load の機能を使うために,自分で nghttp2 をビルドする必要は無くなったのだが,それでも, nghttp2 をビルドするなら, Jansson および spdylay は, Cygwin にパッケージがないので,自分でビルドしなければならない。ただ,昨今の情勢からすると, spdylay はいらないかなとも思う。
—————————————————————————————————————————————————
 以下の 2 ファイルが手元にある。ひとつは H2LOAD_dll_package_x86.zip で,もうひとつは H2LOAD_dll_package_x64.zip である。ダウンロードして展開し,コンソール上で,
> h2load -n100000 -c100 -m10 https://localhost
とでもやれば, Windows 上で h2load テストができる。
 テストをやる場合はローカルにテストサーバを用意すべきだ。 -n -c -m の値によっては,対象サーバへのサイバー攻撃になりかねないからね。気を付けましょう。
 前に,「なんかどう見ても使用前の結果のほうが速いように見えません???ナンデェ!」と書いたのだが,今回のテスト結果は興味深い。 HTTPS with HTTP/2HTTPS without HTTP/2 をご覧あれ。 HTTP/2 をサポートしているサーバは,していないサーバよりも同時ストリー ムをうまく処理している。 HTTP/2 の特長の一つが顕著に表れているわけだ。

 さて,わが苦難の道の記録を書くことにしようかい (^_^;).
[注意]:以下の手順を踏むと, H2LOAD_dll_package_x64.zip のファイル群ができる。 H2LOAD_dll_package_x86.zip のファイルを手に入れるには, Windows x86 のパソコン上で setup-x86.exe を使って同じことをやらないといけない。 “Cygwin 上で h2load をビルドする。” の続きを読む

本家のお世話-#119。(HTTP/2 対応のための HTTPS 化-#3)

 先の記事の続き。 HTTP/2 使用の下準備が済んだので, httpd.conf と httpd-ssl.conf を再編集した。
 
 httpd.conf においては,以下の行をアンコメント。
     LoadModule http2_module modules/mod_http2.so
 httpd-ssl.conf においては, <VirtualHost o6asan.com:443> のすぐ後に,以下を追記。
     Protocols h2 http/1.1
 HTTP/2 with TLS のときは h2 , HTTP/2 without TLS のときは h2c ということらしいが,自鯖では h2c は使わない。
 
 Http/2 を有効化するために Apache を再起動。以上。 “本家のお世話-#119。(HTTP/2 対応のための HTTPS 化-#3)” の続きを読む

本家のお世話-#118。(HTTP/2 対応のための HTTPS 化-#2)

 先の記事の続き。私は,サブディレクトリ型の WordPress マルチサイト・ネットワークを使っているので,単体の WordPress の HTTPS への移行とは若干異なっているところがあるかもしれない。
 この機会に,ほかにも若干手直ししたところがある。 “本家のお世話-#118。(HTTP/2 対応のための HTTPS 化-#2)” の続きを読む

本家のお世話-#117。(HTTP/2 対応のための HTTPS 化)

投稿アップデート情報  追記(11/2) 追記2(11/6) 追記3(2017/6/20)

 10/13 に Apache 2.4.17 が出たのだが, Steffen のとこでも, 10/12 に同バージョンが出ていた。今回のバージョンからコアモジュールに mod_http2 が含まれるようになった。 Steffen はそのために, nghttp2 v1.3.4 も含めてビルドしてくれているようだ。その辺は, ChangeLog を見ていただきたい。というわけで,自鯖で HTTP/2 のテストが出来る。あくまで,テストだよ~ん。だって,「This module is experimental.」て書いてあるんだモン。 “本家のお世話-#117。(HTTP/2 対応のための HTTPS 化)” の続きを読む

本家のお世話-#115。(CVE-2015-1793 に対処のため Apache のアップデート)

 Apache 2.4.12 (httpd-2.4.12-win32-VC14.zip) を 2015.7.9 版にアップデートした。 Alternative chains certificate forgery (CVE-2015-1793) に対処するためである。

 2015.7.9 版は ‘IPv6 Crypto apr-1.5.1 apr-util-1.5.4 apr-iconv-1.2.1 openssl-1.0.2d zlib-1.2.8 pcre-8.37 libxml2-2.9.2 lua-5.1.5 expat-2.1.0′ でビルドされている。そんでもって, Changelog
 この版は, Windows® Visual Studio C++ 2015 RC 別名 VC14 がないと動かない。私は, 6/2 から VC14 版 に替えた。 OpenSSL 1.0.2 系を使うためである。そんなわけで,同版を使われる場合は,前もって忘れずに vc_redist_x64/86.exe をインストールのこと。

 いつもながら, Steffen には,頭が下がる。本当にありがとうございます。

 ところで, phpMyAdmin 4.4.11MariaDB 10.0.20 へのアップデートもやった。

 phpMyAdmin については 2 つばかり気づいたことがある。 4.4.10 からダウンロード先が, sourceforge.net から phpmyadmin.net に変わった。 4.4.11 からは MD5/SHA1 だけでなく, GPG も利用できるようになった。 sourceforge と phpmyadmin 間でなんかあったんかいネ。