BLOGTIMES
» ArchiveList
«Prev || ... 307 · 308 · 309 · 310 · 311 · 312 · 313 · 314 · 315 ·... | | Next»
2019/02/18

TLSv1.0 → TLSv1.2 変換を squid でやってみる

ssl 

Windows XP の IE6 をどうしても TLSv1.2 対応させる必要があったので、squid を利用て TLSv1.0 → TLSv1.2 変換してみました。

自分で書いておいて何ですがこういうやりかたは全くお勧めできません。

基本的な動作原理は MITM 攻撃

TLS は通信が暗号化されているので、通常の方法では外部からプロトコルを変換することはできません。
今回は squid 側で TLS を一旦平文に戻て、squid が再び TLS をかける方式になります。

サーバー <=== TLS v1.2 ===> squid <=== TLS v1.0 ===> Windows XP / IE6

上記を見ると分かりますが、やり方がMITM(中間者攻撃 )なんですよね。
squid はオリジナルのサーバーの秘密鍵を当然ながら保持していないので、証明書を自分が生成した証明書に差し替えます。
従って、クライアントでは証明書が信頼されていないという警告が出ることになります。

セットアップ

CentOS 7 だと比較的簡単にセットアップできます

# squid のインストール yum install squid # CA証明書の生成 cd /etc/squid mkdir ssl_cert chown squid:squid ssl_cert chmod 700 ssl_cert cd ssl_cert openssl req -new -newkey rsa:2048 -subj /CN="ssl-bump CA"/O="ssl-bump CA" -sha256 -days 3650 -extensions v3_ca -nodes -x509 -keyout myCA.pem -out myCA.pem # 証明書を生成するためのディレクトリを初期化 rm -rf /var/lib/ssl_db /usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db chown squid:squid -R /var/lib/ssl_db

設定ファイルはこんな感じでしょうか。

/etc/squid/squid.conf

acl localnet src 192.168.0.0/16 acl CONNECT method CONNECT http_access allow localnet http_access allow localhost http_access deny all http_port 3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem \ key=/etc/squid/ssl_cert/myCA.pem \ generate-host-certificates=on \ dynamic_cert_mem_cache_size=4MB \ options=ALL acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump bump all sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER forwarded_for off request_header_access Referer deny all request_header_access X-Forwarded-For deny all request_header_access Via deny all request_header_access Cache-Control deny all

最後に firewalld の設定を変えて、デーモンを起動します。

firewall-cmd --add-service=squid firewall-cmd --runtime-to-permanent systemctl start squid systemctl enable squid

あとは Windows のプロキシ設定でこのマシンを指定すれば OK。

動作チェック

以下のようなサイトを利用してみるとチェックが楽です。

参考


    at 22:38 |
    2019/02/17

    水戸駅は刀剣乱舞シフト

    ibaraki  railways 
    花丸遊印録スタンプラリー - 水戸駅は刀剣乱舞シフト駅名表示も刀剣乱舞 - 水戸駅は刀剣乱舞シフト

    帰路に着こうとおもって水戸駅にやってきたら、駅の中が刀剣乱舞のキャラだらけになっていてちょっとびっくり。

    梅まつりあわせてスタンプラリーを開催してたんですね。
    弘道館の大倶利伽羅の謎がやっと解けました。


      at 16:23 |
      2019/02/17

      水戸黄門誕生の地(義公祠堂)

      ibaraki  gardens  観梅 
      水戸黄門誕生の地 - 水戸黄門誕生の地(義公祠堂)義公祠堂 - 水戸黄門誕生の地(義公祠堂)

      駅に向かう途中で「水戸黄門誕生の地」と書かれた石碑があったので周りを見渡してみると、すぐ近くに義公祠堂という小さな社が建っていました。

      義公(黄門さま)生誕の地 « 一般社団法人 水戸観光コンベンション協会

      「義公」こと徳川光圀公(水戸黄門)は寛永5年(1628年)に家臣三木仁兵衛之次の屋敷で生まれ、4歳まで三木家の子としてここで養育されました。現在この地に水戸黄門神社(義公祠堂)がたてられています。


        at 16:17 |
        2019/02/17

        旧水戸城薬医門は高校の中?

        ibaraki  castle 
        旧水戸城薬医門 - 旧水戸城薬医門は高校の中?注意書き - 旧水戸城薬医門は高校の中?

        旧水戸城で現存する唯一の構造物である薬医門はなんと県立水戸第一高等学校敷地内にあります。これはこの高校の位置が旧本丸にあたるからということのようです。

        高校までの学校の門は閉ざされているのが普通ですが、ここは観光のために門が開いており、自由に薬医門が見学できるようになっています(ただし、観光の者は見学の範囲から出ないようにという注意書きの看板が立っています)。

        以下の説明をみるとここに移築された歴史もなかなか興味深いです。

        説明_薬医門 - 茨城県立水戸第一高等学校ホームページ

        城内の建物の多くは幕末の尊攘運動のなかで焼失し, 三階櫓を昭和20年の戦災で失った。薬医門が水戸城の遺構として唯一残ったのは, 明治初期に初代茨城県令の安田邸表門として移築され, さらに昭和16年に市内の祇園寺に移されたのが幸いして両度の戦災を免れたからである。昭和56年, 祇園寺から水戸市に寄贈されたのを機会に旧所在地近くに復元した。


          at 16:09 |
          2019/02/17

          弘道館と刀剣乱舞

          ibaraki  観梅 
          弘道館 正庁 - 弘道館と刀剣乱舞大倶利伽羅のパネル - 弘道館と刀剣乱舞
          至善堂の廊下 - 弘道館と刀剣乱舞諸役会所 - 弘道館と刀剣乱舞

          折角なので、前回行きそびれてしまった弘道館*1に立ち寄ってみます。
          やはりこちらも梅の開花は1割くらいでしょうか。

          弘道館とは | 弘道館公園

          幾度の戦火を免れた正門、正庁及び至善堂は、昭和39年(1964)に国の重要文化財に指定され、現在約3.4haの区域が「旧弘道館」として国の特別史跡に指定されています。区域内には約60品種800本の梅が植えられており、梅の名所としても有名です。

          妙に若い女性が多いのが気になりましたが、至善堂に大倶利伽羅の大きなパネルがあって納得。
          刀剣乱舞のスタンプラリーやっているんですね。


          at 15:22 |

          偕楽園はまだ1~2分咲き

          ibaraki  gardens  観梅 
          白梅 - 偕楽園はまだ1~2分咲き梅林の様子 - 偕楽園はまだ1~2分咲き
          ピンクの梅 - 偕楽園はまだ1~2分咲き偕楽園駅 - 偕楽園はまだ1~2分咲き

          観梅のシーズンなので、曇り空の都内を逃れて水戸の偕楽園へ行ってみました。

          ちょっとレアな偕楽園臨時駅を使ってみた

          梅祭りの期間の土日祝(計14日間)の 9:10〜15:30 にしか開いていないという偕楽園臨時駅*1を始めて利用しました。ここは開いている期間と時間が非常に限られている上に、下り線側だけにしかホームがないので下り電車のときにしか下車できないという利用の難易度がなかなかに高い駅になっています。

          でも園内はまだ1~2分咲き

          前回は観梅には遅すぎるタイミングでしたが、今回はちょっと早すぎでした。写真を撮る場合には咲き始めのほうがつぼみとかも写せて綺麗なので、それはそれでいいんですけどね。。。。


          at 13:32 |
          2019/02/16

          やっと遺産分割協議書が完成

          inheritance 
          遺産分割協議書 - やっと遺産分割協議書が完成

          やっと遺産分割協議書が完成したので、実印を押しました。
          遺産の分割内容について特に家族間で揉めていることはないので、形式だけの問題になりますがいろいろと大変でした。

          相続の基本 : 三井住友銀行

          遺言書がある場合は、原則、遺言書に沿って相続します。一方、遺言書がない場合はどうするのでしょう。民法では「誰がどれだけ相続するか」が決められているので、それに沿って相続します。これを「法定相続」といいます。また、相続人全員で協議して、それぞれの事情に応じて分けることもできます。これを「分割協議による相続」といいます。

          これは揉めていたりすると肉体的にだけでなく精神的にもかなり大変でしょうね。

          今回は司法書士さんに頼みました

          この後、不動産の登記手続きがあるので、それと合せて遺産分割協議書は司法書士さんにお願いしています。
          費用は7~8万円ほどでしょうか。

          このほかに土地や建物の所有権の移転登記を行うための登録免許税*1が必要になります。
          こちらは、固定資産税評価額の 4/1000 と決められているので、相続する不動産の価格によって変動します。


          at 23:20 |

          親父の準確定申告を完了

          etax  inheritance 
          準確定申告書 - 親父の準確定申告を完了

          今年は死んだ親父の分と、自分の分、2つの確定申告をしなければなりません。
          準確定申告は4か月以内なので、ちょうど通常の確定申告の期間に一緒に行うことができました。

          No.2022 納税者が死亡したときの確定申告(準確定申告)|国税庁

          年の中途で死亡した人の場合は、相続人が、1月1日から死亡した日までに確定した所得金額及び税額を計算して、相続の開始があったことを知った日の翌日から4か月以内に申告と納税をしなければなりません。これを準確定申告といいます。

          今年からは税理士さんがやってくれるので、確定申告の作業自体はだいぶ楽になりました。


            at 23:13 |
            2019/02/15

            水戸偕楽園、県民以外は秋から有料に

            gardens 

            秋から水戸偕楽園が有料になるようです。

            都内の庭園だと旧岩崎邸庭園が400円、小石川後楽園や浜離宮恩賜庭園、六義園が300円であることを考えれば、300円というのは十分許容範囲内ではないでしょうか。入園料については県民かどうかに関係なく徴収すればよいと思うんですけどね。

            水戸の偕楽園が秋から入場が有料に 1人300円ほど 県民以外 | NHKニュース

            これまで入場は無料でしたが、偕楽園を管理する茨城県は、観光地としての魅力をさらに高めるための資金をまかなおうと、ことしの秋から県民以外の人を対象に1人300円ほどを徴収する方針を固めました。


              at 20:55 |

              プラネックスの WiFi 対応環境・人感センサー

              sensor 
              PLANEX USB直接給電型WiFiどこでもセンサー 温度・湿度・気圧計測 どこでも環境センサー WS-USB01-THPPLANEX USB直接給電型WiFiどこでもセンサー PIR どこでも人感センサー WS-USB02-PIR

              プラネックスが WiFi 経由でクラウドにデータを蓄積できるどこでもセンサーを発売するようなのでメモ。

              ラズパイなどにセンサーを接続して自作することも可能ですが、こうやって差し込んで設定するだけですぐに使えるのはやはり手軽でいいですね。今度、実家の見守り用に一台買ってみたいと思います。

              News Release|PLANEX|どこからでも遠隔地の状況確認ができる「どこでもセンサー」新発売

              プラネックスコミュニケーションズ株式会社は、遠隔地に住む親の見守り、無人施設の防犯、環境調査、行動調査などに利用できる2種類の「どこでもセンサー」を発売します。
              「どこでも環境センサー WS-USB01-THP」は気温、湿度、気圧のデータを、「どこでも人感センサー WS-USB02-PIR」は人や動物の接近を検知し、クラウドを経由して何処からでもデータを知ることができます。価格


                at 19:21 |
                «Prev || ... 307 · 308 · 309 · 310 · 311 · 312 · 313 · 314 · 315 ·... | | Next»
                » ArchiveList
                Copyright © 2004-2023 by CLES All Rights Reserved.