BLOGTIMES
«Prev || ... 2 · 3 · 4 · 5 · 6 · 7 · 8 · 9 · 10 ·... | | Next»
2017/02/05

dehydrated をつかって Let's Encript の証明書を取得(dns-01編)

Tips ssl  systemmanagemant  letsencrypt  sh  tutorial  dns 

先日、dehydrated をつかって Let's Encript の証明書を取得で http を使った方法(http-01)で証明書を取得しました。
一番お手軽とも言える方法ですが、この方法の欠点はポートが 80 の HTTP に限定されているので、ポート 443 を使って HTTPS 経由で同様の方法で認証することはできません。

今回はセキュリティ上 80 番が空いていないサーバから証明書を取得したかったので、DNS の TXT レコードを使う方法(dns-01)にチャレンジします。

セットアップ方法はそれほど変わらない

今回は「Let's EncryptのDNS-01を使用して無料のSSL証明書をWebサーバなしで取得する -- ぺけみさお」を参考にさせていただきました。

まず前回と同じように dehydrated セットアップしていきます。
前回と違うのは Apache の設定がなく、途中で dns-01_hook.sh というフック用のスクリプトの生成が入ることくらいです。

# ソースコードの取得 git clone https://github.com/lukas2511/dehydrated.git cd dehydrated/ # WELLKNOWN ディレクトリの作成 chmod o+x . mkdir -p wellknown/acme-challenge sed -e 's|#WELLKNOWN=.*|WELLKNOWN="\'`pwd`'/wellknown/acme-challenge"|' < docs/examples/config > config # 証明書のドメイン名を指定 (SANを使う場合には1行に空白で区切ってドメインを列挙) echo "example.jp hoge.example.jp fuga.example.jp" > domains.txt # hook ファイルを作成 cat << EOS >dns-01_hook.sh #!/usr/bin/env bash function deploy_challenge { local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}" echo "Set TXT record of _acme-challenge.$DOMAIN to $TOKEN_VALUE" read } function clean_challenge { local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}" } function deploy_cert { local DOMAIN="${1}" KEYFILE="${2}" CERTFILE="${3}" FULLCHAINFILE="${4}" CHAINFILE="${5}" TIMESTAMP="${6}" } function unchanged_cert { local DOMAIN="${1}" KEYFILE="${2}" CERTFILE="${3}" FULLCHAINFILE="${4}" CHAINFILE="${5}" } HANDLER=$1; shift; $HANDLER $@ EOS chmod 755 dns-01_hook.sh

証明書取得時の操作

証明書を取得するためには dehydrated を起動したあと、DNS を書き換える必要があります。

# 実際に証明書を取得 ./dehydrated -c --challenge dns-01 -k ./dns-01_hook.sh

上の起動コマンドで dehydrated を起動すると、スクリプトは以下の出力を出したところででブロック(一旦停止)しますが、この操作を行ったターミナルは触らずにそのままにしておいてください。閉じたり、エンターを押したりすると認証用のハッシュが無効になってしまいます。

Set TXT record of _acme-challenge.example.jp to (ここに認証用のハッシュが出力される)

自分の DNS のゾーンに以下のようなレコードを登録してやります。
# 具体的な操作は使っている DNS サービスや DNS サーバに合せて実施してください。

_acme-challenge IN TXT "(認証用のハッシュ)"

登録が終わったら dig コマンドなどで、設定した TXT レコードが引けるか確認します。

dig _acme-challenge.example.jp txt @8.8.8.8

きちんと応答が得られることを確認したら、元のターミナルに戻ってエンターキーを押すと DNS による認証が行われます
成功すれば certs/(FQDN) に証明書が生成されているはずです。
DNS の TXT レコードのハッシュは使い捨てなので、証明書が生成されていることを確認したら削除しておきましょう。


    at 14:06 |
    2017/02/04

    音楽教育事業者が「音楽教育を守る会」 を結成

    misc. law 

    JASRAC が音楽教室での演奏について著作権料を課す方針を公表して大きな話題になっていますが、対象となった音楽教育事業者の7者が「音楽教育を守る会」 を結成して対抗していくようです。
    名を連ねているのは一般財団法人 ヤマハ音楽振興会株式会社 河合楽器製作所株式会社 開進堂楽器島村楽器 株式会社一般社団法人全日本ピアノ指導者協会株式会社 宮地商会株式会社 山野楽器の7社。

    以下を読めばそれぞれの言い分は真っ向から食い違っているのが分かりますが、個人的にはレッスンが公衆の前での演奏というのは相当なこじつけだと思うんですけどね。それと JASRAC が快く思われないのは、売り上げの x% というよくわからない包括契約方式にもあると思うんですよね。楽曲を使うことによる付加価値はレッスンの付加価値とは全く異なるわけですから。

    音楽教室は「公衆の前での演奏」 JASRACが著作権料徴収の方針 - 産経ニュース

    音楽教室での指導者や生徒による演奏を「公衆の前での演奏」と解釈し、来年1月からの徴収を始める方針。著作権料は年間受講料収入の2・5%を検討している。

    「音楽教育を守る会」 発足のお知らせ | 共同通信PRワイヤー

    早速、2月2日(木)に1回目の会合を開き、「演奏権が及ぶのは公衆に聞かせるための演奏であり、音楽教室での練習や指導のための演奏は該当しない。文化の発展に寄与するという著作権法の目的にも合致しない。今後は本会を通じて対応していく」との活動方針を決定いたしました。

      at 17:38 |
      2017/02/04

      Google がキュレーションメディアを狙い撃ち?

      Web google  seo 

      Google がウェブサイトの品質の評価方法に改善を加えたことを公式ブログで公表していました。

      検索アルゴリズムの小さな変更自体は定期的に行われていますが、Google があえてアルゴリズムの変更を公にしてくるのは、過去の事例からみても Web サイト運営者や SEO 業者に対する不正行為への強い警告です。今回の対象は DeNAのWELQ問題に始まる一連のキュレーションメディア問題への対策でしょうね。

      Google ウェブマスター向け公式ブログ: 日本語検索の品質向上にむけて

      今回の変更は、日本語検索で表示される低品質なサイトへの対策を意図しています。このような改善が、有用で信頼できるコンテンツをユーザーに提供する皆さんを、正当に評価するウェブのエコシステム作りの助けとなることを期待しています。

        at 13:38 |
        2017/02/03

        さくらのクラウドが 「割引パスポート」を全サーバープランに拡大

        IT sakura 

        さくらのクラウドが 「割引パスポート」を全サーバープランに拡大することを発表していたのでメモ。

        さくらのクラウドにも AWS のリザーブドインスタンス にあたる割引パスポートという長期利用向けの割引サービスが、昨年の7月にスタート*1していましたが、対象となるサーバの契約プランが2コア/2GB、2コア/4GB、4コア/4GB、4コア/8GB の4プランしかなく、これらのサービスを使っていないユーザーは長期利用の恩恵を受けられないという状況でした。それが今回の件で解決されたことになります。とはいえ、プライベートは VPS に移してしまったので、仕事用のやつに適用ですかね。。。。。


        at 19:55 |
        2017/02/03

        Systemd でサービスが落ちたときに自動的にサービスを再起動させる

        Tips centos7  systemmanagemant  english 

        Linux で常に起動しておきたい(落ちては困る)デーモンがある場合には inittab を使ってプログラムを respawn にする設定しておくということができました。
        例えば以下のような設定です。

        /etc/inittab

        999:2345:respawn:/path/to/app

        この機能は SysVinit/Upstart で実現されていたわけですが、これが CentOS7 では Systemd に置き換わっているのでこの手は使えません。
        これについて代替となるなにかいい手がないかなと Systemd マニュアルを眺めていたら systemd.service の部分にRestart= という定義ができることを発見しました。

        設定出来る値は no(デフォルト), on-success, on-failure, on-abnormal, on-watchdog, on-abort, always の7種類。とりあえず respawn と同じ状態にしたいという場合には always と設定すれば良さそうです。
        実際に .service ファイルに書く際には [Service] の中に記述する必要があります。

        [Service] Restart=always

        respawn はゲーム用語?

        respawn という英単語は個人的に inittab 以外で出逢ったことがないのですが、英英辞典だと「殺された時に再出現すること」という意味のゲーム用語ということになっているようです。
        サービスやプロセスも強制的に止めることは kill(殺す) と表現するのでこれはこれで適切なのでしょう。

        respawn - definition of respawn in English | Oxford Dictionaries

        (of a character in a video game) reappear after having been killed

          at 13:49 |
          2017/02/02

          「FEヒーローズ」リリース!

          Game fireemblem  android  ios 
          FEヒーローズ タイトル - 「FEヒーローズ」リリース!

          FE初のスマホタイトルとなるFEヒーローズがリリースされました。

          やりたいのは山々ですが、仕事も山場なのでインストールだけしてしばらくはお預けということになりそうです。。。。。


            at 22:44 |

            SAOのサイバーセキュリティ月間ポスターが届いた!

            Security anime  riss  ipa 
            セキュリティ月間ポスター - SAOのサイバーセキュリティ月間ポスターが届いた!

            今年のサイバーセキュリティ月間はソードアート・オンラインとコラボしていて、昨年と同様にサイバーセキュリティ月間ポスターをIPAが配布していました。

            この配布はあくまで会社や団体向けなので個人では申し込めません。ということで、昨年と同様に仕事場の代表として(いちおうシステム管理部門も兼任してるので)手に入れることができました。プロモーションですから、ちゃんと人目につきやすい場所に掲示しています。昨年と比較してしまうと、サイズが一回り小さくなっているのが残念なんですよね。。。。。

            2017年 官民連携「サイバーセキュリティ月間」キャンペーン:IPA 独立行政法人 情報処理推進機構

            今回のサイバーセキュリティ月間に合わせてIPAでは下記のキャンペーンポスターを制作しました。ご希望の方に先着順でポスターを進呈します。応募の条件は、国家資格「情報処理安全確保支援士」(登録セキスペ)を応援してくださる組織の方です。応援の証として、ポスター入手後、多くの人の目に触れる場所にポスターを掲出したり、その写真をSNS等で広めて頂くなどご協力をお願い致します。

              at 12:35 |
              2017/02/01

              最高裁が Google の検索結果の削除を認めない決定

              IT google  law 

              Google で検索すると2011年に起こした児童買春事件で逮捕された際の報道内容が表示されるということで、Google に検索内容の削除を求めていた裁判で、最高裁第三小法廷が検索結果の削除を認めないという決定を出しました。決定の全文は裁判所のウェブにある裁判例情報に掲載されている「平成28年(許)第45号 投稿記事削除仮処分決定認可決定に対する抗告審の取消決定に対する許可抗告事件 平成29年1月31日 第三小法廷決定」から読むことができます。

              これによると、URLの削除ができる要件は以下のように述べられています。

              当該事実を公表されない法的利益と当該URL等情報を検索結果として提供する理由に関する諸事情を比較衡量して判断すべきもので,その結果,当該事実を公表されない法的利益が優越することが明らかな場合には,検索事業者に対し,当該URL等情報を検索結果から削除することを求めることができるものと解するのが相当である。

              今回の事例についてはこのように判断されたということになるようです。

              児童買春をしたとの被疑事実に基づき逮捕されたという本件事実は,他人にみだりに知られたくない抗告人のプライバシーに属する事実であるものではあるが,児童買春が児童に対する性的搾取及び性的虐待と位置付けられており,社会的に強い非難の対象とされ,罰則をもって禁止されていることに照らし,今なお公共の利害に関する事項であるといえる。

              検索エンジンに掲載される情報を削除して欲しいという裁判はあちこちで起こされていますが、過去の犯罪歴だからという理由では削除へのハードルはかなり高そうです。


                at 22:55 |

                GitLab.com でデータ損失を伴う障害発生

                IT systemdown 
                Youtube Live stream - GitLab.com でデータ損失を伴う障害発生

                GitLab.com でデータ損失を伴う障害発生が発生したようです。
                Git なのでリポジトリの中身は基本的には大丈夫なはずですが、Issue とかが吹っ飛んだのは人によっては痛いかもしれません。

                復旧風景がストリーミング中継されているのは今風ですねぇ。。。。


                  at 21:33 |
                  2017/01/31

                  「Wi-Fiミレル」で無線 LAN の強度を測定

                  Mobile ios  android  visualize 
                  Wi-Fi ミレル - 「Wi-Fiミレル」で無線 LAN の強度を測定

                  IO データが Wi-Fi ミレル という無線 LAN の電波強度を可視化するアプリをリリースしていたのでメモ。iOS 版と Android 版がそれぞれリリースされています。

                  電波強度をグラフ表示するだけでなく、間取り上に電波強度をヒートマップを描く機能もあったりしてなかなか面白いです。比較的近い間取りを取り込んでやってみましたが、1Kの極小アパートなのでどこでも電波強度はばっちりでした(笑)。


                    at 22:55 |
                    «Prev || ... 2 · 3 · 4 · 5 · 6 · 7 · 8 · 9 · 10 ·... | | Next»