CAcertから証明書をもらおう!(番外編:ルート証明書のインストール)

前回言及した証明書警告をなくすにはブラウザ(あるいはOS)にCAcertのルート証明書がインストールされている必要があります。

今回はそのインストールの方法をOSX、Windowsの場合について解説します。
(念のため免責事項を…ルート証明書のインストールは自己責任でお願いします。)

Mac OSX Leopardの場合。(以前のバージョンでも一緒かな?)
http://www.cacert.org/index.php?id=3から「ルート証明書 (DER形式)」をダウンロードします。
root.der in Finder
Read more …

CAcertから証明書をもらおう!(その2の追記について)

CAcertから証明書をもらおう!(その2:鍵と申請書の作成)に追記をしました。

どうやら名前ベースのバーチャルホストで個別の証明書を読み込ませることは今のところできないようです。IPベースにするなどの対処で対応できますが、一番簡単なのは追記の通りCommon Nameにワイルドカードを使うことです。

例「*.hogehoge.net」

CAcertから証明書をもらおう!(その4:Apache2に登録)

今回は前々回作成した「server.key」と前回もらった「server.cer」をApache2に登録します。(FQDNごとに複数作成した場合は以下に出てくるファイル名は読み替えてください)

とりあえず鍵と証明書を作成したコンピュータからサーバーにファイルを一式持ってきます。
そして安全な場所に置いてください。
今回は「/etc/apache2/ssl/」フォルダに「server.key」と「server.cer」を置いたとします。
すでに自前証明書でSSL通信が有効になってる場合、設定は簡単で「/etc/apache2/sites-available/」内のファイルを以下の二行を書き換えるだけです。
変更前

<code>SSLCertificateFile 現在利用している証明書
SSLCertificateKeyFile 現在利用している秘密鍵</code>

変更後

<code>SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key</code>

保存して、Apache2を再起動すればOKです。
ただし、注意してほしいのはSSL接続時に表示される以下のような警告は消えません。それは認証局CAcertは現在、標準ではブラウザに登録されていないからです。
Safariの場合の証明書警告画面

CAcertから証明書をもらおう!(その3:CAcertから証明書をもらう)

では次に前回のCSR(申請書)を使ってCAcertに証明書を発行してもらいます。

1.ドメインの登録
まずはドメインを登録する必要があります。
トップページからパスワードログインし、右のメニューの「ドメイン」から「追加」を選択してください。
CAcertドメインメニュー
そして以下を参考に入力し、登録してください。
今回はFQDNでなく自分が取得したドメインそのもので登録します。(例えばwww.hoge.netの証明書を申請する場合はhoge.net)
CAcertドメイン入力
Read more …

CAcertから証明書をもらおう!(その0:紹介)

CAcertとはこちらの記事が詳しいですが簡単に言うと無料でX.509セキュリティ証明書を発行してくれる認証機関です。
CAcertロゴマーク
本来証明書は「Verisign」や「セコム」などに多くの費用を払わないともらえず、どうしてもその費用を払ってでもセキュリティを必要とするサーバー(本社と支店を接続したり、Amazonなどのネットショッピングサイト、あるいは銀行のネットバンキングなど)にしか導入できないものですが、CAcertボランティアによってすすめられている無料の認証局です。

もちろん上記のような本当にセキュアな通信が必要な場面では使えませんが、以前この投稿でApacheでSSLを有効にする際には「個人で勝手に作った認証局」から発行された(発行した?)「えせ証明書」を利用しましたが、それとは比較してはいけないぐらい十分すぎる証明書が頂け、利用できます。
Read more …

同一タイトルでの新規投稿不可問題

なぜか、他のWordPressの動作テストをしていたら「公開」ができなくなったので(詳細は割愛)こっちのも確認。

「保存」は動作確認。
「公開」も動作確認。
あれ?

追記
原因
同じタイトルの記事を新規投稿(保存ではなく公開)すると発生するらしい。
だから「新規投稿テスト」とテストしたときは問題なかったのだ。
こちらに報告も発見。

対処
今後新規記事を作る際に投稿できない場合はタイトルを変更して投稿。
どうしてもそのタイトルにしたい場合は一度公開してから変更。

阪急西院駅のゴミ箱使用中止

今日、阪急西院駅を通るとゴミ箱が封鎖されていた。
昨日6月26日から7月8日までだそうだ。
阪急西院駅の封鎖されたゴミ箱
昨日と今日に国際会館と迎賓館でG8サミット外相会合が開かれることをすっかり忘れていた…

昨日と今日ってちょうどアメリカが北朝鮮のテロ支援指定国家解除を発表した日だったのだが、もし拉致の被害国が日本ではなく、ほかの国なら「北朝鮮テロ支援国家指定解除」なんか発表されたら暴動とか起きてもおかしくないのかな、と友達と学校で少し話題になったのだが…日本ではやはり「G8外相会合」なんかとピッタリ重なっても何も起きなかった。

河原町はこの記事によると6月13日からだから西院では最初は封鎖するつもりが無かったけれど昨日のアメリカの発表で封鎖することにしたのか、それとも元から昨日封鎖するつもりだったのか気になるが全く関係ないのだろう。

ProFTPDの導入

自分だけがサーバーのファイルをいじるだけならSSH、SFTPやnetatalkのみで十分だったのですが、後輩たちがクラブのページを作成する場所をつくるにあたってFTPを導入しようと思ったのです。が、なかなかPassiveモードが利用できず、ルーター越えでの接続ができませんでした。
で、ProFTPDの再インストールからはじめ、やっと今回成功したのでメモしておきます。
構成としてはxinetd経由で起動し、ファイルによる仮想ユーザーということで。
(仮想ユーザーについてはまた今度…)

内容は2点です。
1.ProFTPDとxinetdの設定ファイル
2.iptablesのためにモジュールの読み込み

Read more …