SSLサーバ証明書をコマンドを使ってCA認証局とやり取りしながらサーバにインストールした記録♪ | oki2a24 でインストールしました、SSL サーバ証明書をアンインストール、、、といいましても、SSL ソフトのパッケージをアンインストールするわけではございません。
どちらかといいますと、サーバの mod_ssl パッケージの設定から、導入した SSL サーバ証明書の記述を取り除いて無効化する、という表現がよいかと思います。それでは、始めます。
カテゴリー: コンピューター
Linux の悪戦苦闘記、プログラミング、WordPress、ウェブサービス、Windows、Mac などの話題ですの。
ポイント
- バックナンバー PDF を Evernote にクリップする。 → 雑誌の中身がいつでも検索できるようになる。
- バックナンバー PDF を Dropbox にアップロードする。 → Evernote でのクリップが完了するまでのバックアップも兼ねた置き場所とする。
久しぶりに本を買いました。
カテゴリー
2013年6月のアクセス解析
先月 2013 年 6 月の 1 ヶ月間の Google アナリティクスの結果です。
- ユーザー > サマリー(左に先月、右に先々月と比較表示)
- コンテンツ > サイトコンテンツ > すべてのページ
- トラフィック > 参照元 > すべてのトラフィック
- トラフィック > 検索 > オーガニック検索
以上の4種類の Google Analytics 結果です。
ポイント
- プレイヤーの設定(右下の歯車アイコン)を変更 > パフォーマンスタブ > 「パフォーマンスを優先する」にチェック > 適用して閉じる
試してみて、目測ですけれども CPU 負荷が 1/10 くらいにはなっているように見えます。また、もちろん冷却ファンも回っていません。
これは、とってもよいですわ♪快適ですの♪
設定の裏側で行われていること
ポイント
- OpenSSL コマンドは自動でディレクトリを生成してくれないので、ないディレクトリは作業前に作成しておくこと!
- 秘密鍵 = 一種のパスワードだが、秘密鍵自体にさらにパスワードをかける。混乱したが、それだけ大事な情報だということ。しかしこの場合、Apaceh の再起動のたびに秘密鍵のパスワード入力を求められるため、運用方法によっては秘密鍵のパスワードを解除する方法もありうる、といいますかそのようなパターンは結構あると思います。
やりたいことや環境について
- oki2a24.com に対して、ベリサインの「テスト用無料SSLサーバ証明書」を適用したい
- oki2a24.com があるのは CentOS 5.9 で、Apache 2.x + mod_ssl + OpenSSL。ユーザは root で操作
- SSL 証明書の確認は Mac の Chrome で行う
用語の整理
- コモンネーム = SSL暗号化通信を行うサイトのURL
- 秘密鍵 = RSA PRIVATE KEY
- CSR = certificate signing request = certification request = BEGIN CERTIFICATE REQUEST 〜 END CERTIFICATE REQUEST = 証明書署名要求 = CA 認証局に送るサイト内容データ & 公開鍵データ。ひとつのファイルに両方の情報が含まれる。CA 認証局に提出する用に秘密鍵を使用してよくわからない文字列の状態で作成してくれる。
- SSLサーバ証明書 = crt = BEGIN CERTIFICATE 〜 END CERTIFICATE
登場する CentOS ファイルの整理
| No | 項目 | パス |
| 1 | 秘密鍵 | /etc/httpd/conf/ssl.key/ssl.oki2a24.com2013.key |
| 2 | CSR | /etc/httpd/conf/ssl.csr/ssl.oki2a24.com2013.csr |
| 3 | SSL サーバ証明書 | /etc/httpd/conf/ssl.crt/ssl.oki2a24.com2013.crt |
| 4 | 中間 CA 証明書 | /etc/httpd/conf/ssl.crt/dvcacert.cer |
| 5 | SSL 設定用 conf ファイル | /etc/httpd/conf.d/ssl.conf |
No の順番にファイルを作成したり、編集したりを行っていきます。
WordPress プラグイン、Google Authenticator の導入メモ♪ | oki2a24 で次のような課題がありました。
- iPhone の WordPress アプリでダッシュボードの表示を試みても証明書が無効のためにエラーとなりました。ユーザー名、パスワード、Google Authenticator code を入力しても次のようなアラートが表示され、ログインできません。
エラー
このサーバの証明書は無効です。”oki2a24.com”に偽装したサーバに接続している可能性があり、機密情報が漏えいするおそれがあります。
これの原因はわかっています。ログイン時にサーバに送信する情報を SSL 暗号化して通信しておりますが、身元保証はしておりません。いわゆる「オレオレ証明書」での自己署名証明書を使用しています。
ですので、採用するかどうかはともかく、とりあえず Google Authenticator プラグインを有効にしたまま、ログイン時の SSL 通信は無効とするやり方を試し、本当に iPhone の WordPress for iOS アプリにログインできるかどうかを確認します。
Mac でも、Linux でも、Windows は該当しませんが、FileZilla などの FTP ファイル転送ソフトを使用しないでコマンドだけでサーバー間のファイルをやり取りする方法を勉強しましたのでメモします。
FTP ソフトよりも、ずっと便利でした♪
ポイント
- scp コマンド、secure copy (remote file copy program)、を使用してサーバー間でファイルをコピーする
- -p オプションを付けてもコピーされたファイルのパーミッション、タイムスタンプは元のままだが、所有者が変更される
- コピー元はファイルを指定する必要があるが、コピー先はディレクトリだけの指定で同名のファイルをコピーできる
- ファイル送信元のでも、ファイル送信先のときでも、初回はコマンドを打ったサーバーにRSA追加して良いかと問われる。つまり最大2回RSA追加して良いか否かの確認に応える必要がある。
scp コマンド実際の使い方
#リモートマシン間でファイルをコピー # -p ファイルの更新時間、アクセス時間、モードを保持 scp -p fromuser@fromhost:filepath touser@tohost:directorypath
実際にやってみました♪
MySQL パフォーマンスを向上させまして WordPress のパフォーマンスを上げるためにいろいろ調べていく中で、今まで行なっておりませんでしたが、実行したほうがよい MySQL コマンドを発見しましたのでメモしておきます。
yum で MySQL のバージョンアップを実行後、次のコマンドを実行します。
# MySQL アップグレードのテーブルチェック(シェルで行う) mysql_upgrade -u root -p
mysql_upgrade — MySQL アップグレードのテーブル チェック、とは一体!?
カテゴリー
/etc/ntp.conf のお勉強♪
電波時計みたいに、正確な時刻を受信して、CentOS の時刻を合わせたいです。
どうも CentOS の時刻同期がなされておりませんようで、激しく時刻がずれておりました。NTP の設定はしたと思ったのですけれど。。。きっと誤っていると思いますので、設定ファイルのお勉強をいたしたいと思います。
ポイント
restrict と server が最大のポイントと考えて良さそうです。
- restrict アクセス制限、セキュリティ関係
- server 参照する NTP サーバー、タイムサーバー、時刻同期サーバー
- fudge 指定したホスト(たいていは自分自身)のハードウェア時計を読み込む。外部の NTP サーバーを参照するなら、コメントでも OK
phpMyAdmin は PHP で書かれた MySQL の GUI ベースの管理ツールです。わたくしは、CUI でコマンドで扱っておりますし、本番環境に入れるのはリスクでしかないと感じておりますので使っておりましせん。
ですけれども、やっぱり便利な場面もありますので、インストールいたしました。今まではソースをダウンロードして解凍しまして、Apache と phpMyAdmin の設定ファイルを編集して使っておりました。
でも、yum でもインストールできるのですね♪ウキウキしながら調べてみますと、、、たくさんあるのですねえ。何が違うのか、軽く調べましたのでメモいたします。