最新版はこちら。 突っ込みは各日付の BBS エントリのほか、 メール (nakano@st.seikei.ac.jp) や フォーム からどうぞ。 なおスパム除けのため、BBS 機能には 緩い認証を入れて います。 検索エンジンから来た方は、エンジンの方のキャッシュを見るか、 下の簡易検索を試してみてください。
|
Namazu for hns による簡易全文検索 詳しくは 詳細指定/ヘルプを参照して下さい |
||||||||||||||||||||||||||||||||||||||||||||
% dd if=/dev/urandom of=rand1.bin bs=200K count=1 % cat rand1.bin | base64 > rand1.txt同様に rand2.txt, rand3.txt をつくる
% openssl genrsa -des3 -rand rand1.txt:rand2.txt:rand3.txt 2048 > server.key (パスフレーズを要求されるので決めておく)server.key ができたら chmod 600 する。rand?.* は消す。
% openssl req -new -key server.key -sha256 -out server.csr Enter pass phrase for server.key: (パスフレーズいれる) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:ひみつ Locality Name (eg, city) []:ひみつ Organization Name (eg, company) [Internet Widgits Pty Ltd]:ひみつ Organizational Unit Name (eg, section) []:ひみつ Common Name (e.g. server FQDN or YOUR name) []:サーバのFQDN Email Address []:. Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:. An optional company name []:.鍵長の確認は、
% openssl rsa -in server.key -text -noout | lvで。UPKI は 2048 が必要。
$ openssl req -in server.csr -text | lvいまのところ鍵等々は ~/UKPI/ 以下に置いてある。
TSVファイル種別→新規発行申請用TSV 証明書種別→サーバ証明書 証明書プロファイル→3: サーバ証明書(sha256WithRSAEncryption)として「この内容で作成を開始。
主体者DN→空欄 サーバFQDN→いれる 利用管理者E-mail→いれる 利用管理者氏名→管理者のフルネーム(ローマ字表記が無難) 利用管理者所属→Fuculty of Science and Engineering Webサーバソフトウェア名等→apache2.4 dNSName→IPアドレスが同じで別のFQDNを持つ場合、dNSName=[CNAME]のように入れる。dNSName に「サーバFQDN」で入れた内容も重ね書きする必要はあるのかちょっと不明。不具合があったらなおそう。
ssl = yes ssl_cert = </etc/letsencrypt/live/DOMAINNAME/fullchain.pem ssl_key = </etc/letsencrypt/live/DOMAINNAME/privkey.pem/etc/dovecot/conf.d/20-pop3.conf に以下を追加
protocol pop3 { pop3_uidl_format = %08Xu%08Xv ssl = required }で systemctl restart dovecot で。
openssl s_client -connect yourdomain:995 -quietして
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = E6 verify return:1 depth=0 CN = surf.st.seikei.ac.jp verify return:1 +OK Dovecot (Debian) ready.と出たのでこちらは OK。
set daemon 300 poll SERVERNAME with proto POP3 user nakano there with password PASSWORD is nakano here ssl mda "/usr/bin/procmail -d %T" # keep # uncomment するとサーバにメールが残るする。.procmailrc はもともと ~/.forward で procmail にパイプして使っていたのが残っていたので、そのままで OK だった。
% fetchmailで無事にこれまでのものも含めてとってきてくれた。
# certbot certonly --manual --preferred-challenges http -d DOMAINNAME -m nakano@st.seikei.ac.jp --agree-tos --manual-public-ip-logging-okすると、どこそこの URL にこれこれの内容を含むファイルを置け、という指令が飛ぶので、そのようにして続行すると /etc/letsencrypt/live/ に鍵をもらえる。
# certbot certonly --manual -d surf.st.seikei.ac.jpすれば更新はできる模様。いまは expire してないのでそのまま。
<VirtualHost *:80> ServerName surf.ml.seikei.ac.jp ServerAdmin nakano@st.seikei.ac.jp RedirectMatch 301 ^(.*)$ http://surf.st.seikei.ac.jp/$1 </VirtualHost> <VirtualHost *:80> ServerName surf.st.seikei.ac.jp ServerAdmin nakano@st.seikei.ac.jp (あとはいままでとだいたい同じ)という感じに変更した。
2024-08-07T23:28:14.313323+09:00 dh1700 ovpn-client[1323]: VERIFY ERROR: depth=0, error=certificate has expired: CN=(XXX), serial=(XXX)というので繋がらなくなっていた。後知恵だけどサーバの crt を見たら、確かに
Validity Not Before: Aug 23 12:13:27 2021 GMT Not After : Aug 7 12:13:27 2024 GMTって書いてあったよ…
--- /usr/share/easy-rsa/vars.example 2022-05-19 10:53:50.000000000 +0900 +++ vars 2024-08-07 23:20:46.004422499 +0900 @@ -101,12 +101,12 @@ # dollar sign ($) # Use them at your own risk! -#set_var EASYRSA_REQ_COUNTRY "US" -#set_var EASYRSA_REQ_PROVINCE "California" -#set_var EASYRSA_REQ_CITY "San Francisco" -#set_var EASYRSA_REQ_ORG "Copyleft Certificate Co" -#set_var EASYRSA_REQ_EMAIL "me@example.net" -#set_var EASYRSA_REQ_OU "My Organizational Unit" +set_var EASYRSA_REQ_COUNTRY "JP" +set_var EASYRSA_REQ_PROVINCE "Tokyo" +set_var EASYRSA_REQ_CITY "Musashino" +set_var EASYRSA_REQ_ORG "Seikei Univ" +set_var EASYRSA_REQ_EMAIL "nakano[st.seikei.ac.jp" +set_var EASYRSA_REQ_OU "ST EMP labo" # Choose a size in bits for your keypairs. The recommended value is 2048. Using # 2048-bit keys is considered more than sufficient for many years into the次の expiration は
Not After : Nov 10 14:29:47 2026 GMTなので、新棟に引っ越ししたら対策しよう。
# How many days until the next CRL publish date? Note that the CRL can still be # parsed after this timeframe passes. It is only used for an expected next # publication date. #set_var EASYRSA_CRL_DAYS 180を変更すると valid な期間を長くできるらしい。今回は変更せずに生成して 2026/11/10 だったけど、このへんのデフォルトが Debian だと変わっているのかしら。