最新版はこちら。 突っ込みは各日付の BBS エントリのほか、 メール (nakano@st.seikei.ac.jp) や フォーム からどうぞ。 なおスパム除けのため、BBS 機能には 緩い認証を入れて います。 検索エンジンから来た方は、エンジンの方のキャッシュを見るか、 下の簡易検索を試してみてください。
|
Namazu for hns による簡易全文検索 詳しくは 詳細指定/ヘルプを参照して下さい |
||||||||||||||||||||||||||||||||||||||||||||
% dd if=/dev/urandom of=rand1.bin bs=200K count=1 % cat rand1.bin | base64 > rand1.txt同様に rand2.txt, rand3.txt をつくる
% openssl genrsa -des3 -rand rand1.txt:rand2.txt:rand3.txt 2048 > server.key (パスフレーズを要求されるので決めておく)server.key ができたら chmod 600 する。rand?.* は消す。
% openssl req -new -key server.key -sha256 -out server.csr Enter pass phrase for server.key: (パスフレーズいれる) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:ひみつ Locality Name (eg, city) []:ひみつ Organization Name (eg, company) [Internet Widgits Pty Ltd]:ひみつ Organizational Unit Name (eg, section) []:ひみつ Common Name (e.g. server FQDN or YOUR name) []:サーバのFQDN Email Address []:. Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:. An optional company name []:.鍵長の確認は、
% openssl rsa -in server.key -text -noout | lvで。UPKI は 2048 が必要。
$ openssl req -in server.csr -text | lvいまのところ鍵等々は ~/UKPI/ 以下に置いてある。
TSVファイル種別→新規発行申請用TSV 証明書種別→サーバ証明書 証明書プロファイル→3: サーバ証明書(sha256WithRSAEncryption)として「この内容で作成を開始。
主体者DN→空欄 サーバFQDN→いれる 利用管理者E-mail→いれる 利用管理者氏名→管理者のフルネーム(ローマ字表記が無難) 利用管理者所属→Faculty of Science and Engineering Webサーバソフトウェア名等→apache2.4 dNSName→IPアドレスが同じで別のFQDNを持つ場合、dNSName=[CNAME]のように入れる。dNSName に「サーバFQDN」で入れた内容も重ね書きする必要はあるのかちょっと不明。不具合があったらなおそう。
プロファイルID=3(サーバー証明書(sha256WithRSAEncryption))にて発行した場合、 -> NII Open Domain CA - G7 RSA(SC Organization Validation CA) CA証明書(nii-odca4g7rsa.cer)が該当するのでこちらを。
# mv server.key server.key_orig_withPW # openssl rsa -in server.key_orig_withPW -out server.key # chmod 400 server.key
SSLCertificateFile /etc/upki/keys/surf.st.seikei.ac.jp.cer SSLCertificateKeyFile /etc/upki/keys/server.key SSLCertificateChainFile /etc/upki/keys/nii-odca4g7rsa.cerあとはだいたいツルシの設定に従ったり、http 用の 000-default.conf の内容を反映させたり。
a2enmod ssl a2ensite default-sslして、
% apache2ctl configtest % sudo systemctl reload apache2.service % sudo systemctl status apache2.serviceして変更反映と確認をしてオワリ。あとは 443 を開けてもらう申請をしないと。
ssl_cert = </etc/...で指定する証明書はサーバ鍵と中間証明書を cat で結合させたものにしないと駄目なのであった。 なるほど letsencrypt の fullchain.cer はこれなのね。
set syslogを書いておくと追跡しやすい。ChatGPT o1-preview すごい。
9月 15 20:02:01 eeserv CRON[413635]:...いう感じで日本語 locale になっている模様。どうやら systemd の journal がこうなっちゃっているらしい。
[Manager] Environment=LANG=Cと設定すればいい、とのこと。
eeserv(nakano) ~ [54] localectl status System Locale: LANG=ja_JP.UTF-8 VC Keymap: (unset) X11 Layout: jp X11 Model: pc105出ないサーバは
acserv(nakano) ~ [54] localectl status System Locale: LANG=en_US.UTF-8 LANGUAGE=en_US:en VC Keymap: (unset) X11 Layout: jp X11 Model: pc105という具合。
sudo localectl set-locale LANG=en_US.UTF-8 sudo localectl set-locale LANGUAGE=en_US:enとして reboot したらなおったっぽい。
vacuum(nakano) /var/tmp/keymaps [80] localectl status System Locale: LANG=en_US.UTF-8 LANGUAGE=en_US:en VC Keymap: (unset) X11 Layout: jp X11 Model: pc105 vacuum(nakano) /var/tmp/keymaps [81] localectl list-keymaps|grep jp jp106 vacuum(nakano) /var/tmp/keymaps [82] sudo localectl set-keymap jp106 vacuum(nakano) /var/tmp/keymaps [83] localectl status System Locale: LANG=en_US.UTF-8 LANGUAGE=en_US:en VC Keymap: jp106 X11 Layout: jp X11 Model: jp106 X11 Options: terminate:ctrl_alt_bksp
env SCREENDIR=$PWD/.sshscreen screen -S ssh -c ~/etc/shscreenrcとかで、detach/resume のとき候補にでなくなる。ちなみに ~/etc/shscreenrc はこんな。^T は生文字。
escape ^Ta unsetenv DISPLAY defencoding UTF-8 hardstatus off sessionname term caption always "%{= dm} %-w%{=bu dc}%n %t%{-}%+w %= %{=b dy}%y/%m/%d %{=b dy}%c" screen -t tunnel /home/nakano/bin/sshtunnel.pl detach