連休前の作業
の続き。
シリアル番号は 16 進じゃなくて 10 進で入れる必要があって、高教センターの担当の方から差し戻しがあった。どうもすみませんでした。
ということで
0912 の日記
に追記したようにして 10 進数に変換し、
TSV ツールで「作成開始」の遷移後、「作成済み TSV の編集」タブから旧 TSV を読み込んで、シリアル番号を書き換えて再送した。
無事 NII からメールがきたので以下↓に続く。
@
サーバ作業:
おおむね
去年といっしょ。
- メールのリンクから HOSTNAME_FQDN.cer をダウンロード
- HOSTNAME.key の鍵を外して server.key に
して、HOSTNAME_FQDN.cer と server.key を、去年置いた /etc/upki/keys/ のものと置換し、apache2 を restart しておわり。
もちろんそれぞれ適宜バックアップはとった。
中間 CA 証明書 (RSA) の nii-odca4g7rsa.cer は
こちら
によれば 2029/5/29 が有効期間末のようなので、今回は更新の必要なし。
dovecot には fullchain.cer がいるので、surf.st.seikei.ac.jp.cer と nii-odca4g7rsa.cer を cat して作成して dovecot を再起動。
それぞれの https で有効期間が 2025/9/16-2026/10/17 になっていることは確認できた。
fetchmail もちゃんと取れているようなので OK。おつかれさまでした>わたし
日記に書くものか、という気もするが。
特にコメントなく書いてあるのは /etc/crontab のエントリ。
@
surf:
fsserv から ssh forward したポートを使って
15 3 * * * root /usr/local/sbin/backup2fsserv
@
acserv, eeserv:
それぞれ /etc/rsyncd.conf を設定してあって、fsserv から以下のタイミングで取得。
55 4 * * * root /usr/local/sbin/backup-webservers
@
fsserv:
研究室のネットワーク外にある各ホスト (surf, acserv, eeserv) と migrate のバックアップ引き受け先。
/opt に btrfs を作ってマウントしたのち、
btrfs subvolume create /opt/backup
btrfs subvolume create /opt/snapshot
する。
50 23 * * * root /usr/local/sbin/snap-btrfs
の中身は
#!/bin/sh
SRCDIR=/opt/backup
DUMPDIR=/opt/snapshots
TODAY=$(date +%Y/%m/%d)
DSTDIR=$DUMPDIR/$TODAY
PARENT=$(dirname "$DSTDIR")
mkdir -p $PARENT
/bin/btrfs filesystem sync $SRCDIR
/bin/btrfs subvolume snapshot -r $SRCDIR $DSTDIR
という感じで。
自分自身のバックアップは
15 4 * * * root /usr/local/sbin/backup2migrate
で送る。
@
migrate:
研究室のネットワークにある各ホスト (film, uhvsp, vacuum, fsserv) のバックアップ引き受け先(/etc/rsyncd.conf)。
/opt/backup & /opt/snapshot のペアに加え、自分の /home を履歴で取るために /opt/home & /opt/bhome を作ってある。
15 6 * * * root /usr/local/sbin/backup2fsserv
55 23 * * * root /usr/local/sbin/snap-btrfs
自分自身の /home は
5 1 * * * root /usr/local/sbin/backup-home
@
film:
30 3 * * * root /usr/local/sbin/backup2migrate
@
uhvsp:
45 4 * * * root /usr/local/sbin/backup2migrate
@
vacuum:
45 3 * * * root /usr/local/sbin/backup2migrate
去年やったやつ
の更新。csr を作るところまでは全く同じ。
NII の TSV 作成サービス
で「作成開始」。
遷移したページで
TSV ファイル種別→更新申請用 TSV
証明書種別→サーバ証明書
証明書プロファイル→3: サーバ証明書(sha256WithRSAEncryption)
にして「この内容で作成を開始」
遷移したページで、CSR ファイルを読み込んだあと、去年と同様に
主体者DN→入っているのでそのまま
失効対象証明書シリアル番号→[後述]
サーバFQDN→入っているのでそのまま
利用管理者E-mail→いれる
利用管理者氏名→管理者のフルネーム(ローマ字表記が無難)
利用管理者所属→Faculty of Science and Engineering
Webサーバソフトウェア名等→apache2.4
dNSName→IPアドレスが同じで別のFQDNを持つ場合、dNSName=[CNAME]
とする。dNSName は、surf / acserv に CNAME があるのでそれを。
失効対象証明書シリアル番号は、去年置いた /etc/upki/keys/HOSTNAME.csr に対して
# openssl x509 -in HOSTNAME.csr -noout -serial
を実行すると
serial=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
というのが出てくるので XXX...X の部分をコピペ。
(0916追記)
この出力は 16 進だが、UPKI は 10 進でシリアルを与える必要があった。
echo "ibase=16; XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" | bc
で 10 進の変換値が出るので、それを入れる。
これで完了すると TSV がダウンロードできる。
あとは去年と同様の作業。秘密日記に。
samba-ad-dc は dns サーバを兼ねるので、既存の nsd/unbound との整合をとった。
具体的には、ドメイン emplab.st.seikei.ac.jp の正引きは samba-ad-dc に任せ、逆引き(とそれ以外の外のサーバ)
を既存のサーバに forward することにした。ChatGPT さんとの会話のリンクは、ちょっと生々しいので秘密日記へ。
共有に新規ファイルを作ると uid 30000 になるという謎の現象に悩まされていたのだが(既存のファイルにはちゃんとアクセスできて読み書きできる)、ユーザ nakano を "Domain Admins" から抜いてみたら、という suggstion を例によって ChatGPT さんにもらって、たぶん解決できたっぽい。これ他に困ってるひといないかねえ。
samba-ad-dc に対して、ローカルに sssd で繋ぎにいくのはご法度らしく、winbind で繋ぐのだ、と言われて、すると getent passwd nakano とか id nakano で引いたユーザ名が Domain\name 形式になっちゃう。また shell が DC に登録した通りにうまく渡らない。まあ ad-dc サーバをメインで使わなければいいんだが。しかしもにょる。
というわけで、まあ migrate を研究室のメインサーバにできる目処が立ったので、いろいろ修正中。バックアップも見直さないと。