YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2021-10-06 (水)


[一語一絵/IT系]

SSL available / 2002-08-26 (月)

今日も更に蒸暑い。BGMに『NIAGARA SONGBOOK』を流して気分だけでも爽やかにNamazuの再調整。いちお検索はできるのだが、何度インデックスを更新しても検索画面上の文書・キーワード数が0のままなのだ。このまま公開するのはかなり恥ずかしい。

結局.namazurcではIndexを指定するだけで良かった。ご丁寧にTemplateも指定してたから、いつまで経っても更新前の雛形しか表示されなかったわけで…。ちなみに~/.namazurcでなくcgiと一緒に置く.namazurcのIndexはfull pathで書くべし。実行アカウントを考えれば当たり前の話だけど。

またしても素麺で簡単にお昼を済ませ、今度はSSLの導入。apache/mod_ssl/OpenSSLをインストールした後でサーバーキー(/usr/local/ssl/private/serverkey.pem)を生成し、それを元に申請書(/usr/local/ssl/csr.pem)を作成。それをベリサインに送って有効期限2週間のテスト用サーバID(/usr/local/ssl/certs/cert.pem)を取得。意外と簡単。

/etc/httpd/conf/httpd.confにSSLのディレクティブを追加し、キーと証明書は/etc/httpd/conf/ssl.keyとssl.crtから/usr/local/ssl/にシンボリックリンクを張って、/usr/sbin/apachectl startsslで起動。最初はダメだったが、httpd.confをよーくみると追加したディレクティブでportが8080,8443になっていたのを発見し、80,443に直したら万事OKとなった。めでたしめでたし。

と、ここでipchainsで閉じているハズのport 443がなんでOKなの?そういえばSSHもいきなり使えたし。と思って/sbin/ipchains -L -nしたらnot compatibleなエラーと言われて、ファイアウォールであるipchainsが全く働いていない事が発覚。慌てて"Network packet filtering"と"ipchains (2.2-style) support"を有効にしてkernelをrebuiled。さらによ〜く調べると、ファイアウォールはいつしかiptablesが基本でipchainsが起動されるのはランレベル2だけになっていたので、ipchainsをエースに復権させる。あぶないあぶない。

そんなこんなで21時を過ぎ、昨日に続いて対馬行きの準備が間に合わなくなってしまう。もちっとやらないかん事はあるんで、来月出直すとするか。いつでも出られると思うとなかなか出られないなぁ。

実際にSSLを使う為には有効期限の長いサーバIDが必要だ。かと言ってベリサイン等の企業に頼むと当然費用が発生するので、独自の認証局(CA)を自前で建てる事にする。つまり自分で自分を証明するワケなので身元証明としての信頼性は無いに等しい。だが、通信途中でデータを盗聴されたりする事は防ぐ事ができるので、発行元が信頼できるのならば何もしないよりはマシだと言えよう。

というわけでゴソゴソやってできた!と思ったのだが、実は翌日できてなかった事がわかったので間違った記述はばっさり削除。諸行無常の響きあり。

参照
@IT - Linux Square
 -連載 ApacheによるWebサーバ構築
Linux JF (Japanese FAQ) Project
 -安全な RedHat Apache サーバの構築方法
日本ベリサイン
 -テスト用ID無料取得