ログイン
ユーザ名:

パスワード:


パスワード紛失

新規登録
Main Menu
Tweet
Facebook
Line
スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
webadm
投稿日時: 2020-12-15 13:14
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
https対応計画
本サイトはhttpsに対応していないので、Google検索とかでお墨付きマークがもらえないという問題が未解決でした。

まあ、正式な認証機関の署名のあるサーバー証明書を手に入れるのが面倒だったのでそのままにしてきたわけですが。

技術的にはhttpsだとSSLを使うので通信の暗号化のための処理オーバーヘッドが伴い、ただでさえ非力なサーバーでは応答が遅くなるというデメリットしかありません。

セキュリティ面を除けば機能的にはhttpと同じなのに暗号化のために性能が犠牲になるというのは納得がいかないわけでした。

ただの言い訳ですね。

最近は格安証明書発行機関が沢山あるので(それでも値段はピンキリですが)、いずれも取得に必須なのは証明書を申請するドメイン名でのメール受信が可能であることに尽きます。

申請するドメイン名以外でのメールアドレスで申請ができてしまっては誰でも虚偽申請ができてしまうので当然といえば当然。

昔は当サイトもメール受信をしていましたが、スパムメールが大量に送り付けられるので(それはどのサイトも同じだと思いますが)、毎日チェックするのも疲れてきたので、連絡はhotmailアドレスを載せています。

証明書を申請するのに、復活させようと思ったのですが、どうやら空きメモリ量がすくないためメールサーバーの起動が失敗するようです。

これを機にずっと前から温めてきたサーバー機アップグレードをしようかと思っています。

それ用に以前に準備したARMの評価ボードがあるのですが、その上に最新のLinuxで環境構築をしようと思います。

最近はラズパイ4とかメモリが沢山のった安いボードもあるので、そっちにしようかとも考えています。

メモリは沢山あったほうがいいよね。

んじゃまた。
webadm
投稿日時: 2020-12-15 16:37
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
Re: https対応計画
その後、現在のサーバーはDebian linuxベースなので標準でexim4がインストールされており、設定を適切にすれば外部からのメールを受信できることが判明。

dpkg-reconfigure exim4-config

を実行してインターネットとのメール送受信設定に変更すると完了。

試しにwebメールアカウントからメールを送信すると受信できることを確認。

これで証明書の申請ができる。

ぽちっと申請手続きを実行。

果たして申請承認確認メールが送られてきた。

だがしかし、メール本文がJISコードでエンコードされているので文字化けして肝心のアクセスするURLがおかしい。

行末の=を削って一行にしてとかやってみたけどだめぽ。

同じ自宅内なら問題ないはずと、PCのweb ブラウザーからurlをコピペしてアクセスするとSyntax errorとか証明書発行機関のページが表示される始末。

受信した生のmboxファイルをメールクライアントにインポートできればいいんだが。

探したらあった、mbox2eml.exeというそのものずばりの無償ツールがあった。

試したら、mbox内のメールがそれぞれhtmlファイルに変換された。

問題の証明機関から送られたメールもきれいにhtml表示になった。

ハイパーリンクになった承認用urlをクリックすると、承認確認ページが表示されたので確認ボタンを押して完了。

後は証明書が送られてくるのを待つのみ。

んじゃまた。
webadm
投稿日時: 2020-12-16 13:39
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
証明書が送られてきた
証明書は申請したサイトではなく申請した際の登録メールアドレスに送られてきた。

あとはこれを使用してhttpsアクセスを有効にするだけだが、それにはまだ作業が必要だった

・apatch httpd server自体ではhttpsはサポートしておらず、mod_sslという拡張モジュールが必要
・現在使用しているlinux distributionは32bit版で古くとっくの昔にサポート対象外になりapt-getでビルド済パッケージもインストールできない
・httpsに必須なopensslも古く脆弱性があるので最新のものにしたいが、ソースからビルドするしかない
・現在使用しているapatch httpdサーバーはapache 1.3.42と古いので最新のものにしたい

ということで、いろいろソースからビルド&インストールすることに。

ARMボードで最新のlinux distribution使ったほうが早くないかという話は代替手段としてとっておくことに。

んじゃまた。
webadm
投稿日時: 2020-12-17 10:40
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
mod_sslの件
現在使用しているapache 1.3.x でhttpsをサポートするには、mod_sslという拡張モジュールが必要ぽい。

ソースコードを入手してみたが、驚愕の事実が発覚。

最新のmod_sslはapache 1.3.41用でそれを最後に更新が止まっている。

それとmod_sslの開発者は厳格な性格だったらしく、サポートするapacheのバージョンを特定していて、apache 1.3.41以外はconfigureすらできない。

apacheのバージョンを特定するファイルを修正すれば回避できたが。

問題は手元にあるapache-1.3.42のソースがconfigureが通らない点。

以前に使用していたソースツリーはいつのまにかファイルシステムの修復時に中身が空っぽになってしまっていた。

どこかにバックアップがとってあったはずだが、たぶん古いメインPCのハードディスクかどこかで探すの面倒なので、本家apacheサイトからダウンロードしたんだけど、現在のlinux環境が当時に比べて新しいのでだめなのかも。

要するにhttpサーバー環境をソースから再構築することができない環境だということが判明。

証明書購入するのはもっとあとでよかったなと反省。

最新のapache2はビルドとインストールができたので、古いmod_sslを無理やり使うのはやめてそっちに切り替えるか。

んじゃまた。
webadm
投稿日時: 2020-12-17 20:09
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
空きメモリが足らない
一応最新のapache 2.4.26 + php 4.4.9 の構成でサーバー環境ができたが、apache2 を起動すると、空きメモリが内ためリクエストを処理するスレッドが起動できなくて、ページが一切アクセスできないことが判明( ´Д`)

apache2だとssl対応が組み込まれているので証明書を置くだけでよいぽ。

やっぱりサーバー機を新調しないと。
webadm
投稿日時: 2020-12-17 21:36
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
httpsアクセスはできたが
元のapache1.3は稼働した状態で、apache2を別ポートとhttpsポートを使用するようにconfigを変更して共存できるようにしたところ、一応はアクセスできるぽい。

しかし想定したののは違っていた。

・chromeブラウザのurlバーに"保護されない通信"は表示されなくなったが、安全マークは表示されず、依然として保護されないサイト扱い(;´Д`)
・トップページを表示するとxoopsのメニューが表示されない。
・他にもフォーラムとかでCGIを使用してレンダリングしている数式とかも表示されない(´Д`;)

使えないな、xoopsの設定でhttps関連で必要なのがあったかも。

んじゃまた。
webadm
投稿日時: 2020-12-17 22:32
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
CGIの問題解決
CGIが機能しないばかりか、CGIのurlをアクセスするとCGIバイナリがダウンロードできてしまうという失態(´Д`;)

原因はapache2ではCGIがmoduleで分離されていて有効にしないとだめだったのが敗因。

有効にしたらCGIを使った数式とかが表示されるようになった、httpsでも同様の結果が得られた。

同時にトップページでxoopsのメニューが表示されなかった問題も解消した。

これで従来のapache1環境と互換になったかな。

しかしhttpsだと依然としてxoopsメニューが表示されない罠。

んじゃまた。
webadm
投稿日時: 2020-12-17 23:18
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
暫定的にhttps対応できた
結局のところ、xoopsでXOOPS_URLというのがhttp://で始まっているのが原因で、すべてのサイト内のリンクがhttps://出始まってしまっているのが敗因。

それとカスタムHTMLのブロックがいくつかあって、それもhttp://と決め打ちで書いていたのを直したら、ブラウザーに保護された接続の表示がされるようになった。

これで当サイトも近代化できた(´∀` )

めでたしめでたし。

これだとapache1を廃止してapache2に切り替えてもよいかもね。

実質httpsだとapache2しか使われないことになるし。

様子を見て安定しているようなら切り替える予定。

んじゃまた。
webadm
投稿日時: 2020-12-18 0:10
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2934
https対応完了
問題なさそうだったので、apache2側で80番ポートへのアクセスは、httpsにurlを書き換えるように設定を追加することで常に安全な接続になるように変更。

これをもってapache1は役割を追えることになりました。

お疲れ様です。

んじゃまた。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ

投稿するにはまず登録を
 
ページ変換(Google Translation)
サイト内検索