ログイン
ユーザ名:

パスワード:


パスワード紛失

新規登録
Main Menu
Tweet
Facebook
Line
:-?
スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
webadm
投稿日時: 2020-12-15 22:14
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
https対応計画
本サイトはhttpsに対応していないので、Google検索とかでお墨付きマークがもらえないという問題が未解決でした。

まあ、正式な認証機関の署名のあるサーバー証明書を手に入れるのが面倒だったのでそのままにしてきたわけですが。

技術的にはhttpsだとSSLを使うので通信の暗号化のための処理オーバーヘッドが伴い、ただでさえ非力なサーバーでは応答が遅くなるというデメリットしかありません。

セキュリティ面を除けば機能的にはhttpと同じなのに暗号化のために性能が犠牲になるというのは納得がいかないわけでした。

ただの言い訳ですね。

最近は格安証明書発行機関が沢山あるので(それでも値段はピンキリですが)、いずれも取得に必須なのは証明書を申請するドメイン名でのメール受信が可能であることに尽きます。

申請するドメイン名以外でのメールアドレスで申請ができてしまっては誰でも虚偽申請ができてしまうので当然といえば当然。

昔は当サイトもメール受信をしていましたが、スパムメールが大量に送り付けられるので(それはどのサイトも同じだと思いますが)、毎日チェックするのも疲れてきたので、連絡はhotmailアドレスを載せています。

証明書を申請するのに、復活させようと思ったのですが、どうやら空きメモリ量がすくないためメールサーバーの起動が失敗するようです。

これを機にずっと前から温めてきたサーバー機アップグレードをしようかと思っています。

それ用に以前に準備したARMの評価ボードがあるのですが、その上に最新のLinuxで環境構築をしようと思います。

最近はラズパイ4とかメモリが沢山のった安いボードもあるので、そっちにしようかとも考えています。

メモリは沢山あったほうがいいよね。

んじゃまた。
webadm
投稿日時: 2020-12-16 1:37
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
Re: https対応計画
その後、現在のサーバーはDebian linuxベースなので標準でexim4がインストールされており、設定を適切にすれば外部からのメールを受信できることが判明。

dpkg-reconfigure exim4-config

を実行してインターネットとのメール送受信設定に変更すると完了。

試しにwebメールアカウントからメールを送信すると受信できることを確認。

これで証明書の申請ができる。

ぽちっと申請手続きを実行。

果たして申請承認確認メールが送られてきた。

だがしかし、メール本文がJISコードでエンコードされているので文字化けして肝心のアクセスするURLがおかしい。

行末の=を削って一行にしてとかやってみたけどだめぽ。

同じ自宅内なら問題ないはずと、PCのweb ブラウザーからurlをコピペしてアクセスするとSyntax errorとか証明書発行機関のページが表示される始末。

受信した生のmboxファイルをメールクライアントにインポートできればいいんだが。

探したらあった、mbox2eml.exeというそのものずばりの無償ツールがあった。

試したら、mbox内のメールがそれぞれhtmlファイルに変換された。

問題の証明機関から送られたメールもきれいにhtml表示になった。

ハイパーリンクになった承認用urlをクリックすると、承認確認ページが表示されたので確認ボタンを押して完了。

後は証明書が送られてくるのを待つのみ。

んじゃまた。
webadm
投稿日時: 2020-12-16 22:39
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
証明書が送られてきた
証明書は申請したサイトではなく申請した際の登録メールアドレスに送られてきた。

あとはこれを使用してhttpsアクセスを有効にするだけだが、それにはまだ作業が必要だった

・apatch httpd server自体ではhttpsはサポートしておらず、mod_sslという拡張モジュールが必要
・現在使用しているlinux distributionは32bit版で古くとっくの昔にサポート対象外になりapt-getでビルド済パッケージもインストールできない
・httpsに必須なopensslも古く脆弱性があるので最新のものにしたいが、ソースからビルドするしかない
・現在使用しているapatch httpdサーバーはapache 1.3.42と古いので最新のものにしたい

ということで、いろいろソースからビルド&インストールすることに。

ARMボードで最新のlinux distribution使ったほうが早くないかという話は代替手段としてとっておくことに。

んじゃまた。
webadm
投稿日時: 2020-12-17 19:40
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
mod_sslの件
現在使用しているapache 1.3.x でhttpsをサポートするには、mod_sslという拡張モジュールが必要ぽい。

ソースコードを入手してみたが、驚愕の事実が発覚。

最新のmod_sslはapache 1.3.41用でそれを最後に更新が止まっている。

それとmod_sslの開発者は厳格な性格だったらしく、サポートするapacheのバージョンを特定していて、apache 1.3.41以外はconfigureすらできない。

apacheのバージョンを特定するファイルを修正すれば回避できたが。

問題は手元にあるapache-1.3.42のソースがconfigureが通らない点。

以前に使用していたソースツリーはいつのまにかファイルシステムの修復時に中身が空っぽになってしまっていた。

どこかにバックアップがとってあったはずだが、たぶん古いメインPCのハードディスクかどこかで探すの面倒なので、本家apacheサイトからダウンロードしたんだけど、現在のlinux環境が当時に比べて新しいのでだめなのかも。

要するにhttpサーバー環境をソースから再構築することができない環境だということが判明。

証明書購入するのはもっとあとでよかったなと反省。

最新のapache2はビルドとインストールができたので、古いmod_sslを無理やり使うのはやめてそっちに切り替えるか。

んじゃまた。
webadm
投稿日時: 2020-12-18 5:09
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
空きメモリが足らない
一応最新のapache 2.4.26 + php 4.4.9 の構成でサーバー環境ができたが、apache2 を起動すると、空きメモリが内ためリクエストを処理するスレッドが起動できなくて、ページが一切アクセスできないことが判明( ´Д`)

apache2だとssl対応が組み込まれているので証明書を置くだけでよいぽ。

やっぱりサーバー機を新調しないと。
webadm
投稿日時: 2020-12-18 6:36
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
httpsアクセスはできたが
元のapache1.3は稼働した状態で、apache2を別ポートとhttpsポートを使用するようにconfigを変更して共存できるようにしたところ、一応はアクセスできるぽい。

しかし想定したののは違っていた。

・chromeブラウザのurlバーに"保護されない通信"は表示されなくなったが、安全マークは表示されず、依然として保護されないサイト扱い(;´Д`)
・トップページを表示するとxoopsのメニューが表示されない。
・他にもフォーラムとかでCGIを使用してレンダリングしている数式とかも表示されない(´Д`;)

使えないな、xoopsの設定でhttps関連で必要なのがあったかも。

んじゃまた。
webadm
投稿日時: 2020-12-18 7:32
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
CGIの問題解決
CGIが機能しないばかりか、CGIのurlをアクセスするとCGIバイナリがダウンロードできてしまうという失態(´Д`;)

原因はapache2ではCGIがmoduleで分離されていて有効にしないとだめだったのが敗因。

有効にしたらCGIを使った数式とかが表示されるようになった、httpsでも同様の結果が得られた。

同時にトップページでxoopsのメニューが表示されなかった問題も解消した。

これで従来のapache1環境と互換になったかな。

しかしhttpsだと依然としてxoopsメニューが表示されない罠。

んじゃまた。
webadm
投稿日時: 2020-12-18 8:18
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
暫定的にhttps対応できた
結局のところ、xoopsでXOOPS_URLというのがhttp://で始まっているのが原因で、すべてのサイト内のリンクがhttps://出始まってしまっているのが敗因。

それとカスタムHTMLのブロックがいくつかあって、それもhttp://と決め打ちで書いていたのを直したら、ブラウザーに保護された接続の表示がされるようになった。

これで当サイトも近代化できた(´∀` )

めでたしめでたし。

これだとapache1を廃止してapache2に切り替えてもよいかもね。

実質httpsだとapache2しか使われないことになるし。

様子を見て安定しているようなら切り替える予定。

んじゃまた。
webadm
投稿日時: 2020-12-18 9:10
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
https対応完了
問題なさそうだったので、apache2側で80番ポートへのアクセスは、httpsにurlを書き換えるように設定を追加することで常に安全な接続になるように変更。

これをもってapache1は役割を追えることになりました。

お疲れ様です。

んじゃまた。
webadm
投稿日時: 2021-12-17 21:03
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
サーバー証明書の延長作業完了
ふう、寒いね(´Д`;)

外は暗い寒いで寝坊しましたよ。

当サイトのSSL証明書の更新期限が迫っているというメールが来たので、早速延長手続きを開始。

送金と延長申請手続きをすると申請したドメイン名のサーバー管理者宛に承認手続きURLが記述されたメールが届くのは最初に申請した時と一緒。

さて、linuxのmbox形式だとURLがエンコードされているので、html形式に変換しないと。

以前にmbox2eml.exeというのを使ったというのは書いたよね。

で、手元のPCで探したけど見つからない?

仕方がないので再ダウンロードして変換をしようと思ったけど、大量に溜まったメールがあるので、古い方の一部しかmboxに保存されない。

どうやったんだっけ?

仕方がないのでmailのスプールディレクトリから直接コピーして、Windows PCに転送し変換をかけた。

以前の最初の申請の際のメールもまだ残っていて、最初間違えてそれの承認URLをクリックしたら怒られた(´Д`;)

日付を確認すればよかった。

今年の今日受信した同じ文面のメールを見つけてそれをクリック。

これも最初と同様に、承認が受け付けられたので、証明書をメールで送りますという旨のページが表示された。

そういえば、証明書自身は申し込み者の登録メールアドレスに送られてくるんだった。

見たらもう届いていた。最初の時と同じ文面な(´Д`;)

で証明書も添付されているけど、内容は期間が延長されているので前回のものとは異なっているのを確認。

早速サーバーのディレクトリの古い証明書を新しいのに切り替えました。

安全のために古いのはリネームして、新しいのを同じアクセスパーミッションで作成。

それだけでは証明書は反映されなかった(´Д`;)

どうやらapache httpサーバーデーモンを再起動する必要があるぽい。

再起動後にスマホのchromeで携帯ネットワーク経由で当サイトが開けるのを確認し証明書の期限も延長された2023年に変わっているのを確認。

ふう、一件落着。

んじゃまた。


スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ

投稿するにはまず登録を
 
ページ変換(Google Translation)
サイト内検索