無料SSL証明書発行サービスのLet's Encryptがついに正式公開
2016/04/14 Thu.
無料でSSLサーバー証明書を発行してくれるサービス「Let's Encrypt」がついにベータ版を脱皮、正式版となりました。
「ベータ版だから様子見」だった方たちの(私です)、サーバー導入が加速するでしょうね。
すでにファーストサーバさんは「Zenlogic[ゼンロジック]
」というクラウドサーバーでLet's Encryptを導入されていますが、他社のレンタルサーバーでも採用されるのは間違いないでしょうから、これからのURLは
https://~
というのが当たり前になるんでしょうね。
HTTP/2待ったなし!
仮サーバーの上で動作検証するだけのお仕事が始まるお。
「ベータ版だから様子見」だった方たちの(私です)、サーバー導入が加速するでしょうね。
すでにファーストサーバさんは「Zenlogic[ゼンロジック]
」というクラウドサーバーでLet's Encryptを導入されていますが、他社のレンタルサーバーでも採用されるのは間違いないでしょうから、これからのURLはhttps://~
というのが当たり前になるんでしょうね。
HTTP/2待ったなし!
仮サーバーの上で動作検証するだけのお仕事が始まるお。
category: サーバー
WinSCPでサーバーに接続できないのだが
2016/04/01 Fri.
仕事する気ないのでパソコンのOSを入れなおした。
WinSCPの最新バージョン(5.7.7)を入れた。
エクスポートでバックアップしていたWinSCPの設定ファイルを読み込ませサーバーへ接続。
ユーザー認証まで正常に動くがそこで固まりサーバーとの接続が切れる。
なんで?
ログを見ても良くわからないが、とりあえず分ったこと。
WinSCP5.5.5:SCP接続OK。
WinSCP5.7.7:SCP接続NG。
WinSCP5.7.7:SFTP接続OK。
サーバーは何も変わってないし、5.5.5ならSCP接続できる。WinSCP5.7でなにか変わったのかなあ。
SCPとSFTPの違いはこちらが詳しい。
WinSCPの最新バージョン(5.7.7)を入れた。
エクスポートでバックアップしていたWinSCPの設定ファイルを読み込ませサーバーへ接続。
ユーザー認証まで正常に動くがそこで固まりサーバーとの接続が切れる。
なんで?
ログを見ても良くわからないが、とりあえず分ったこと。
WinSCP5.5.5:SCP接続OK。
WinSCP5.7.7:SCP接続NG。
WinSCP5.7.7:SFTP接続OK。
サーバーは何も変わってないし、5.5.5ならSCP接続できる。WinSCP5.7でなにか変わったのかなあ。
SCPとSFTPの違いはこちらが詳しい。
category: サーバー
突然メールサーバーがメールを送信できなくなったときのメモ
2016/02/27 Sat.
お守りをしているサーバーが、突然、メールを送信できなくなった。
「/var/log/maillog」を見てみる。
ん?本日朝7時以降、以下のようなエラーメッセージだらけだ。
deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
なんだこれは?
「/var/log/maillog」を見てみる。
ん?本日朝7時以降、以下のようなエラーメッセージだらけだ。
deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
なんだこれは?
category: サーバー
レンタルサーバの「ファーストサーバ」が無料SSL証明書はじめました
2016/02/24 Wed.
こちらの記事で紹介していた無料でSSL証明書を発行してくれる「Let's Encrypt」が一般にも公開されるようになり、当方もテスト利用してみたところ、簡単に導入でき便利だなと感じました。
ただ、現段階ではまだ「パブリック・ベータ」つまり「試験運用中」のサービスですので、本可動サーバーに導入するのは躊躇していたのですが、なんと、国内大手のレンタルサーバー会社「ファーストサーバ」が、同社のクラウドサーバ「Zenlogic[ゼンロジック]」に「Let's Encrypt」SSL証明書を導入したとのことです。
もちろん、SSL証明書の利用料は無料で、Let's Encryptのシステム構築は同社が行い、利用者は申し込むだけで利用できるようです。
なんだか盛り上がってまいりましたね。
ただ、現段階ではまだ「パブリック・ベータ」つまり「試験運用中」のサービスですので、本可動サーバーに導入するのは躊躇していたのですが、なんと、国内大手のレンタルサーバー会社「ファーストサーバ」が、同社のクラウドサーバ「Zenlogic[ゼンロジック]
」に「Let's Encrypt」SSL証明書を導入したとのことです。もちろん、SSL証明書の利用料は無料で、Let's Encryptのシステム構築は同社が行い、利用者は申し込むだけで利用できるようです。
なんだか盛り上がってまいりましたね。
category: サーバー
Dovecotに複数SSL証明書を設定する方法
2016/02/10 Wed.
DOVECOT2の設定です。
複数ドメインでメールを運用していて、ドメインごとにSSLサーバ証明書を取得し、それをDOVECOTに設定する場合の備忘録。
以下のドメインを運用している場合
toriatama.bird
birdhead.tori
このとき、先頭2行の
ssl_cert = <
ssl_key = <
は必ず必要なようです。
なので、メインとなる証明書を先頭2行で指定し、それ以外の証明書を「local_name」で設定するといいかも。
複数ドメインでメールを運用していて、ドメインごとにSSLサーバ証明書を取得し、それをDOVECOTに設定する場合の備忘録。
以下のドメインを運用している場合
toriatama.bird
birdhead.tori
10-ssl.conf
ssl_cert = </toriatama.bird/imaps.pem
ssl_key = </toriatama.bird/imaps.pem
local_name birdhead.tori {
ssl_cert = </birdhead.tori/imaps.pem
ssl_key = </birdhead.tori/imaps.pem
}
上記のように書く。ssl_key = </toriatama.bird/imaps.pem
local_name birdhead.tori {
ssl_cert = </birdhead.tori/imaps.pem
ssl_key = </birdhead.tori/imaps.pem
}
このとき、先頭2行の
ssl_cert = <
ssl_key = <
は必ず必要なようです。
なので、メインとなる証明書を先頭2行で指定し、それ以外の証明書を「local_name」で設定するといいかも。
category: サーバー
PORTS備忘録
2016/02/02 Tue.
PORTSを最新に保つツールに「portsnap」があります。
それの備忘録。
●最新のスナップショットを取得する
┃ # portsnap fetch
┃
┣●初めてportsnapを使用した場合
┃ # portsnap extract
┃
┗●2回目以降の「fetch」の後は
# portsnap update
●PORTSの更新作業遅いなあ。あっ!そんなとき
/etc/portsnap.conf
の中の、コメントアウトされている以下2行
の「#」を消してコメント解除する。
そして、「japanese」という文字だけ削除すると、日本語以外の言語関連のPORTSを更新しなくなる。
それの備忘録。
●最新のスナップショットを取得する
┃ # portsnap fetch
┃
┣●初めてportsnapを使用した場合
┃ # portsnap extract
┃
┗●2回目以降の「fetch」の後は
# portsnap update
●PORTSの更新作業遅いなあ。あっ!そんなとき
/etc/portsnap.conf
の中の、コメントアウトされている以下2行
# REFUSE arabic chinese french german hebrew hungarian japanese
# REFUSE korean polish portuguese russian ukrainian vietnamese
# REFUSE korean polish portuguese russian ukrainian vietnamese
の「#」を消してコメント解除する。
そして、「japanese」という文字だけ削除すると、日本語以外の言語関連のPORTSを更新しなくなる。
category: サーバー
FreeBSDに無料SSL証明書letsencrypt導入テスト
2016/01/28 Thu.
ちょうど1年前に書いた無料SSL証明書発行サービス「Let's Encrypt」の、パブリック・ベータ版が先月公開されました。
今回、テストサーバーで試行錯誤しながらなんとか動作確認できましたので、導入方法、SSL関連ファイルのことなどを備忘録しておこうと思います。
今回、テストサーバーで試行錯誤しながらなんとか動作確認できましたので、導入方法、SSL関連ファイルのことなどを備忘録しておこうと思います。
category: サーバー
APACHE設定ファイルにブラウザのキャッシュコントロールを記述する
2015/12/02 Wed.
運営しているサイトのアクセスログを見ていると、人間のフリをしたロボットっぽい奴がいる。
しかし、確証はないので一旦ワンクッションページにリダイレクトさせて様子を見ることにした。
その仕組みを構築し、テストでうまくリダイレクトされることを確認。OK。
次に、リダイレクトに引っかからないパターンもテストしたら飛ばされた。
れれ?
調べた結果、ブラウザはリダイクトの情報もキャッシュすることがわかった。
一度リダイレクトで飛んだので、そのアドレスにアクセスしたら有無を言わさず飛ばされてしまう。
うーむこれではリダイレクトの条件に引っかかった人は永久に飛ばされることになる。
ブラウザにキャッシュさせない命令を.htaccessに書けないかしら?と調べたらちゃんとあった。
Header ディレクティブ
Header set Pragma no-cache
Header set Cache-Control no-cache
これでキャッシュされなくなりました。
しかし、確証はないので一旦ワンクッションページにリダイレクトさせて様子を見ることにした。
その仕組みを構築し、テストでうまくリダイレクトされることを確認。OK。
次に、リダイレクトに引っかからないパターンもテストしたら飛ばされた。
れれ?
調べた結果、ブラウザはリダイクトの情報もキャッシュすることがわかった。
一度リダイレクトで飛んだので、そのアドレスにアクセスしたら有無を言わさず飛ばされてしまう。
うーむこれではリダイレクトの条件に引っかかった人は永久に飛ばされることになる。
ブラウザにキャッシュさせない命令を.htaccessに書けないかしら?と調べたらちゃんとあった。
Header ディレクティブ
Header set Pragma no-cache
Header set Cache-Control no-cache
これでキャッシュされなくなりました。
category: サーバー
NVR500のマルチ・セッション利用時にLAN内サーバーアクセスIP制御で悩んだ備忘録
2015/10/28 Wed.
NVR500に動的グローバルアドレスと固定グローバルアドレスのマルチ・セッションを設定しており、
動的IPをデフォルト、LAN内のパソコン用インターネット回線。
固定IPをLAN内のサーバー専用回線としている場合、
※補足
●WAN側に回線が二本接続されているように見えますが、マルチ・セッションをわかりやすく分けて表現しているだけです。
●WANとLANが直結しているように見えるのは、サーバーとパソコンがそれぞれの契約回線を使ってインターネット通信を行っているという意味です。NVR500の「自動接続先/複数プロバイダ接続の設定」のことです。
NVR500はヘアピンNAT機能が使えるので、この内容でLAN内パソコンからLAN内サーバーへドメイン名でアクセスする(http://virtualhost.my1.com/など)と、動的グローバルIPでサーバーに接続します。
ウェブサーバーへのアクセス程度ならこれでもいいのですが、メールサーバーやTELNET接続など、接続IPアドレスを制限したい場合は動的IPでは制御できません。
そこで、次のような接続方法が使えるか試行錯誤したので備忘録メモ。
●ローカルIPアドレスでの接続(ただしhostsは使わない)
●LAN内サーバーに接続するときのみ固定IP回線を使う
動的IPをデフォルト、LAN内のパソコン用インターネット回線。
固定IPをLAN内のサーバー専用回線としている場合、
※補足
●WAN側に回線が二本接続されているように見えますが、マルチ・セッションをわかりやすく分けて表現しているだけです。
●WANとLANが直結しているように見えるのは、サーバーとパソコンがそれぞれの契約回線を使ってインターネット通信を行っているという意味です。NVR500の「自動接続先/複数プロバイダ接続の設定」のことです。
NVR500はヘアピンNAT機能が使えるので、この内容でLAN内パソコンからLAN内サーバーへドメイン名でアクセスする(http://virtualhost.my1.com/など)と、動的グローバルIPでサーバーに接続します。
ウェブサーバーへのアクセス程度ならこれでもいいのですが、メールサーバーやTELNET接続など、接続IPアドレスを制限したい場合は動的IPでは制御できません。
そこで、次のような接続方法が使えるか試行錯誤したので備忘録メモ。
●ローカルIPアドレスでの接続(ただしhostsは使わない)
●LAN内サーバーに接続するときのみ固定IP回線を使う
category: サーバー
Apache起動備忘録
2015/10/01 Thu.
httpd.conf に RewriteLog を記載した際、その指定したディレクトリが存在してなくても一見正常に起動したように見せかけて実はエラーを吐いて死んでいる。
(例)
# ee httpd.conf
RewriteLog /usr/home/apache39/rewrite.log
↑と指定したけど実はそんなディレクトリ存在しないとする
# httpd -t
Syntax OK
↑ルートディレクトリがない場合はエラーを返すが、この場合はエラーにならない
# httpd -k start
<SSLパスフレーズ入力>
OK: Pass Phrase Dialog successful.
↑いつものように起動したように見える
# tail httpd-error.log
Configuration Failed
↑エラーを吐いて死んでいる
ちなみに、
httpd -k restart
httpd -k graceful
はSSLパスフレーズの入力が不要でAPACHEを再起動する。
違いは、
restart は強制的再起動(昭和の親父)
graceful は稼働中の子プロセスが終わるのを待って再起動(平成の親父)
(例)
# ee httpd.conf
RewriteLog /usr/home/apache39/rewrite.log
↑と指定したけど実はそんなディレクトリ存在しないとする
# httpd -t
Syntax OK
↑ルートディレクトリがない場合はエラーを返すが、この場合はエラーにならない
# httpd -k start
<SSLパスフレーズ入力>
OK: Pass Phrase Dialog successful.
↑いつものように起動したように見える
# tail httpd-error.log
Configuration Failed
↑エラーを吐いて死んでいる
ちなみに、
httpd -k restart
httpd -k graceful
はSSLパスフレーズの入力が不要でAPACHEを再起動する。
違いは、
restart は強制的再起動(昭和の親父)
graceful は稼働中の子プロセスが終わるのを待って再起動(平成の親父)
category: サーバー
