Tsukiji Systems
RSS1.0


googleで
サイト内検索
このブログ
を検索!
  help

巻き戻し中。

2017年
8月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31


2017-08-14(月) Let'sEncrypt [長年日記]

_ PC 夏休みの

工作というかアレ。

ウチの鯖は「daemon5.uekusa-com.com」だけが正式なSSL証明書を持っていた。*1

今まではhttpsでのリクエストでFQDNが「daemon5.uekusa-com.com」以外だったらmod_rewiteで書き直していた。

でも、uekusa.(jp/com/info/org)もちゃんとしないとなぁということで、お金のかからないLet'sEncryptで(゚∀゚)

解説サイトhttps://letsencrypt.jp/を見ながらcertbotを入れる。

結構簡単にできるねこれ。

「certbot certonly」で-dに別名が指定できる。

ウチだと「uekusa.jp」「daemon5.uekusa.jp」「www.uekusa.jp」みたいにドメイン名のみ/FQDN/Webとかあるのが全部指定できるの助かる。

で、cronに「certbot renew」を一日一度仕掛けておけば期限切れ前に自動更新してくれる(はず)。

*1 とは言ってもRapidSSLのお安いの!

_ PC HSTS

HSTSの絡みでサブドメインでDNS設定していた内部ドメインのWebアクセスがちょっと影響受けて嵌まった(´・ω・`)

つか、HSTSはなんでドメイン単位で設定/判断しちゃうんだ・・・

こちらのページとかこちらを参考に対応。

この規格考えたヤツ、自分の裕福な単一組織のことしか考えてなかったろ?

世の中にはサブドメイン毎に管理人が違ったり、内部ドメインにまで証明書買うほどお金が無い人だっているんだぞo(`ω´*)o*1

*1 いやま、「内部はオレオレ証明書でもSSLにしとけばいいいんじゃね?」という解もあるけどねぇ

_ PC 4096bit

Let'sEncryptをcertbotのデフォで取得すると2048bitの証明書になる。

せっかくやるなら、デフォの2048bitじゃなくて「--rsa-key-size 4096」でw

え?性能?いやいや、今時大丈夫でしょ??(白目



アクセスカウンター!
累計:
本日:
昨日:
最近のツッコミ

(´・ω・`)ショボーン