戯言雑記

 最近のブラザーのプリンタのhttpsの設定方法は 間利用のwebから、ネットワーク→「セキュリティ」タブ 左メニューの「証明書」を選択 証明書と秘密鍵のインポートを選択。 Raspberry PiのopensslでCA構築　- 9/19/2022 ここの最後で作った。PKCS #12 形式の証明書をアップロード これでOKかと思った。 「ネットワーク」タブ、左メニューの「プロトコル」で「Web Based Management (Web Server)」の「HTTPサーバー設定」で証明書の選択で、アップした証明書を選択。再起動がかかるので、そこでつかえるようになる。

 Ubuntuで認証局を作って、SSL　- 12/27/2015 以降、ちょびちょび修正してちゃんと使っていたのだが、その後、CAを構築するほどのことがなかったので、ほったらかしにしていたが、最近のプリンタとかも、管理画面にはいるのにhttpsを使って、かつ証明書を入れれるので、ちゃんと認証局CAを作って運用しようとしたら。結構かかったのでメモ。 https://qiita.com/3244/items/2a2a2dc6cd1e2e35beb9 　 https://qiita.com/bashaway/items/ac5ece9618a613f37ce5 https://qiita.com/cnloni/items/a8c9ae834a7d66f60d08 を参考 /etc/ssl/openssl.cnf　の編集 面倒くさいので10年くらいの有効期間 [ CA_default ] dir = ./demoCA default_days = 3650 default_crl_days= 30 default_md = sha256 (SHA-2への移行対応) 509_extensions = usr_cert 　　　#多分もともと有効 [ req ] req_extensions = v3_req #コメントアウトされているのを戻す [ usr_cert ] basicConstraints=CA:TRUE nsCertType = server subjectAltName = @alt_names # (3) 追加（「usr_cert」ディレクティブの最後に） [ v3_ca ] basicConstraints = CA:true nsCertType = sslCA, emailCA subjectAltName = @alt_names　#[ v3_ca ] の一番最後 [ alt_names ] DNS.1 = example.com ip.1 = 192.168.0.1   認証局を作る sudo openssl req -new -x509 -newkey rsa:2048 -out cacert.pem -keyout priv...

vpnux PKI Managerによる証明書について軽く書いたが 結論から言うと本格的には使えなかった。 IEだと問題ながChrome系だと問題というほどではないが採用できない理由が、Chrome58以降に仕様の変更でhttpsで接続しても「保護されない通信」とでる。ChromeのデベロッパーツールのSecurityで確認すると以下のエラーが出る。 Certificate - Subject Alternative Name missing The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address. Certificate - missing This site is missing a valid, trusted certificate (net::ERR_CERT_COMMON_NAME_INVALID).  Chrome系では証明書のサーバー名を 「CN=」で判断しなくなったためらしい。 とりあえずの証明書として使えるけど、本格採用はできないなー。 

OpneSSLでオレオレ証明書作ってサーバーをhttps化するのって地味にめんどくさい，内部ネットワークで実験的に使うのでそんな厳密な証明書もいらないし，簡単に作れないかと検討．WebminにのWebmin設定の中に「認証局」ってあるので使えるかなと思ったが，使えなかった． でwebminのアドオンでないかと思ったが，あんまりいいのが見つからず． ぶらぶらしていたら vpnux PKI Manager https://www.openvpn.jp/download/ を見つける．Windowsのソフトだが簡単にCAと10年もののサーバー証明書を作れる． 起動すると以下のような画面になり，とりあえず，CAの新規作成を行う． CA作成後サーバー証明書の発行であるが，共通名にサーバーのFQDNを指定して作成すれば，同じディレクトリにcrtとkeyが作られる． 細かい設定とかはできないが，とりあえずの証明書を作るにはとてもお手軽に作ることができる． .crt:いわゆるサーバー証明書 .key:いわゆる秘密鍵 2020.7.12追記 本格的には使えないことは「 vpnux PKI Manager 」にて apacheへのインストール SSLの有効化 サイト： > sudo a2ensite default-ssl 機能：  > sudo a2enmod ssl /etc/apache2/sites-available/default-ssl.conf　を編集 以下を作成したファイルに変更する。 SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key SSLCertificateFile ：サーバ証明書 SSLCertificateKeyFileが秘密鍵 DocumentRootはこちらはこちらで聞くので変更しているときは注意 全てのアクセスのSSL化 /etc/apache2/sites-available/000-default.conf　に<VirtualHost *:80>に以下を追加...

管理WEB画面等々の証明書の変更は。 「設定」の「証明書管理者」から「追加」で 「新しい証明書を作成する」を選択 名前は適当です。 次へ 「SSLプライベートキー／証明をインポート」を選択。次へ 別の証明書機関で作製したファイルもしくは、オレオレ証明書を使う プライベートキーにパスワードのロックのかかっていない.keyファイルを ファイルの中身は -----BEGIN RSA PRIVATE KEY----- で始まる。と 証明書には.crtファイル　中身は -----BEGIN CERTIFICATE----- で始まる。を アップすると自動的にサービスが再起動される。 その後、「設定」の「一般」「管理」でhttpsを有効にすればOK

Chromeがイントラの自己署名証明書を使用したサイトつながらない事例が出ている． かくゆう，うちでも出ている． 原因は以下のようだ https://productforums.google.com/forum/#!topic/chrome-ja/97jbNbyM_b4;context-place=topicsearchin/chrome-ja/category$3ACanary%7Csort:relevance%7Cspell:false 事故証明書の捺印がSHA-1だとダメらしい． そんなバカなSHA-256で証明書つくったはず．と確認，Chromeで証明書を確認する方法がわからない・・・・・・． IEでアクセス．「署名ハッシュアルゴリズム」 sha256 　じゃん． なんで！ スクロール捺印アルゴリズム  sha1 　えぅ，ああ，これか・・・・． 他のサイトを確認，他のサイト捺印アルゴリズムsha1でにエラーにならないね． どうすりゃいいんかね、作り替えるのだが，しばらく放置

この方法では捺印アルゴリズムがsha-1になるので使えません 10年有効にするには 参考 index.txtの頭の記号 V: 有効(Valid) R: 失効(Revoked) そのまま実行すると多分エラーになるので Sign the certificate? [y/n]:y failed to update database TXT_DB error number 2 まず，証明書を失効させる。 $ sudo openssl ca -revoke www_cert.pem ダメなときはindex.txtを編集？ ディレクトリに移動して $ sudo openssl ca -out hoge_cert.pem -infiles hoge_csr.pem $ sudo openssl rsa -in hoge_key.pem -out hoge_key.pem.nopass hoge_cert.pem と vpn-gw_key.pem.nopass をつかう

参考： http://siisise.net/java/tomcat/ssl.html  (つながらないかも) http://transitive.info/2015/06/13/apache-tomcat-on-ubuntu-1404/ apache2のsslを有効にする。 /etc/apache2/sites-available/default-ssl.conf　の編集 SSLCertificateFile /etc/ssl/private/server.crt　　　　（サーバ証明書(署名済み)） SSLCertificateKeyFile /etc/ssl/private/server.key　（サーバ秘密鍵、パスフレーズ無し） でいいのかな。 (その他の設定は適時設定）。設定有効にし、apache 再起動 $ sudo a2ensite default-ssl $ sudo a2enmod ssl $ sudo /etc/init.d/apache2 restart httpsでアクセスできるか確認 apache2とTOMCATの連携 apache2のproxyとproxy_ajpを有効にする。 $ sudo  a2enmod proxy $ sudo  a2enmod proxy_ajp /etc/apache2/conf-available/era.conf を以下のように作成する。 <Location /era/> ProxyPass ajp://localhost:8009/era/ </Location> 有効化  $ sudo a2enconf era   /etc/tomcat7/server.xml  を編集 <Connector port="8080" protocol="HTTP/1.1"            connectionTimeout="20000"            URIEncoding="UTF-8...

オレオレ証明書をwebminに組み込む場合は 前回 作成した証明書を組み込む。 使うのは hoge_key.pem.nopass  (サーバ秘密鍵:パスフレーズ無し版) hoge_cert.pem   (サーバ秘密鍵) 設定を失敗したときのことを考えてminiserv.pem　をバックアップ $ sudo cp /etc/webmin/miniserv.pem /etc/webmin/miniserv.pem.org webminが起動しなくなったら、バックアップを元に戻す。 webminにアクセスし、「webmin」→「Webmin 設定」→「SSL 暗号化」→「 Upload certificate 」タブを開く。 Private key text　の欄に -----BEGIN PRIVATE KEY----- ANBgkqhkiG9w0BAQEFAASCBKcFTmSjhPdHcxSsj3k ・・・・・・・・・・・・・・・・・・・・ mOGXc6k2XgMtXfABqeyMEibzyhGkwiMpvoy8uPnRK6yFInNWIcO NYhJ4N5HG+4xNy0H0B0xYO8= -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIappiqMA0GCSqGSIb3DQEBCwUAMIGRMQswCQYD ・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 1ZQCqEZUXrTonlD0ow== -----END CERTIFICATE----- の形式で記入。 保存して、webminを再起動する。

この方法では捺印アルゴリズムがsha-1になるので使えません 基本的にはここの記事のまま　 http://qiita.com/makoto1899/items/ef15372d4cf4621a674e 下準備 ubuntuの場合はSSLの設定ファイルは　/etc/ssl/openssl.cnf　のようです。 なので、/etc/ssl/openssl.cnf　をまず編集します。ファイルの [ CA_default ] dir            = ./demoCA              # Where everything is kept を、適当なCA用ファイルの保存用のフォルダーに 指定する。 dir             = /etc/ssl/hogeCA 指定したフォルダーの下にディレクトリを作成 $ sudo mkdir -p /etc/ssl/hogeCA/certs $ sudo mkdir -p /etc/ssl/hogeCA/private $ sudo mkdir -p /etc/ssl/hogeCA/crl $ sudo mkdir -p /etc/ssl/hogeCA/newcerts $ sudo chmod 700 private シリアルを初期化する　echo "01" > /etc/ssl/hogeCA/serial　とあるが、どうもうまくいかないので、エディタで書き込む。 証明書データベースを初期化します。 $ sudo touch /etc/ssl/hogeCA/index.txt CA証明書/秘密鍵作成 あとは基本参照サイトそのまま cd /etc/ssl/hogeCA openssl req -new -x509 -newkey rsa:2048 -out cacert.pem -keyout private/cakey.pem -days 1825 パスフレーズを聞かれる、CAのパスワードとなる、 厳重管理注意 。あとは証明書情報...