シメイビール
川崎ラゾーナにあるSANWAでベルギービールを買ってきた。買ったのはシメイ(SHIMAY)の赤と白。青は以前飲んだので今回は買わなかった。このビール1本400~500円ぐらいする代物なのでお値段が,うーん……と毎回考えてしまうのだが,このコクのある味が良くて,ついつい買ってしまう。
最近,アルコールをがぶがぶ飲むことができなくなったので,量より質(?)というわけで。今日はシメイの赤の方を飲んだ。白は後日かな。
シメイビール
 |
 |
 |
 |
2007年8月アーカイブ
シメイビール
誕生日に休出
本日は云十云歳の誕生日。しかも夏休み。なのに休日出勤。
夏休みのここ数日,
・ 8/14 お盆の親戚周りの時にTEL
・ 8/15 地元の友人と遊んでいる時&飲み会時にTEL
・ 8/16 実家でぐったり寝ているときにTEL
・ 8/17 実家から帰る途中の電車の中でTEL
とまーったく気が休まらない。いつ電話がかかってくるか分からないので休みと言うより感覚的には自宅待機に近くなってしまっている。で,これ以上休みの感覚の日を減らしたくないので,話の進まない電話応対してるより仕事場でさっさと片を付けた方が早い,と判断し出ることにした。本当は携帯電話の電源切って休みたいのだが,そうもいかないし。
で,11:00~20:00ぐらいまで仕事。その後,仕事場の人と飲んで(誕生日ということでおごってもらったが……)終電で帰宅。
なんだか悲しい誕生日だな orz。
帰省
夏休みなので,実家に帰省します。帰宅予定日は8/16です。
実家ではネットワークにつながる環境がないのでしばらく音信不通になります(携帯電話があるけど)。もっとも,blogの更新なんて1週間後にまとめてやったりするので影響はありませんが。
CA構築(2) ー 証明書の発行
CAを作ったら必要に応じて,証明書を発行します。PEM証明書を出す場合と秘密鍵,公開鍵の対であるPKCS#12を出す場合の手順をここで書きます。
1. サーバ証明書(PEM)を作る場合
手順は,(1)秘密鍵を作る,(2)CSRを作る,(3)CA署名をし証明書を発行する,となります。また,Webサービス用の場合,起動時に毎回秘密鍵のパスワードを聞かれるのを防ぐために,秘密鍵のパスワードをはずす場合があります。コマンドベースでの手順は次の通りです。
>openssl genrsa -aes256 -out Server.key 2048
> openssl req -new -key Server.key -out Server.req
> openssl ca -in Server.req -keyfile CA/private/cakey.pem -cert CA/cacert.pem -out Server.pem -startdate YYMMDDHHMMSSZ -enddate YYMMDDHHMMSSZ
> openssl rsa -in Server.key -out Server.key.nopass (Optional)
証明書を使う対象がApache Web Serverの場合,Server.key.nopass(パスワードなしの秘密鍵)およびServer.pem(PEM形式証明書)です。
2. 個人用証明書(PKCS#12)を作る場合
手順は,(1)秘密鍵を作る,(2)CSRを作る,(3)CA署名をし証明書を発行する,(4)秘密鍵と証明書からPKCS#12ファイルを作る,となります。コマンドベースでの手順は次の通りです。
> openssl genrsa -aes256 -out Person.key 2048
> openssl req -new -key Person.key -out Person.req
> openssl ca -in Person.req -keyfile CA/private/cakey.pem -cert CA/cacert.pem -out Person.pem -startdate YYMMDDHHMMSSZ -enddate YYMMDDHHMMSSZ
> openssl pkcs12 -export -inkey Person.key -in Person.pem -out Person.p12 -certfile ShidenCA.cer -aes256
ちなみに,どちらの手順も秘密鍵の鍵長を2048にしていること,有効期限の時刻を明示的に指定していること,秘密鍵とPKCS#12の暗号をAESにしているのは私の趣味(?)です。
いじょ。
CA構築(1) ー 認証局の作成
なんか以前blogに同じネタを書いたけど,移行前のエントリなのでサイト内の検索に引っかからない。折角だから,というわけで書き直す。
1. OpenSSLのインストール
自宅サーバのMac OS Xには標準でOpenSSLが入っているが,最新版をソースからコンパイルした。手順は次の通りで至って普通。
> tar zxvf openssl-0.9.8e.tar.gz
> cd openssl-0.9.8e
> ./config
> make
> make test
> sudo make install
2. 設定ファイルの編集
opensslとCA.shを次のように編集する。
(1)/usr/local/ssl/openssl.cnf
dir = ./CA ... ディレクトリ構成の変更
[ policy_match ] ... CAのDNを変えるために設定変更(都道府県や市町村のエントリを使用しない)
stateOrProvinceName = optional
[ req ] ... 気が向いたので鍵長を増やしてみた
defalt_bits = 2048
[ req_distinguished_name ] ... 構築するCAのDNに併せて値を変更
contryName_defaut = jp
stateOfProvinceName_default =
O.organizationName_default = Shiden
[ usr_cert ]
basicConstraints=CA:TRUE ... CA証明書のために一時的に設定変更
# nsComment = "OpenSSL Generated Certificate" ... 要らん内容なのでコメントアウト
(2) /usr/local/ssl/misc/CA.sh
CADAYS="-starttime 070331150000Z -endtime 170731145959Z"
... CAの有効期限を明示的に定義(これでハマった……)
CATOP=./CA
3. CAを作る
mkdir /var/cert
cd /var/cert
cp /usr/local/ssl/misc/CA.sh .
./CA.sh -newca
CA.shのスクリプト中で,CA秘密鍵パスワードとCAのDNを聞かれるので適時入力。終了後に,/var/cert/CA に認証局が出来る。
4. CA証明書の出力 (おまけ)
PEM形式の証明書が/var/cert/CA/cacert.pemにあるので配布用にDER形式にしてどこかにおく。
openssl x509 -in CA/cacert.pem -out ShidenCA.cer -outform DER
5. 設定ファイルの再編集
今のままだとCA用の証明書を出すので,設定を変えてエンドエンティティ用に変える。
(1)/usr/local/ssl/openssl.cnf
[ usr_cert ] ... エンドエンティティ用証明書に戻す
basicConstraints=CA:FALSE
とりあえずこれで使える(?)証明書が出るはず。いじょ。
出来たCA証明書
証明書エラー (2)
一つ前のエントリでエラーが出たいた原因が判明。
原因は証明書内の有効期限開始時刻と終了時刻のフォーマットが過っていたであった。opensslのstartdate,enddateオプションに "YYMMDDHHMMSSZ" あり, 'Z' って何だろうと思いながら "YYMMDDHHMMSS" で時刻を入力していたのだが,それがまずかったらしい。この 'Z' は文字通り大文字の 'Z' を最後に入力すること ーー たとえば "070801000000Z" のように入力するのが正解。どうやらこれがASN.1のフォーマットのようだ。OpenSSLをアップデートしたりいろいろ調べてみたら1時間後にぐぐったWebでやっとこさ知る。……まだまだ無知だねぇ。
'Z' を入れない場合,入力チェックは通るけど過ったフォーマットの証明書になる。でも,普段使うOpenSSLやWindows(IE?)で証明書の内容を表示させると時間が出てしまうので気づきにくい。さっきのMacでエラーが出た後いくつか試してみたのだが,Firefoxもエラー証明書となる(時刻が表示されない)。意外なところで地雷を踏んだなぁ。
というわけで原因が分かったのでいまからCAを作り直し。別に自分用の証明書しか作っていないのでCAつぶしても影響ないしな。
証明書エラー
以前作った証明書をMacにもインポートしようと思ったのだが,Mac上だとどうしても不良証明書と出てしまう。
下記の画面を見てもらえばわかると思うけど,「時刻文字列のフォーマットが正しくありません」とエラーが出て認識してくれない。ふつーにOpenSSLで作った証明書なんだけどなぁ……。ちと困った。
不良証明書
昼食
なんつっ亭@川崎ラーメンシンフォニーにて。チャーシューメン850円也。
うまかった。が,見ての通り人気のラーメンってどこも味が濃いんだね。1回ならうまくてよいけど何回も連続で来たいとはあんま思わんな……。
チャーシューメン
泳ぐ
朝早起きできたので,午前中からスポーツクラブで泳いでみた(10:00~12:00)。久しぶりに本気で体を動した。確かに疲れたと言えば疲れたのだが,意外に調子は返って良くなったようだ。
しかし,最近忙しすぎてスポーツクラブに通えねぇ……。ここのところ週末の2日に1回が会社なもので,行けて月2~3回がよいところ。会費もバカにならないし,今後また忙しくなるのが予想されるから一端退会すっかなぁ……と考えてみる。
体を動かすなら,自転車(クロスバイク)を買っている(が乗っていない……)からこちらを有効活用すればよいしなぁ。
by 紫電(Mail: shiden at shiden.com)
シメイビール
誕生日に休出
本日は云十云歳の誕生日。しかも夏休み。なのに休日出勤。
夏休みのここ数日,
・ 8/14 お盆の親戚周りの時にTEL
・ 8/15 地元の友人と遊んでいる時&飲み会時にTEL
・ 8/16 実家でぐったり寝ているときにTEL
・ 8/17 実家から帰る途中の電車の中でTEL
とまーったく気が休まらない。いつ電話がかかってくるか分からないので休みと言うより感覚的には自宅待機に近くなってしまっている。で,これ以上休みの感覚の日を減らしたくないので,話の進まない電話応対してるより仕事場でさっさと片を付けた方が早い,と判断し出ることにした。本当は携帯電話の電源切って休みたいのだが,そうもいかないし。
で,11:00~20:00ぐらいまで仕事。その後,仕事場の人と飲んで(誕生日ということでおごってもらったが……)終電で帰宅。
なんだか悲しい誕生日だな orz。
帰省
夏休みなので,実家に帰省します。帰宅予定日は8/16です。
実家ではネットワークにつながる環境がないのでしばらく音信不通になります(携帯電話があるけど)。もっとも,blogの更新なんて1週間後にまとめてやったりするので影響はありませんが。
CA構築(2) ー 証明書の発行
CAを作ったら必要に応じて,証明書を発行します。PEM証明書を出す場合と秘密鍵,公開鍵の対であるPKCS#12を出す場合の手順をここで書きます。
1. サーバ証明書(PEM)を作る場合
手順は,(1)秘密鍵を作る,(2)CSRを作る,(3)CA署名をし証明書を発行する,となります。また,Webサービス用の場合,起動時に毎回秘密鍵のパスワードを聞かれるのを防ぐために,秘密鍵のパスワードをはずす場合があります。コマンドベースでの手順は次の通りです。
>openssl genrsa -aes256 -out Server.key 2048
> openssl req -new -key Server.key -out Server.req
> openssl ca -in Server.req -keyfile CA/private/cakey.pem -cert CA/cacert.pem -out Server.pem -startdate YYMMDDHHMMSSZ -enddate YYMMDDHHMMSSZ
> openssl rsa -in Server.key -out Server.key.nopass (Optional)
証明書を使う対象がApache Web Serverの場合,Server.key.nopass(パスワードなしの秘密鍵)およびServer.pem(PEM形式証明書)です。
2. 個人用証明書(PKCS#12)を作る場合
手順は,(1)秘密鍵を作る,(2)CSRを作る,(3)CA署名をし証明書を発行する,(4)秘密鍵と証明書からPKCS#12ファイルを作る,となります。コマンドベースでの手順は次の通りです。
> openssl genrsa -aes256 -out Person.key 2048
> openssl req -new -key Person.key -out Person.req
> openssl ca -in Person.req -keyfile CA/private/cakey.pem -cert CA/cacert.pem -out Person.pem -startdate YYMMDDHHMMSSZ -enddate YYMMDDHHMMSSZ
> openssl pkcs12 -export -inkey Person.key -in Person.pem -out Person.p12 -certfile ShidenCA.cer -aes256
ちなみに,どちらの手順も秘密鍵の鍵長を2048にしていること,有効期限の時刻を明示的に指定していること,秘密鍵とPKCS#12の暗号をAESにしているのは私の趣味(?)です。
いじょ。
CA構築(1) ー 認証局の作成
なんか以前blogに同じネタを書いたけど,移行前のエントリなのでサイト内の検索に引っかからない。折角だから,というわけで書き直す。
1. OpenSSLのインストール
自宅サーバのMac OS Xには標準でOpenSSLが入っているが,最新版をソースからコンパイルした。手順は次の通りで至って普通。
> tar zxvf openssl-0.9.8e.tar.gz
> cd openssl-0.9.8e
> ./config
> make
> make test
> sudo make install
2. 設定ファイルの編集
opensslとCA.shを次のように編集する。
(1)/usr/local/ssl/openssl.cnf
dir = ./CA ... ディレクトリ構成の変更[ policy_match ] ... CAのDNを変えるために設定変更(都道府県や市町村のエントリを使用しない)
stateOrProvinceName = optional[ req ] ... 気が向いたので鍵長を増やしてみた
defalt_bits = 2048[ req_distinguished_name ] ... 構築するCAのDNに併せて値を変更
contryName_defaut = jp
stateOfProvinceName_default =
O.organizationName_default = Shiden[ usr_cert ]
basicConstraints=CA:TRUE ... CA証明書のために一時的に設定変更
# nsComment = "OpenSSL Generated Certificate" ... 要らん内容なのでコメントアウト
(2) /usr/local/ssl/misc/CA.sh
CADAYS="-starttime 070331150000Z -endtime 170731145959Z"
... CAの有効期限を明示的に定義(これでハマった……)
CATOP=./CA
3. CAを作る
mkdir /var/certCA.shのスクリプト中で,CA秘密鍵パスワードとCAのDNを聞かれるので適時入力。終了後に,/var/cert/CA に認証局が出来る。
cd /var/cert
cp /usr/local/ssl/misc/CA.sh .
./CA.sh -newca
4. CA証明書の出力 (おまけ)
PEM形式の証明書が/var/cert/CA/cacert.pemにあるので配布用にDER形式にしてどこかにおく。
openssl x509 -in CA/cacert.pem -out ShidenCA.cer -outform DER
5. 設定ファイルの再編集
今のままだとCA用の証明書を出すので,設定を変えてエンドエンティティ用に変える。
(1)/usr/local/ssl/openssl.cnf
[ usr_cert ] ... エンドエンティティ用証明書に戻す
basicConstraints=CA:FALSE
とりあえずこれで使える(?)証明書が出るはず。いじょ。
出来たCA証明書
証明書エラー (2)
一つ前のエントリでエラーが出たいた原因が判明。
原因は証明書内の有効期限開始時刻と終了時刻のフォーマットが過っていたであった。opensslのstartdate,enddateオプションに "YYMMDDHHMMSSZ" あり, 'Z' って何だろうと思いながら "YYMMDDHHMMSS" で時刻を入力していたのだが,それがまずかったらしい。この 'Z' は文字通り大文字の 'Z' を最後に入力すること ーー たとえば "070801000000Z" のように入力するのが正解。どうやらこれがASN.1のフォーマットのようだ。OpenSSLをアップデートしたりいろいろ調べてみたら1時間後にぐぐったWebでやっとこさ知る。……まだまだ無知だねぇ。
'Z' を入れない場合,入力チェックは通るけど過ったフォーマットの証明書になる。でも,普段使うOpenSSLやWindows(IE?)で証明書の内容を表示させると時間が出てしまうので気づきにくい。さっきのMacでエラーが出た後いくつか試してみたのだが,Firefoxもエラー証明書となる(時刻が表示されない)。意外なところで地雷を踏んだなぁ。
というわけで原因が分かったのでいまからCAを作り直し。別に自分用の証明書しか作っていないのでCAつぶしても影響ないしな。
証明書エラー
以前作った証明書をMacにもインポートしようと思ったのだが,Mac上だとどうしても不良証明書と出てしまう。
下記の画面を見てもらえばわかると思うけど,「時刻文字列のフォーマットが正しくありません」とエラーが出て認識してくれない。ふつーにOpenSSLで作った証明書なんだけどなぁ……。ちと困った。
不良証明書
昼食
なんつっ亭@川崎ラーメンシンフォニーにて。チャーシューメン850円也。
うまかった。が,見ての通り人気のラーメンってどこも味が濃いんだね。1回ならうまくてよいけど何回も連続で来たいとはあんま思わんな……。
チャーシューメン
泳ぐ
朝早起きできたので,午前中からスポーツクラブで泳いでみた(10:00~12:00)。久しぶりに本気で体を動した。確かに疲れたと言えば疲れたのだが,意外に調子は返って良くなったようだ。
しかし,最近忙しすぎてスポーツクラブに通えねぇ……。ここのところ週末の2日に1回が会社なもので,行けて月2~3回がよいところ。会費もバカにならないし,今後また忙しくなるのが予想されるから一端退会すっかなぁ……と考えてみる。
体を動かすなら,自転車(クロスバイク)を買っている(が乗っていない……)からこちらを有効活用すればよいしなぁ。
by 紫電(Mail: shiden at shiden.com)