tksm.org

ESXi4 がダウンロード可になったようです。今ESXをちょうどインストールする案件があるのだけど、4で行っちゃうと逝っちゃうだろうか(^^;
https://www.vmware.com/jp/download/esxi/(VMware ESXi のダウンロード)
＜追記１＞
vShpere ClientがWindows7RCだとうまく動かない。。のかな？
XP Modeの出番か？
http://communities.vmware.com/message/1258203(Error parsing the server “SERVER IP” “clients.xml” file …)
http://communities.vmware.com/message/1258680(vspehere client errors)
＜追記１－２＞
一時しのぎで動作させる方法を追加しました。
Windows 7 RCでvSphere Clientが動かない件の対処
　
＜追記２＞
VMware Infrastructure 3.xのライセンスがあれば、アップグレードできるようなんですが、CPUのライセンスの数え方が変わったような気がするが、英語の文章なので、いまいち自信がもてず。。
http://www.vmware.com/products/vsphere/upgrade-center/licensing.html(new licensing)
http://www.vmware.com/support/licensing/vsphere_faqs.html(VMware vSphere Licensing FAQs)

窓の杜でRichCopyって紹介されてて、WindowsにRobocopyってコマンドがあったことを知ったのでメモ(^^;
rsyncのWindows版って感じなので、Windows同士なら使えそう。
フォルダを同期させるMS純正の高機能コマンド”robocopy”をGUIで「RichCopy」(窓の杜)
robocopyでフォルダをバックアップ／同期させる(@IT)

Windows7RCでFlash PlayerのWebからのダウンロードインストールができない？、ようなので、スタンドアローンインストーラーをダウンロードしてインストールしてみた。
http://www.adobe.com/jp/support/kb/ts/228/ts_228685_ja-jp.html(Windows で Flash Player のインストールができない)
ttp://www.macromedia.com/go/full_flashplayer_win_ieInternetExplorer用
http://www.macromedia.com/go/full_flashplayer_winNetscape系
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm(Adobe Flash Player のバージョンテスト)
あと、他の方法としては、
インターネットオプション→全般タブ→言語で、en-USを追加して英語サイトからダウンロードすればうまくいくみたいです。

まぁ、そのうちAdobeのサイトで対応されると思いますので、一時的なもんだと思いますが。

Windows Vista/2008/7 はインストールメディアがあればDVDドライブがなくてもUSBメモリからブートしてインストールできるのでメモ
XPもごちゃごちゃやれば出来るみたいですが、Vista/2008/7の場合は、標準のものだけでできます。
◆用意するもの
・Windows Vista/2008/7 のマシン
・USBメモリ（4GB以上）
◆手順
コマンドプロンプトを管理者として実行

DISKPART> list disk
DISKPART> select disk 1  ←list disk の結果でUSBが１の場合
DISKPART> clean
DISKPART> create partition primary
DISKPART> select partition 1
DISKPART> active
DISKPART> format fs=fat32
DISKPART> assign
DISKPART> exit

D:がDVD（isoをマウントした仮想ドライブでもOK)、E:がUSBの場合

xcopy D:\*.* /s/e/f E:\
cd /D D:\boot
bootsect /nt60 E:

＃xcopyはかなり時間かかります。
◆DISKPARTの履歴（参考）

C:\Windows\system32>diskpart
Microsoft DiskPart バージョン 6.1.7100
Copyright (C) 1999-2008 Microsoft Corporation.
コンピューター: マシン名
DISKPART> list disk
ディスク      状態           サイズ   空き   ダイナ GPT
###                                          ミック
------------  -------------  -------  -------  ---  ---
ディスク 0    オンライン            74 GB      0 B
ディスク 1    オンライン           979 MB      0 B
ディスク 2    オンライン          3872 MB      0 B
DISKPART> select disk 2
ディスク 2 が選択されました。
DISKPART> clean
DiskPart はディスクを正常にクリーンな状態にしました。
DISKPART> create partition primary
DiskPart は指定したパーティションの作成に成功しました。
DISKPART> select partition 1
パーティション 1 が選択されました。
DISKPART> active
DiskPart は現在のパーティションをアクティブとしてマークしました。
DISKPART> format fs=fat32
100% 完了しました
DiskPart は、ボリュームのフォーマットを完了しました。
DISKPART> assign
DiskPart はドライブ文字またはマウント ポイントを正常に割り当てました。
DISKPART> exit
DiskPart を終了しています...

＜参考＞
diskpartを使ってWindows Vista／7のインストールUSBメモリを作る(@IT)
＜追記＞
未検証ですが、WinToFlash とかで簡単にできるかも。
WinToFlash
WindowsのインストールCDからインストール”USBメモリ”を簡単作成「WinToFlash」(窓の杜）
＜／追記＞

Windows7のニュースに隠れてひっそりと？VistaSP2、2008SP2がRTMになってMSDN,TechNetにはあがってきましたので入れてみたのでメモ、といっても普段使いのマシンではないので、テストでいれてみただけだけど。
大きな機能追加はないのでそんなに変わんないですが、エクスプローラーが速くなった？、のか意外とサクサクした感じで、Windows7RCとさほど変わらない感じもします。（C2Dでメモリ3Gのマシンだからかも）
SP2の場合のインストール後の余計なファイル削除コマンドは

compcln.exe

です。ちなみにSP1の時は「vsp1cln.exe」でした。
　
　
　
TechNet/MSDN版はこんな感じ

・Windows Vista with Service Pack 2 (x86) - DVD (Japanese)
ja_windows_vista_sp2_x86_dvd_342296.iso
sha1:2561CA265260D98B687F6B896EABE89234A9CB27
・Windows Vista with Service Pack 2 (x64) - DVD (Japanese)
ja_windows_vista_sp2_x64_dvd_342298.iso
sha1:A221C018638A5C0CF008B1FEB57418178AE64815
・Windows Vista Service Pack 2 and Windows Server 2008 Service Pack 2 for all editions (x86, x64, i64) - DVD (English, French, German, Japanese, Spanish)
en_fr_de_ja_es_windows_vista_sp_and_windows_server_2008_sp2_x86_x64_ia64_dvd_342431.iso
sha1:0D4C462FA5DA704CE6B7B8E054AA1308DE4F07DF

正式リリースまでは様子見をしようかと思ってたけど、なんかRCの出来がよさげなので、触ってみた感じのメモ
◆クイック起動内のデスクトップの表示がなくなった？
タスクバー右下の時計の表示の右にボタン状のものがある。
◆タスクトレイのアイコンが見えないよ
メーラーなどの通知をタスクトレイのアイコンにしている場合など不便
タスクバー→プロパティ→タスクバーのタブ→通知領域のカスタマイズボタン

アイコンと通知を表示
アイコンと通知を非表示
通知のみ表示

◆エクスプローラーのナビゲーションウィンドウのツリーが自動で開かない
フォルダーオプション→全般タブ→ナビゲーションウィンドウ
自動的に現在のフォルダーまで展開する
なんかバグ？
◆パスワード付きのユーザで自動ログオンしてるのがうまくログインできない
インストール直後が問題ないようなので、何かのアプリとの相性？
AspireOneだけダメ？、他のマシンで試したら問題なく自動ログインできた。

control userpasswords2

◆AVGが重い
avgrsx.exe(AVG Resident Shield Service)がすんげ負荷高くなる。
XP,Vistaではそんなことないので、なんかWindows7の場合だけ関係する？
その他
◆Windows XP Mode
VirtualPCにVMwareのUnityみたいな機能がついた感じ？
当たり前だけど、あらかじめ仮想マシンは起動しておかないといけないんだよね？、メニューから選ぶと自動起動かな。
互換モードでも動かせないのだからそのくらいはいいのか、VMwareだとライセンスがつかないけど、上位のProfessional,Ultimate,Enterpriseだったら、最初から付いてますよって感じ？
仮想マシン側のライセンスで、標準のVirtualPCだとタダなのに他社製品(VMware,VirtualBox)は必要なのかどうなのかってところどうなんだろう？
◆ホームグループ
使いこなせば便利なんだろうけど、サポートがメンドクサそうな機能
家庭向けネットワーク構築が簡単に? 「ホームグループ」の正体(マイコミジャーナル)
Windows7(Microsoft)

Office2007のSP2です。機能追加としては、保存形式の追加(OpenDocument 形式 (ODF)、PDF、XPS)あたりでしょうか（PDFとXPSは前からアドインではあったはずですが）、 他には、アホなIME2007の修正パッチ(KB957698)も（たぶん）組み込まれていると思います。
MicrosoftUpdateで普通に落ちてくるので、当てておきましょう。
統合化は

office2007sp2-kb953195-fullfile-ja-jp.exe /extract

で展開したフォルダを、インストールイメージの「Updates」に入れておけばインストール時にアップデートされます。SP2だけでSP1のファイルはいらないです、SP2にSP1分も含まれます。
2007 Microsoft Office スイート Service Pack 2 (SP2)
2007 Microsoft Office スイート Service Pack 2 (SP2) および Microsoft Office Language Pack 2007 SP2 について
Officeは次は2010だっけ、2007もインターフェースがざっくり変わって、2年ほどですが、普及具合はどうなんでしょう、Vistaもそうですが、XP+Office2003の環境に慣れてる人はなかなか移れないよなぁ。あくまで仕事の道具（手段）なので、使うのが趣味（目的）な人じゃないとね～(笑)

MSDN,TechNetではWindows7RCが公開されました。（一般向けは5/7から）んで、Windows7はネットブックでも大丈夫らしい？ので、さっそくAspireOne(AOA150-Bw)にいれてみた。
ちなみに、メモリは1Gから1.5Gに増設済みです。HDDは最初からついる120G(ST9120817AS)です。インストールはUSBのDVDドライブを使用します。
まず、インストール媒体を用意します。AspireOneはx64は使えなかったはずなので、x86を使用します。

ja_windows_7_ultimate_rc_x86_dvd_349022.iso
SHA1: 308052B331C79A8E8BF1B12AD932CCF21175871B
ja_windows_7_ultimate_rc_x64_dvd_348348.iso
SHA1: 6A134BB0A35BDAAFCB50999D7763D0E5C3C9C2F9

DVDにセットしてインストール開始
一回目のリブートまで20分
二回目のリブートまで5分
三回目のリブートまで7分
インストール直後のディスク使用量は7.8G、電源ONからログイン完了して使えるようになるまで１分ちょっとぐらいです。RC版の場合はデバイスはすべて認識してるみたいです。
正直なとこVistaなんかより、全然速いです。普通につかえるレベルですね。
ただ、ネットブック系の場合は、画面の縦が狭いので1024×600とかだとちょっときついかもしれないです。
＜追記＞
いろいろインストールしたところ、起動は２分程度になりました。でもまぁまぁ速いんじゃないかな。
SDカードでReayBoostしたところ、OSが固まっちゃうような気がするのだけど、どうかなぁ。切り分けつかず。
あとは、Vistaの基本的にはマイナーアップデートで、基本部分はあまりかわらないので、Vistaで動くものであれば動くんじゃね。
この金魚はなんだ？(笑)

インストール直後のエクスペリエンスインデックス

アレ？自動更新にはまだ乗ってこないんじゃなかったっけ？ 4/29に自動更新のところに乗ってきたみたい？？、個人的にはIE8でもいいけど、社内システムなどの関係であげちゃまずい人いっぱいいるだろうに。連休中も稼働している会社さんは情シスのひとご愁傷様って感じ？(^^;
Internet Explorer 8 の自動更新による配布について(マイクロソフト）
Internet Explorer 8 自動配布の無効化ツールキット (Blocker Toolkit)(マイクロソフトダウンロードセンター)
Toolkit to Disable Automatic Delivery of Internet Explorer 8(英語）
レジストリで直接変更するなら以下でOKかな。
◆IE8 Block

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Setup\8.0]
"DoNotAllowIE80"=dword:00000001

◆IE7 Block

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Setup\7.0]
"DoNotAllowIE70"=dword:00000001

IE8にしたところ(XP SP3)イントラ内のWebサーバへの接続が一回目だけ異常に遅くで困った件
IE7でもあった機能のようなのですが、インターネットオプション→セキュリティ→ローカルインターネットのサイトのボタン内の「イントラネットのネットワークを自動的に検出する」のチェックを外して、下の３つのチェックを付けておけばIE6と同じ状態になり、一回目の接続も遅くなることはありません。
IE7の時はイントラネットのなんとかを有効にするかどうかの黄色の帯でポップアップ出て有効にすると、上の状態の「イントラネットのネットワークを自動的に検出する」が外れた状態になったような気がします（Vistaだけなのかな未検証）
IE7からの問題で、イントラ内でもFQDN名やIPアドレスで接続した場合は、インターネットゾーンになるなどいろいろあるみたいですね。
＃IEはあまり使ってなかったので知らんかったです(^^

＜追記＞
VistaマシンでIE8をいれる機会があったので追記、Vistaの場合は、IE8、IE7も以下のようなポップアップが出て、イントラネット設定を有効にするにすれば（しなくてもいいかも）大丈夫です、また、上のチェックも外さなくても遅くなかったので、XPのIE8だけの問題かもしれないです。
>
イントラネット セキュリティ設定の変更
(Windows Vista ヘルプ)

＜追記＞
新しく書き直しました。
mod_fcgid（CentOS5 x86_64)
＜／追記＞
MovableTypeが激重なのでfcgiなどで改善してみるテスト。CentOSで動くmod_fcgiやmod_fastcgiは無いようなのでポリシーに反するんだけどソースからコンパイルしてインストールする。
必要なパッケージ

yum install perl-FCGI httpd-devel

他、開発関係も必要かな。
◆mod_fcgi
http://fastcgi.coremail.cn/
http://sourceforge.net/scm/?type=cvs&group_id=174879

tar xzvf mod_fcgid.2.2.gz
cd mod_fcgid.2.2
make  top_dir=/usr/lib/httpd
make  top_dir=/usr/lib/httpd install

/etc/init.d/http.d/fastcgi.conf

LoadModule fcgid_module modules/mod_fcgid.so
<IfModule mod_fcgid.c>
SocketPath /tmp/fcgid_sock/
IPCCommTimeout 120
AddHandler fcgid-script .fcgi
</IfModule>

◆mod_fastcgi
http://www.fastcgi.com/drupal/
http://www.fastcgi.com/dist/(ダウンロード)

tar xvzf mod_fastcgi-2.4.6.tar.gz
cd mod_fastcgi-2.4.6
cp Makefile.AP2 Makefile
make top_dir=/usr/lib/httpd
sudo make top_dir=/usr/lib/httpd install

mkdir /tmp/fastcgi
mkdir /tmp/fastcgi/dynamic
chmod 777 /tmp/fastcgi
chmod 777 /tmp/fastcgi/dynamic

/etc/init.d/http.d/fastcgi.conf

LoadModule fastcgi_module modules/mod_fastcgi.so
<IfModule mod_fastcgi.c>
FastCgiIpcDir /tmp/fastcgi
AddHandler fastcgi-script .fcgi
</IfModule>

◆MTの設定
mt-config.cgi

##### FastCGI #####
AdminScript     mt.fcgi
CommentScript   mt-comments.fcgi
TrackbackScript mt-tb.fcgi
SearchScript    mt-search.fcgi
XMLRPCScript    mt-xmlrpc.fcgi

mv mt.cgi mt.fcgi
mv mt-comments.cgi mt-comments.fcgi
mv mt-tb.cgi mt-tb.fcgi
mv mt-search.cgi mt-search.fcgi
mv mt-xmlrpc.cgi mt-xmlrpc.fcgi

実際には、mod_fcgiを使用しました、あと本番環境は開発系がインストールされていないので、「/usr/lib/httpd/modules/」から、mod_fcgiやmod_fastcgiだけコピーしてきて使用してます。あとは、「mt.cgi」だけfcgi対応して、他のCGIはそのまま使用することにしました。
効果の程は、かなり早くなったように感じます。

WindowsのrsyncでLinuxへデータをバックアップしておこう。
cwrsyncってのがあるのでこれを使用します。
http://www.itefix.no/i2/cwrsync
要は、Cygwinからrsync.exeを動作するのに必要なファイルを詰め合わせたセットです。
ダウンロードはこちらから
http://sourceforge.net/project/showfiles.php?group_id=69227&package_id=68081(SOURCE FORGE.NET)
今回は、cwRsync_3.0.1_Installer.zip を使用します。
Linuxとかのrsyncを使えればオプションも同じなので難しくはないと思いますが、ノーパスで運用するときは、ssh-keygen.exeとかで作成したりとか、その辺は、Linuxと一緒なので適当に(^^;
一点、ハマったところ、パッケージに添付の「cwrsync.cmd」ってのがあってそれを使えばよかったのですが、rsync.exe ～ って感じでコマンドラインでテストしてたら、相手のLinuxのファイルのパーミッションがちゃんとつかなくて

d---------  2 user01 user01      4096 Apr 17 17:47 testdir
とか
----------  2 user01 user01      4096 Apr 17 17:47 test.txt

こんな感じに。。。
結構わからなくて調べたんですが、「cwrsync.cmd」の中を見てて、

SET CYGWIN=nontsec

って環境変数がないとイカンみたい。Cygwinはあんまし使ったことないので知らんかった。
なので、「cwrsync.cmd」の最終行にrysync.exeを書いてあげればOKでした。

rsync.exe -arvz --delete -e "ssh -i /cygdrive/c/cwRsync/test.key -l user01" "/cygdrive/d/rsyncdir" linuxsv:~/rsyncdir/

あと、添付の「chmod.exe」が「cygintl-8.dll」が無いって動作しないのだが、これは使わないのでどうでもいいのかな？
http://ftp.jaist.ac.jp/pub/cygwin/release/gettext/libintl8/
とかから持ってこれば一応動きます。

あんまり意味はないけど、検証とかにはいいかな。(インストール画面のキャプチャとか？）
ちなみに、起動にすんげ時間かかります。
◆ゲストの作成

ゲストOS Red Hat Linux
SCSIデバイスは LSILogic
ネットワークカードは 1つ以上
USBポートはサウンドカードは削除する。
メモリは1G以上

◆構成ファイルの編集(*.vmx)

ethernet0.virtualDev = "e1000"
monitor_control.vt32 = "TRUE" #Intel VTの場合
monitor_control.enable_svm = "TRUE" #AMD-Vの場合
monitor_control.restrict_backdoor = "TRUE"
monitor.virtual_exec = "hardware"
monitor.virtual_mmu = "software"

◆BIOS

Advanced
Large Disk Access Mode DOS → Other

http://www.virtualization.info/2007/06/tech-how-to-run-esx-server-3-on-vmware.html(Tech: How to run ESX Server 3 on a VMware Workstation 6 virtual machine)
http://communities.vmware.com/thread/157784(認定HW以外でESXを動作させる方法)

Update4がでました、あまってたEmbedded MegaRAID SATAのサーバはUpdate3までだとDISKが認識できず、USBブートしてイメージはNFSサーバをマウントさせて使ってたのだけど、Update4に入れなおしたところ晴れてDISKが見えるようになりました、ただ、やはりRAID構成はダメなので、RAIDは構築せずにAHCIモードONでDISK2本で動作できました。（まぁ検証用なので動けばいいので）
http://www.vmware.com/support/vi3/doc/vi3_esx3i_i_35u4_rel_notes.html(リリースノート)

IEでオフィス文章(doc,xls,pptなど)へのリンクを開いた際にブラウザの中で開かない設定。
フォルダオプション→ファイルの種類→拡張子を選択し、詳細設定ボタン
→同じウィンドウで開くのチェックをはずす。

OfficeドキュメントをWebブラウザで開かないようにする(@IT)
PDFファイルをWebブラウザで開かないようにする(@IT)

OpenVZ上のCentOS5の毎回アップデートでudev関係でハマル件ですが、たぶん解決できたのでまとめ
＜発生原因＞
CentOS5.0リリース直後のcontribで公開されてたテンプレートイメージはudev関係の対応がしてないのでudevをアップデートするとコンソールにログインできなくなったり不具合が発生する。
＜対処１ 失敗＞
/devの中身をバックアップしておいてudevアップデート後/dev/を差し替えてみた。
udevを起動しないようにしておいた。
OpenVZ(CentOS5)
＜対処２ 失敗＞
CentOS5.2のアップデートの際にvzctl enter xxx でログインできなくなったので、udevからtty0とptmxを作成しないようにしてみた
OpenVZ (CentOS5 udev つづき）
＜状況＞
CentOS5.3にアップデートしたところrpmが使えなくなってしまった。

#yum update
Loaded plugins: fastestmirror
エラー: dbpath が設定されていません
エラー: /%{_dbpath} にある Package データベースをオープンできません。
Traceback (most recent call last):
File "/usr/bin/yum", line 29, in ?
yummain.user_main(sys.argv[1:], exit_code=True)
File "/usr/share/yum-cli/yummain.py", line 229, in user_main
errcode = main(args)
File "/usr/share/yum-cli/yummain.py", line 84, in main
base.getOptionsConfig(args)
File "/usr/share/yum-cli/cli.py", line 184, in getOptionsConfig
enabled_plugins=self.optparser._splitArg(opts.enableplugins))
File "/usr/lib/python2.4/site-packages/yum/__init__.py", line 191, in _getConfig
self._conf = config.readMainConfig(startupconf)
File "/usr/lib/python2.4/site-packages/yum/config.py", line 754, in readMainConfig
yumvars['releasever'] = _getsysver(startupconf.installroot, startupconf.distroverpkg)
File "/usr/lib/python2.4/site-packages/yum/config.py", line 824, in _getsysver
idx = ts.dbMatch('provides', distroverpkg)
TypeError: rpmdb open failed

＜原因＞
以前作らなくしたptmxがないとCentOS5.3の際にあがるrpm-4.4.2.3-9.el5が動かない模様。
＜検証＞
最近のリリースされているCentOS5.2のテンプレートだと問題ない。違いを調べると「/etc/udev/devices」なんてフォルダがあり、udev起動時にこの中身は/devにコピーされるらしい。
http://download.openvz.org/template/precreated/
＜対処＞
んじゃ、/etc/udev/devicesをもってこればいいべ！ってことで、最近のリリースされているテンプレートから「/etc/udev/devices」をtarでかためて動かないVEにもってきてVE再起動で復旧(^◇^)ノ イエィ(笑)
＜考察＞
ネットでしらべてもハマっている人が見つからず、初期のリリース(contrib)のものをつかってたからかもしらん。今のテンプレートだと問題なくアップデートできるし。
おしまい。

こちらにすこし追記しました。

久しぶりにSleipnirをいじってみたのでメモ
検索エンジンのSleipnirSearchを普通のGoogleに変更する。
ツール→Sleipnirオプション→検索→検索エンジンメニュー
Webページを探す を Google（日本語）に変更

\resources\languages\default\japanese\SmartSearchPopup.xmlを
\settings\<ユーザー名>\setting\Override\SmartSearchPopup.xmlにコピー
＜ <item name="キーワードをウェブから検索(&W)" action="_Web" />
＞ <item name="キーワードをウェブから検索(&W)" action="SearchSelectedText" />

\resources\languages\default\japanese\BrwsCtxtMenuTxtDefaultPopup.xmlを
\settings\<ユーザー名>\setting\Override\SearchMenu.xmlにコピー
＜ <item name="キーワードをウェブから検索(&W)" action="_Web" />
＞ <item name="キーワードをウェブから検索(&W)" action="SearchSelectedText" />

＜参考＞
Sleipnir 2.xx FAQ – よくある質問
Q. SmartSearch の「キーワードをウェブから検索」を Google などのエンジンにしたい
Q. 右クリックメニューの「キーワードをウェブから検索」を Google などのエンジンにしたい

＜2010/02/13追記＞
MTからWordpressにインポートした時に失敗していたようで、記事が途中できれてました(^^;
確認したい内容があって自分で調べてて気が付きました。修正しましたので最後まで見れるようになりました。

CentOSのApacheでクライアント証明書認証をしてみる。CentOS5の場合、ちょっと手順を工夫しないとIEでつながらなかったので一部修正しました。(OpenSSLのバージョンの関係だと思うけど。）
IEでクライアント証明書をインポートしてつなぐと、
「証明のパスの証明機関は証明書を発行する権限がないか、この証明書をエンドエンティティ証明書として使うないとができないため、この証明書は無効です。」
となってしまう件の対応です。
openssl.cnfで、「basicConstraints=CA:true」でCAを作成していないと出る様子。

作業は「/var/www/ssl」で行い、独自認証局のフォルダは「/var/www/ssl/hogeCA」に作ります。また証明書の期限は10年(3650日)にしてあります。

◆作業準備
作業フォルダ作成

mkdir -p  /var/www/ssl

破棄証明書用フォルダ作成

mkdir -p  /var/www/ssl/ssl.crl
touch /var/www/ssl.crl/cert.crl

opensslの設定
/etc/pki/tls/openssl.cnf (CentOS5)
/usr/share/ssl/openssl.cnf (CentOS4)

> dir             = ./demoCA              # Where everything is kept
< dir             = ./hogeCA              # Where everything is kept

証明書のポリシーを変えたい場合（デフォルトはcountryName,stateOrProvinceName,organizationNameがCAと一致しないとだめなのでCA組織外に発行する場合に困る)

policy          = policy_match

policy_matchを直下に定義してある「policy_anything 」に変えるとか、「policy_match」自体を変更するとか（下の例）
変更前

[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

変更後

[ policy_match ]
countryName             = supplied
stateOrProvinceName     = supplied
organizationName        = supplied
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

ちなみに

match    CAと同じじゃないとダメ
supplied 入力必須
optional あってもなくてもいい

CSRを頻繁に作成してデフォルト値を決めておきたいときは以下の項目を変更しておくと入力が楽になります。

countryName_default             = JP
stateOrProvinceName_default     = 
localityName_default            = 
0.organizationName_default      = 

CA作成スクリプトコピー

cp -p /etc/pki/tls/misc/CA /var/www/ssl/ (CentOS5)
cp -p /usr/share/ssl/misc/CA /var/www/ssl/ (CentOS4)

/var/www/ssl/CA

#DAYS="-days 365"       # 1 year
DAYS="-days 3650"       # 10 year
#CADAYS="-days 1095"    # 3 years
CADAYS="-days 3650"     # 10 years
#CATOP=./demoCA
CATOP=/var/www/ssl/hogeCA

◆認証局CAの作成
/etc/pki/tls/openssl.cnf (CentOS5)

[ usr_cert ]
#MakeCA
basicConstraints=CA:true
nsCertType = sslCA, emailCA
keyUsage = cRLSign, KeyCertSign

cd /var/www/ssl
./CA -newca
CA certificate filename (or enter to create)
	止まるので改行をいれる


Making CA certificate ...
Generating a 1024 bit RSA private key
.............++++++
.......++++++
writing new private key to '/var/www/ssl/hogeCA/private/./cakey.pem'
Enter PEM pass phrase: CAの秘密鍵のパスフレーズ
Verifying - Enter PEM pass phrase: CAの秘密鍵のパスフレーズ確認
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: 国
State or Province Name (full name) [Some-State]: 県
Locality Name (eg, city) []: 市町村名
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 組織名
Organizational Unit Name (eg, section) []: 部署名
Common Name (eg, YOUR name) []:サーバ名(FQDN名)
Email Address []: メールアドレス

CAの秘密鍵のパスフレーズ除去

openssl rsa -in hogeCA/private/cakey.pem -out hogeCA/private/cakey.pem

破棄証明書の管理番号ファイルを作成(CentOS5で破棄証明書を使用する際必要）

echo '00' > hogeCA/crlnumber

◆apacheのサーバで使うサーバ証明書を作成
/etc/pki/tls/openssl.cnf (CentOS5)

[ usr_cert ]
#MakeCA
#basicConstraints=CA:true
#nsCertType = sslCA, emailCA
#keyUsage = cRLSign, KeyCertSign
#Server
basicConstraints = CA:FALSE
nsCertType = server

秘密鍵の作成

openssl genrsa  -des3 -out /var/www/ssl/server.key 1024

秘密鍵のパスフレーズの除去

openssl rsa -in /var/www/ssl/server.key -out /var/www/ssl/server.key

上で付けたパスフレーズを聞いてくるので入力する

CSRの作成

openssl req -new -days 3650 -key /var/www/ssl/server.key -out /var/www/ssl/server.csr

Country Name (2 letter code) [AU]: 国
State or Province Name (full name) [Some-State]: 都道府県
Locality Name (eg, city) []: 市町村名
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 組織名
Organizational Unit Name (eg, section) []: 部署名
Common Name (eg, YOUR name) []: サーバ名(FQDN名)
Email Address []: メールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 適当にパスワード
An optional company name []: 適当にパスワード確認

CSRに作成した認証局で署名してサーバ証明書を作成

cd /var/www/ssl/
openssl ca -days 3650 -in server.csr -keyfile hogeCA/private/cakey.pem  \
        -cert hogeCA/cacert.pem -out server.crt

◆クライアント側の証明書を作成
/etc/pki/tls/openssl.cnf (CentOS5)

[ usr_cert ]
#MakeCA
#basicConstraints=CA:true
#nsCertType = sslCA, emailCA
#keyUsage = cRLSign, KeyCertSign
#Server
#basicConstraints = CA:FALSE
#nsCertType = server
#Client
basicConstraints = CA:FALSE
nsCertType = client, email

クライアント用秘密鍵作成

cd /var/www/ssl
openssl genrsa -des3 -out client.key 1024

秘密鍵のパスフレーズの除去

openssl rsa -in client.key -out client.key

上で付けたパスフレーズを聞いてくるので入力する

クライアント証明書のCSRを作成

openssl req -new -days 3650 -key client.key -out client.csr

Country Name (2 letter code) [AU]: 国
State or Province Name (full name) [Some-State]: 都道府県
Locality Name (eg, city) []: 市町村
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 組織名
Organizational Unit Name (eg, section) []: 部署名
Common Name (eg, YOUR name) []: サーバ名(FQDN名)
Email Address []: メールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 空欄でOK
An optional company name []: 空欄でOK

クライアント署名書にCAで署名する

openssl ca  -days 3650 -in client.csr -out client.crt

クライアント証明書をPEM形式からPKCS12形式形式へ変換

openssl pkcs12 -export -in client.crt              \
                       -inkey client.key           \
                       -certfile hogeCA/cacert.pem \
                       -out client.p12

できあがった「clcert.p12」をクライアントに配布しブラウザにインポートする
InternetExplorerの場合、ファイルをダブルクリックするだけ

◆Apacheの設定
/etc/httpd/conf.d/ssl.conf

DocumentRoot等は適当に。
以下SSLに必要な部分
SSLCertificateFile    /var/www/ssl/server.crt
SSLCertificateKeyFile /var/www/ssl/server.key
SSLCACertificatePath  /var/www/ssl/hogeCA
SSLCACertificateFile  /var/www/ssl/hogeCA/cacert.pem
#SSLCARevocationPath   /var/www/ssl/ssl.crl           ←破棄証明書を使用する場合(どちらか指定）
#SSLCARevocationFile   /var/www/ssl/ssl.crl/cert.crl  ←破棄証明書を使用する場合(どちらか指定）
SSLVerifyClient require
SSLVerifyDepth 1

◆その他
発行したクライアント証明書を失効させる場合

cd /var/www/ssl
openssl ca -gencrl -revoke client.crt -out ssl.crl/cert.crl

破棄証明書
破棄証明書を使用しているときは定期的に破棄証明書を更新してApacheのリロードを行わないと、破棄証明書の期限が切れてApacheが起動しなくなるので注意。

cd /var/www/ssl
openssl ca -gencrl  -out ssl.crl/cert.crl
/sbin/service httpd restart

CAの証明書ファイルをDER形式(ブラウザにインポートできるように)にエンコード

cd /var/www/ssl/
openssl x509 -inform PEM -outform DER -in hogeCA/cacert.pem -out CAcert.der

クライアント証明書の失効とCRL(apache)

メールの受信テストでどんなメールでも受け付ける設定をしたくて調べたのでメモ、要はUserUnknown返さずにCatch-Allするアカウントを作成する方法。
/etc/postfix/main.cf

local_recipient_maps =
luser_relay = catchall
catchall は 受信したいアカウント名

「local_recipient_maps」で、ローカルユーザのリストを空にして、「luser_relay」に設定したアドレスへ配送先がなかったメールを転送する。
http://www.postfix-jp.info/trans-2.2/jhtml/postconf.5.html#luser_relay

Windows 2000 ServerのActiveDirectoryのDCにWindows Server 2003のDCを追加する際のメモ、ADはほとんど触ったことなかったのでdcpromoで追加すればいいじゃねと簡単に思ってたらハマったので(^^;、あとは、2000→2003→2003R2→2008とかってDCを上位にアップグレードする際にもadprepする必要があると思われる（タブン）
といいつつ、今回は2000のDCに2003R2で失敗したけど、2003ではすでに追加されていたので、今回のサーバもR2はやめて2003にしたので実際の作業はしてないので調べただけです(^^
・adprep.exeは、Windows Server 2003のadprep(DISC1の\i386)とWindows Server 2003 R2 のadprep (DISC2の\cmpnents\r2\adprep）は違うので注意
・adprepはスキーマ操作マスタで実行する。
フォレスト全体の情報の更新のコマンド

adprep /forestprep

ドメイン全体の情報の更新のコマンド

adprep /domainprep

Windows 2000 ドメインまたはフォレストに Windows Server 2003 ドメイン コントローラを作成する場合、または Windows 2000 フォレストの Windows 2000 ドメイン コントローラを Windows Server 2003 にアップグレードする場合に、Dcpromo.exe および Winnt32.exe のエラーがログに出力される(Microsoft サポートオンライン)