tksm.org

発行したクライアント証明書を失効させる

openssl ca -gencrl -revoke client.crt -out ssl.crl/cert.crl

「-out ssl.crl/cert.crl」はapacheでは、

SSLCARevocationFile   /hoge/ssl.crl/cert.crl

で指定したファイル、また、

SSLCARevocationPath   /hoge/ssl/ssl.crl

のFileとPathは同時に使用できないらしいことと、Pathの場合はCRLをハッシュする必要があります。（やりかたはどっかに書いてあったけど不明(^^;）

失効させるとindexファイルの１カラム目が「R」になります。有効なのは「V」です。(Revoke,Validかな)

/pathto/hogeCA/index.txt
R       350728073327Z   050804074628Z   01      unknown /C=JP/ST=hogehoge～～

このCRL(証明書失効リスト)ファイルについて注意点は、「-gencrl」した際に、
openssl.conf 内の「default_crl_days」の値か、opensslのオプションの「-crldays」の値で、次のCRLファイルの発行予定日がCRLファイル内にセットされます。この期限がくるまでに、CRLを更新しないと、クライアント証明書の機能が動かなくなってしまいます。ApacheのエラーログにCRL has expiredとかってなって、有効な証明書でもつながらなくなります。

[Thu Jan 11 16:12:12 2007] [warn] Found CRL is expired - revoking all certificates until you get updated CRL
[Thu Jan 11 16:12:12 2007] [error] Certificate Verification: Error (12): CRL has expired

破棄する証明書がなくても、次の更新日がきそうなら以下のようにしておけば更新日だけ更新されます。

openssl ca -gencrl  -out ssl.crl/cert.crl

中身の確認

openssl crl -in ./ssl.crl/cert.crl -text
Last Update: 最終更新日
Next Update: 次回更新日

もうひとつ、CRLファイルを更新しても、SSLCARevocationFile or Path はApacheを再起動しないと読み込まれないので、更新した際はApacheの再起動が必要になります。

＜追記＞
CentOS５の場合は、crlnumberを作成しておかないとダメかも

cd /var/www/ssl
echo '00' > hogeCA/crlnumber

Windows Vistaで、Firefox2.0.0.1,Thunderbird1.5.0.9では、標準のブラウザ、メーラーにできません。たぶん、Vistaではユーザー・アカウント・コントロール（UAC）の機能ができて、Administratorでも特権ユーザの権利を使う際は確認のダイヤログがでます。まぁ、これに既存のブラウザ、メーラーは対応していないので、規定のプログラムに設定できないのでしょう。Firefox2.0.0.1でもVistaに（基本的に）対応となっていますが、この件はまだ対応されていません。ということで、管理者権限で動けばいいようなので、解決方法としては、アイコンを右クリックで、「管理者として実行」としてやれば、標準のブラウザ、メーラーに関連付けすることができます。

VL版のOffice2003を１０数台配布する必要ができたので、インストールの自動化を調査
Office 2003 Service Pack 2もインストール時に適応したいのだけど、管理者モードでインストールポイントを作成したらSP2を結合できるが、それだとOfficeUpdateができなくなってしまう。。ので、普通にインストールするのをカスタマイズすることにする。そういう場合は、リソースキットのカスタムインストールウィザードを使ってトランスフォーム (MST ファイル) を作ってセットアップすればいいらしい。MSTファイルには、プロダクトキーやインストール時のオプション、Word,Excelなどの初期設定も変更できます。（Execlのマクロの強度を強→中にしておくとか）、そこで作ったMSTファイルを以下のようなバッチファイルを作って起動してもらえば、インストールして、SP2が適応されます。あとは、適当にOfficeUpdateしておいてもらえばOKです。

install.bat
共有ポイント\setup.exe LOCALCACHEDRIVE=C TRANSFORMS=共有ポイント\MSTファイル名.MST /qb-
共有ポイント\Office2003SP2-KB887616-FullFile-JPN.exe /Q

カスタム インストール ウィザード(Microsoft)
ローカル インストール ソースの利用(Microsoft)

Windows VistaにはWindows カレンダーというものがついてきます。これは、Outlookみたいに独自ファイル形式かとおもいきや一般的なiCalendar形式のファイルとなっています。スケジュールの公開などの機能ももっていて、結構さくさく動きそうだし、Mozilla Sunbird危うし？

Windows カレンダー(Microsoft)

VAでKMS（キー管理サーバ)を使ったりするコマンドを調べたのでメモ
しかし使えたら便利かもしらんが、正規利用者には必要かどうか謎な機能が多いね(^^;

管理者としてコマンドプロンプトを開いて
KMSサーバを指定する
slmgr -skms IPアドレス
ライセンス認証する
slmgr -ato
ライセンス情報詳細表示
slmgr -dlv
ライセンスの有効期限表示
slmgr -xpr
プロダクトキーインストール
slmgr -ipk プロダクトキー
プロダクトキーアンインストール
slmgr -upk
ライセンス状態をリセットする
slmgr -rearm
ライセンスファイルのインストール(SLPとかで使う？)
slmgr -ilc ライセンスファイル

ちなみに「slmgr -rearm」は３回まで実行できるようなので、３０ｘ３＝９０日アクティベーションしないでつかえるかも(^^)

USBメモリ買っちゃいました。Readyboostしてみたいがだけに(笑)
ADATAの1Gで2,999円でした。I/O,バッファローの対応製品だともうすこし値段は高めですね。
さっそく取り付けてみましたが、まぁ、はやくなったようなかわらんような。。。

PD7(ADATA)
Windows PC アクセラレータ : Windows Vista のパフォーマンス テクノロジ(Microsoft)

ファイルのSHA-1とかMD5を求める方法。Microsoft純正のツール「File Checksum Integrity Verifier utility(fciv.exe)」があるので紹介。とは言っても標準ではついてこないので、Download Centerからダウンロードしないといけません。

fciv.exe -help
//
// File Checksum Integrity Verifier version 2.05.
//
Usage:  fciv.exe [Commands]
Commands: ( Default -add )
-add     : Compute hash and send to output (default screen).
dir options:
-r       : recursive.
-type    : ex: -type *.exe.
-exc file: list of directories that should not be computed.
-wp      : Without full path name. ( Default store full path)
-bp      : specify base path to remove from full path name
-list            : List entries in the database.
-v               : Verify hashes.
: Option: -bp basepath.
-? -h -help      : Extended Help.
Options:
-md5 | -sha1 | -both    : Specify hashtype, default md5.
-xml db                 : Specify database format and name.
To display the MD5 hash of a file, type fciv.exe filename
Compute hashes:
fciv.exe c:\mydir\myfile.dll
fciv.exe c:\ -r -exc exceptions.txt -sha1 -xml dbsha.xml
fciv.exe c:\mydir -type *.exe
fciv.exe c:\mydir -wp -both -xml db.xml
List hashes stored in database:
fciv.exe -list -sha1 -xml db.xml
Verifications:
fciv.exe -v -sha1 -xml db.xml
fciv.exe -v -bp c:\mydir -sha1 -xml db.xml

ファイルの MD5 または SHA-1 ハッシュ暗号値を計算する方法。(Microsoft)
可用性と ファイル チェックサム整合性検証 ユーティリティの説明(Microsoft)
ハッシュ値を利用してファイルの同一性をチェックする(@IT)

追記
wMD5sum
wSHA1sum

WindowsVistaから、企業向けのライセンスのボリュームライセンスのしくみが変わります。ポイントは、「マルチ アクティベーション キー (MAK)」と「キー マネージメント サービス (KMS)」あたりのキーワードですね。あまり縁はないのでメモ程度です。
ちなみにWindows Vistaの場合は、BusinessとEnterprise版が該当します。

新しいライセンス認証 ボリューム アクティベーション 2.0(Microsoft)
ボリューム アクティベーション (Volume Activation)
Windows Vista ボリューム アクティベーション 2.0 ステップ バイ ステップ ガイド
ステップ バイ ステップ ガイド(Microsoft)

「企業向けWindows Vista」の真相，アクティベーションに留まらない変更点(ITPro)

VistaCG(deviantART)

Vista風のVisualStylesです。WindowsXPに適応すると結構Vistaちっくな画面になります。英語圏のVisualStylesはそのままだとフォントの関係でいまいちになるのですが、作者が中国の方なのか、日本語で使ってもそこそこ使えます。デスクトップの設定でフォントをTahomaからMeiryoKeとかに設定しなおすといい感じになるかもです。というか、本物のVistaのデスクトップは標準でメイリオなのですが、アイコンもでかい、文字もでかいとなるので、こちらもフォントをMeiryoKeなどですこし小さめにするといい感じです。

関連
Universal UXTheme Patcher などでパッチをあててVisualStylesを適応しましょう。

マイクロソフトのVista移行は文字セットがJIS90からJIS2004に変更となり、やはり、名前、住所係で表示されなかったりすると問題になるんだろうなー、Web系は出なくてもあきらめられる事もあるだろうけど、業務系は外字作ってでも出せ！って感じだし担当者は大変だろうなー

Vistaで化ける字，化けない字(ITPro)
Vistaで化ける字，化けない字（続報）(ITPro)
日本語文字セットがVista最大の問題として急浮上(ITPro)
Windows Vistaで追加された文字の利用にはご注意(ITPro)
JIS X 0213:2004 対応と新日本語フォント「メイリオ」について(マイクロソフト)

高級キーボードのRealforceにATOKキー？が付いた特別モデルです。なんかびみょー(笑)、ATOKは変換効率はたしかにいいと思うのですが、仕事上いろんなマシンをさわるので、変なキーアサインになれると困るので、MS-IME一筋です(^^;
Realforceは一度は使ってみたいところですが。。。宝くじでもあたらんだろうかorz

ジャストシステム、ATOK仕様キーボードを限定発売–東プレとコラボ(CNET Japan)
東プレ Realforce91Uカスタマイズキーボード for ATOK(Just MyShop)

東プレ NG01B0 REALFORCE91UBK
東プレ / ￥19,740

なんか助成制度があるらしくそのおかげでセットアップ済みETCを0円ゲットしました（セブンの乞食ETCってやつです）
しかし
・取り付け（自分でつけるつもりだけど、今は寒いし、つけたくない）
・ETCカード（ETCカードもってない(笑)）
・高速道路（のる機会がない）
ということで、取り付けられてバーへ突撃するのはいつになることやら

リース制度(ORSE)
J-HP101A(古野電気)
J-HP101B(古野電気)

Vistaからは、USBメモリをキャッシュメモリとして使用して高速化する機能がついています。さっそく試そうと手持ちの1GのUSBメモリを指してプロパティを出してみる。お前のは遅くて話にならん。。。ということで終了orz
一応それなりに効果はあるようなので、早いUSBメモリがある人は試してみるといいのではないでしょうか。

あんまり実用性はないのですが、送ってきた方のメーラーのアイコンが表示される拡張です。英語版のみの拡張なのですが、日本語のメーラーのアイコンも数多く登録されているようで、Becky!など有名どころ以外でも、電八やAL-MAILとかもはいってます。

Display Mail User Agent Extension(Thunderbird Add-ons)

CentOSに限ったことではないですが、opensslで自己証明書をつくってapacheでオレオレ証明書をテストしてみる（CAは立てない）

CentOSであれば、

yum install httpd mod_ssl

あたりをインストールしておく。
また、CentOS(RHEL)系の場合は、

cd /etc/httpd/conf
make server.key
make server.crt

このあたりで、設定できそうですが、うまくいくかわからないので、下のコマンドラインでやります。（やってることは一緒です）

秘密鍵生成
openssl genrsa -des3 -out server.key 1024
パスフレーズ除去
openssl rsa -in server.key -out server.key
自己証明書を作成
openssl req -new -key server.key -x509 -out server.crt
Country Name (2 letter code) [AU]: 国
State or Province Name (full name) [Some-State]: 県
Locality Name (eg, city) []: 市町村名
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 組織名
Organizational Unit Name (eg, section) []: 部署名
Common Name (eg, YOUR name) []:サーバ名(FQDN名)
Email Address []: メールアドレス
証明書の有効期限を30年とかで作っちゃう
openssl req -new -key server.key -x509 -days 10950 -out server.crt
ブラウザに証明書をインポートできるようにPEM形式→PKCS12形式へ変換
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
Enter Export Password:エクスポート用のパスワード
Verifying - Enter Export Password:パスワード確認

CentOSの場合は、上で作成した鍵を以下のところに配置すれば、/etc/httpd/conf.d/ssl.confに設定してあるファイルとなるので、なにも考えなくてもhttpsで接続可能となります。IPベースでバーチャルホストする場合は、ssl.confなどいろいろ書き換えてください。

/etc/httpd/conf/ssl.key/server.key
/etc/httpd/conf/ssl.crt/server.crt

クライアント側では、PKCS12形式のファイルをもってきて、IEの場合はダブルクリックして証明書のインポートウィザードがたちあがるので、上で入力したパスワードを入力してインポートします。（インターネットオプション→コンテンツのタブ→証明書のボタンでも可）、Firefox2の場合は、ツール→オプション→詳細タブ→証明書を表示→インポートでインポートできます、接続してから、警告のダイアログでインポートしちゃってもいいですが。

一応、お約束で、あくまでなんちゃって証明書なので、SSL通信はされますが、接続先が正しいかどうかなど本来のSSLの目的は満たされないことは理解しておきましょう。

今日は、とても天気もよく、富士山がとてもキレイでした。いまほど帰ってきましたが、帰りは、300km→5時間半でした。いやープレオ君がんばってくれました。今回の走行距離は、合計710kmでした。んで、遠出の時は、やっぱりナビとETCは欲しいですね。

ただいま旅行中で山中湖周辺に宿泊中、パソコン持ってきたものの、案の定持ってきた@freedの電波はなく、ネット隔離状態です、とりあえず携帯はつながるので投稿してみるテスト(^^)
昨日は寄り道しながら300kmちょっと走りましたが、ペース配分がまずく、日が落ちてから中央道とばしてなんとかたどりつきました(^_^;

今週末に山のほうに行くので、ちょっと早いですがタイヤ交換しました、5シーズン目ですが、あんまり減ってないので大丈夫でしょう(笑)

スタッドレスは純正ホイールです、タイヤはダンロップのやつです

うちのプレオ君も7年目となりまして、車検です。
ディーラーさんで出しているのですが、代車はいい車？（大きいやつ）を出してねーと一応言ってはおいたのですが、R2でしたorz、あんまり無理言うのもなんなので、まぁいいか。。リサイクル税、保証延長プランとかいろいろあって13諭吉でした。

SUBARU 保証延長プラン
簡単に言えば、3年、5年、走行距離などでなくなっていくメーカー保証の部分（パーツ）を、いくらかお金を出しておくと延長しますよという保険みたいなもんですね。営業さんの話では、オイル漏れとかすることもあるので（ってスバルはオイル漏れやすいのか？？）その時ははいってたらいいですよとのこと、あと、エンジン、ミッションを壊してを載せ換えて、はいっててよかったねってなった人もいたとのこと（どんな壊れ方なんじゃ？）、プレオで2回目車検コースだと、24,360円なのでちょっと痛いですが、ディーラーさんとの付き合いもあるのではいってあげときました(逆にエンジン総とっかえとかなっちゃえばいいのですが(笑)）

台車のR2君です、タコメータがないので、最下位グレードのやつかなー

お客様より、イベントログに

種類：エラー
ソース：Windows Update Agent
分類：ソフトウェア同期
イベントID：16
接続の失敗: 自動更新サービスに接続できなかったため、更新をダウンロードして、指定された時間にインストールすることができません。接続を再試行します。

とかって出てるぞ、これはなんだ？ゴラッ！と問合せがあったのでメモ（2004/09頃に話題になったネタで、今更の感もありますが）

このお客様のインターネットはプロキシサーバがある環境なので直接インターネットへは繋がりません。WindowsXPSP2から「バックグラウンド インテリジェント転送サービス (BITS) 」とやらが導入されたおかげで、WindowsUpdateはInternetExplorerの接続タブで設定するプロキシとは別にWinHTTPの設定がきちんとされてないと自動更新がうまく動きません。（InternetExplorerからWindowsUpdateを開いた場合は、Updateはできるようになったみたい）

で、対応としては、
InternetExplorerでプロキシの設定を正しくして

proxycfg -u

すれば、InternetExplorerの設定が反映されます、または、

proxycfg -p プロキシサーバアドレス:ポート番号

で、明示的にプロキシを設定できます。
また、WinHTTPのプロキシ設定を削除するときは

proxycfg -d

です。

で、このコマンドのproxycfg.exeは、XP Proは標準装備、XP HomeはSP2にするとインストールされる？、2000SP4 は無い！、2003は標準装備。もし無い場合は、他のマシンからコピーしてもいいかどうかがライセンス上微妙らしい。

プロキシ構成ユーティリティ (Proxycfg.exe) の実行時オプションについて(Microsoft)