tag:blogger.com,1999:blog-5972194570381538105.post8851456085890762625..comments2022-03-02T02:38:48.976+09:00Comments on おきつねさまのひまこみゅ: Let's Encrypt を・・・Okitsunesamahttp://www.blogger.com/profile/10443031846467853202noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-5972194570381538105.post-83270264012805607742016-11-29T19:38:01.885+09:002016-11-29T19:38:01.885+09:00尚、Apache に関しては ほぼ創世期の Debian 2.x.x系 で触った程度。
486SX機...尚、Apache に関しては ほぼ創世期の Debian 2.x.x系 で触った程度。<br />486SX機で導入重くて、結局使い物にならなかったので捨てましたw<br /><br />その後は、WindowsServer/IIS/SQLserver に MS-Office連携と云う典型的な運用ばかり。<br />因って 生まれがLinux系のブツには殆ど関わっていません。<br /><br />rtmp鯖として特化された版の nginx が 久々に触った そう云う系かも・・・<br /><br />今はUIのみに頼らなければ、Apacheで出来る事は ほぼIISでも実現可能で、<br />VisualStudioとの連携のし易さもあり、IISのみでの稼働になってますね。<br /><br />ただ、Apacheより面倒な点が多いのも 事実ではありますがね・・・(^_^;)<br />ナニよりIISだと、読み解かずにラクして使える資料が ほぼ無いwOkitsunesamahttps://www.blogger.com/profile/05359524999243157472noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-7327169691786679682016-11-29T19:15:10.920+09:002016-11-29T19:15:10.920+09:00> 偽じゃないでしょうか?~
まぁ 英文を完全に理解しての上と云うより、念の為 過度なアクセスはし...<b>> 偽じゃないでしょうか?~</b><br /><br />まぁ 英文を完全に理解しての上と云うより、念の為 過度なアクセスはしない程度に設定するほうが無難かな、と云う雑な判断で、<br />皆が ナニか意識しなければならないと云う話では無いのも事実ではあります。<br /><br />ぶっちゃけ 最初のコメント貰った時点で、本文を書き換えても良かったかもなぁ とは思うモノの、<br />ここでの やり取りとの整合性が破綻しそうだったので、あのまま放置して、本文に追記したと云う経緯も。<br /><br />また 動作としては、2週イチ程度の頻度で WindowsUpdateに伴う再起動の機会があり、<br />ログオン時のみ動作するスケジュールで、充分 TLS更新の 用を成していますね。<br /><br />具体的には、90日期限前でも ある程度期間が経過した後の 再起動に伴うスケジュールで 処理が受け付けられ、<br />適宜TLSが更新されるのを確認しています。<br /><br /><br /><b>> まともに動いていなかったり~</b><br />それは WindowsServer や letsencrypt-win-simple の出来の良さにガッツリ依存してますね。<br />WindowsServerに含まれるサーバ機能のみを活用した運用であれば、全く不安の無い動作してくれてます。<br /><br />rtmp鯖だけ nginxを利用してはいますが、そちらのWebサーバで TLS動作させるテストも支障が無かったので、<br />letsencrypt-win-simple の他に何か必要となるコトは、今の処無い模様。<br /><br />何かしら 余程イレギュラーな向きに凝った事をしようとする ないし、<br />サービスの大幅仕様変更でも無い限り、この点は変わらないかと。<br /><br /><br /><b>> アプリの開発用には~</b><br />letsencrypt-win-simple だけで充分完結している事もあり、その箇所に関連するモノの制作は予定していません。<br />適宜TLS動作してくれれはオンの字と云う状況。<br /><br />ただ、初期導入補助アーカイブ と schtasks.exeのコマンドラインは、気が向いたら掲載する予定ではありますが、<br />前者はともかく後者は、毎日アクセスする事を容認出来る利用者なら不要ではあるので。<br /><br />そもそも 拡張子のみのフォルダの準備などを、サーバ管理経験の無い向きに説明するのは面倒で、<br />そうした準備のみ済ませるアーカイブの提供くらいなら、どこにもサーバアクセスは無いので支障が無いと考えています。<br /><br />何かしら導入開始して いきなりエラーが出ると、初心者は焦って とんでもナイ行動をとるケースが少なくない現実を<br />多く診てきているので、それを回避する為だけの 転ばぬ先の杖 程度のモノになると考えています。<br /><br />手練れには、サーバ新設導入都度の手抜き用か 全く無用の長物にしかならないでしょうね(^_^;)Okitsunesamahttps://www.blogger.com/profile/05359524999243157472noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-64679861792527647602016-11-29T17:08:02.942+09:002016-11-29T17:08:02.942+09:00こんにちは。
返信ありがとうございます。私の方も,返信に今日気づきまして。
> 真偽は未確...こんにちは。<br /><br />返信ありがとうございます。私の方も,返信に今日気づきまして。<br /><br />> 真偽は未確認ですが、Let's Encryptからのエラーメッセージで<br />> BANとは行かないまでも、警告と取れなくもない一文があったような話もあるようで。<br /><br />偽じゃないでしょうか?少なくともまともに動いている更新確認に対しては, ban はきません。<br />まともに動いていなかったり,正当な期限後の更新ではないもの(強制更新を何度もかけるとか)には,下記の rate limits に則って ban が来ることがあります。<br />https://letsencrypt.org/docs/rate-limits/<br /><br />また, Let's Encrypt アプリの開発用には, staging server が用意されていて,そちら(下記)を使ってくれとなっています。動作チェックにもこちらを使うべきだろうと思います。こちらの rate は制限がかなり緩和されています。<br />https://letsencrypt.org/docs/staging-environment/o6asanhttps://o6asan.com/blog-j/2016/03/14/windows-上の-apache-に-san-対応の-lets-encrypt-製証明書を導入する。/noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-36808957445861685162016-11-06T15:21:35.557+09:002016-11-06T15:21:35.557+09:00WindowsServer2003の頃から比べたら 2008R2なんて便利過ぎてぬるま湯なくらいなん...WindowsServer2003の頃から比べたら 2008R2なんて便利過ぎてぬるま湯なくらいなんだがw、Okitsunesamahttps://www.blogger.com/profile/10443031846467853202noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-70404399222970863352016-11-06T15:19:42.546+09:002016-11-06T15:19:42.546+09:00しかし、やっぱりイマドキの鯖管理者は、WindowsServerの機能だけで
Web含むサーバ機能全...しかし、やっぱりイマドキの鯖管理者は、WindowsServerの機能だけで<br />Web含むサーバ機能全般を構築するなんて事はしないのかな・・・<br /><br />おきつねさまは、Windows2000 や WindowsServer2003 の頃から、<br />GNUな鯖にならある機能が無くて 不便しながらも、他は使わなかったんだがなぁ(´ヘ`;)<br />制約はあっても実現は出来たからねぇ、欲しい機能は。Okitsunesamahttps://www.blogger.com/profile/10443031846467853202noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-76757493466293771222016-11-06T15:09:14.070+09:002016-11-06T15:09:14.070+09:00しかし そうなると、単純に SchTasks の 記述を配布しても成立しないのか・・・
letsen...しかし そうなると、単純に SchTasks の 記述を配布しても成立しないのか・・・<br />letsencrypt-win-simple側でそのように動くよう改良されない限りは面倒が多い(´ヘ`;)<br /><br />VBScriptで管理者権限動作する場合確認画面が不可避だから自動更新には流用不能、<br /><br />タスクスケジューラ側で、TLS更新に成功したコトを検出出来れば、日付を自動定義するような記述の<br />bat叩いて対応出来なくはなさそうだが、果たして UACがドウ動くか・・・ <br /><br />万民の環境で無難に動くモノになるとは思えないが、一応模索してみるしかないか(´ヘ`;)Okitsunesamahttps://www.blogger.com/profile/10443031846467853202noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-44759935108194541992016-11-06T14:43:38.087+09:002016-11-06T14:43:38.087+09:00(^_^)/
コメントのスパム解除方法が判ったので、漸く返信出来る様に。
滅多にコメント貰わないの...(^_^)/<br /><br />コメントのスパム解除方法が判ったので、漸く返信出来る様に。<br />滅多にコメント貰わないので、使用方法確認して無くて・・・(;^ω^)<br /><br /><br />・・・さて、頂いた件について、<br /><br />失効直前に更新実行しても有効になっていない様に診えるのが改善され 且つ、<br />Let's Encrypt側鯖の負担にならないと云うのなら、<br /><br />別段 更新処理が毎日実行される事を忌諱する理由も無かったりします。<br /><br />・・・しかし、ケチな日本のサービスを基準に考えてしまうと、<br />その頻度でBANされかねないような気もしたと云うのが あの項を記述した理由だったりします。<br /><br />真偽は未確認ですが、Let's Encryptからのエラーメッセージで<br />BANとは行かないまでも、警告と取れなくもない一文があったような話もあるようで。<br /><br />まぁ気にする様な事では無かったのかも知れませんが・・・<br /><br /><br />また なにより、有効期間が90日あるのであれば、<br />80日前後経過した辺りから 毎日更新を処理するスケジュールを設定し、<br />更新処理成功時点でタスクスケジュールの内容を変更するようにしたほうが 合理的なハズ。<br />10回やってダメなら、結局別の問題があるでしょうからね。<br /><br />その点も踏まえると、問答無用で毎日実行と云うのは、少し雑で乱暴過ぎると考えた次第。Okitsunesamahttps://www.blogger.com/profile/10443031846467853202noreply@blogger.comtag:blogger.com,1999:blog-5972194570381538105.post-3062706666347466182016-10-25T12:01:35.123+09:002016-10-25T12:01:35.123+09:00こんにちは。
我が家へのリンクありがとうございます。
ところで,記事を拝見して,「★ Impor...こんにちは。<br /><br />我が家へのリンクありがとうございます。<br /><br />ところで,記事を拝見して,「★ Important」にお書きのことで,少し気になることがありまして。<br /><br />公式に下記の記述があります。 (https://certbot.eff.org/all-instructions/)<br />Note:<br />if you're setting up a cron or systemd job, we recommend running it twice per day (it won't do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let's Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.<br /><br />というわけで, letsencrypt-win-simple のデフォルトタスクも毎日実行されます。ただ,証明書の更新そのものは,最低 60 日を経過するまでは起こりません。 Let's Encrypt の証明書の売りは自動更新ですから,自動で更新されないとうまみが減ります。しかし,相手先の証明書発行サーバの状態によっては,更新が一度でうまくいかないことがあるでしょうし,仕様の変更とか compromise による破棄とかもあるでしょうから,そういうことへの対処手段ではないのかと,私は思っております。上記のノート内の記述もそのように読めます。<br /><br />もっとも, letsencrypt-win-simple の自動更新は, Windows 上の Apache では 2016.6.23 の時点ではうまく動きませんでした。その後,バグが取れているらしい情報をもらいましたが,現在私は別のスクリプトを使わせてもらっているので,情報通りかどうかは,未確認です。o6asanhttps://o6asan.com/blog-j/2016/03/14/windows-上の-apache-に-san-対応の-lets-encrypt-製証明書を導入する。/noreply@blogger.com