sslをportベースのvirtualhostで、とか言っても情報が少なすぎる。現状、自宅サーバーはネームベースで振り分け。apacheのヴァーチャルホストは名前、IP、port、が混在できるので、portベースも試してみようかと。

SSLについてぐーぐる様詣で。

なんか仕組みが見えてきた、今頃今さら。暗号化と認証は別物だった。一緒くたなもんだから複雑に見えるのだ。暗号化に関してはわたしがやろうがベリサインがやろうがジオトラストがやろうが、技術も強度も同じ。秘密鍵を使って暗号のやりとりを可能にする。で、この秘密鍵が文字どおりキー。これを誰かに取られたりすると、そのサーバーとのやりとりで暗号化されたものが簡単に読み取られる。らしい。ずさんな管理をしてないよ、というお墨付きというか身元保証人が認証局だ。一年間で10万近くするベリサインのお墨付きは、秘密鍵が盗まれて被害に合っても保険つき。ジオトラストの代理店が年間15000円程度、だったかな。

でも、試す程度に金なんて使いたくない。

自己認証というのがある。自分で自分を「いや、こいつは見た目はポンコツだけど、大丈夫」と保証する。って、誰も信用してくれない。IEやFireFoxには信用できるリストが入っていて、それと照合する。どこの馬の骨ともわからないタダのおっさんが、自分のことを自分で「おれは大丈夫なんだよお」といったところで、無視。こいつは怪しいぞ、という脅しにもとれるダイアログがどかんと出てくるのだ。金の力が信用の力。

それはともかく、自己認証でも、ブラウザに登録すれば大丈夫。なので、自分で試す分にはこれでいいかな、と。また、もしかするととても数の少ない友人知人なら信用の証をブラウザに登録してくれるかもしれないし、とりあえずインストール、だ。

しかし、今日は強烈な二日酔い。午前中は冷や汗頭痛ゲロまみれ。何度もトイレにそーっとかけこむ。明日は午前中に歯医者だし、今日は無茶な飲み方ができない。昨日のうちにちょっと飲んでしまえ、と思ったのが敗因だった。まったく我ながら、あほう、な「いじきたなさ」だったなあ。うううぬ。

[02/25 01:10:53]

自分メモ 呪文各種

すべて、ユーザーはrootである必要は、ない。

カレントに生成される（apache2のssl.confはデフォルトとして/usr/local/etc/apache2/ssl.key ssl.crtなので、鍵はssl.keyに、認証局からの証明書はssl.crtに、という方針で）

ファイル名には特に決まりは、ない。

１．秘密鍵の生成

openssl genrsa -out server.key 1024

秘密鍵ができたら chmod 400 でファイルオーナー以外に見られないように。

２．認証要請書の生成

openssl req -new -key server.key -out csr.pem

３．自己認証

openssl x509 -in csr.pem -out server.crt -req -signkey server.key -days 365

いろいろオプションはあるけど、上記の呪文でほぼ大丈夫、のようだ。

ssl.confでは

Listen [::]:443

Listen 0.0.0.0:443

Listen 0.0.0.0:8080

<VirtualHost _default_:443>
DocumentRoot "/usr/local/www/test1"
ServerName www.holeinthewall.jp:443
〜〜〜〜
<192.168.0.1:443>
DocumentRoot "/usr/local/www/test2"
ServerName 192.168.0.1:443
〜〜〜〜
<192.168.0.1:8080>
DocumentRoot "/usr/local/www/test3"
ServerName 192.168.0.1:8080

てなところだ。鍵は各々ServerName分作成。これでなんとかうまくいってんのかなぁ、と。

[更新]2026-02-05 09:22:26