今日も適度にチューニング.残る調整は,上位管轄DNSの設定とGoogle Appsへの丸投げとSquidの確認かな.最大の難関はサイトのデザインがテンプレそのままなのをなんかすることか.デザインセンスがないから,どうにもできないが.
・BINDがエラー吐きまくり
BINDが以下のようなエラーを吐きまくっている.以下,ログ.長すぎるので,適宜改行.
Nov 19 11:20:49 neodymium named[5139]: too many timeouts resolving
'195.206.188.210.in-addr.arpa/PTR' (in '206.188.210.in-addr.arpa'?): disabling EDNS
Nov 19 11:20:50 neodymium named[5139]: too many timeouts resolving
'178.68.125.75.in-addr.arpa/PTR' (in '125.75.in-addr.arpa'?): disabling EDNS
そうそう.前にサーバ名はhydrogenとか言いましたけど,hydrogenは無線LANルータが陣取っているので,無難なneodymiumを割り当てました.IPアドレスを推測しないでね><.
閑話休題.エラーが起きた時は,too many timeouts resolving disabling EDNSって,そのままググればいいと思うよ.だって,そのためにエラーをそのまま貼り付けているわけだし.で,色々な情報に出会うわけだが,serverでedns noするのも,optionsでempty-zones-enable noするのも,両方ともに効果がなかったので,仕方がないので,以下の方法で対処した.根本的な解決ではないなぁ・・・.
とりあえずnamed.confに、
logging {
category edns-disabled { null;};
};と書いておけば、以降は記録されなくなるらしい。
対処療法的だなぁ.ついでだから,category lame-servers { null; };も合わせて書いておく.
・SSLサーバ証明書をゲットしよう!
安さ爆発はどの程度なのかを確認するため,以前にまとめたように,最安と思われるFlySSLを買ってみる.$9.99/年なので,$38/年でルートがmd5RSA-1024のヤツよりはいいと思います.値段的な意味で.
まず,ご存じのように,CSR(Corporate Social Responsibility; 企業の社会的責任)を作成します.っておい!違う違う.意味的にはあってるような,あってないような・・・.正しくはCSR(Certificate Signing Request; 証明書署名要求)です.作り方は,この辺かこの辺を参考にするといいと思います.一応,手順としては,
/etc/ssl/private# openssl genrsa -des3 -out FQDN.key 1024
Generating RSA private key, 1024 bit long modulus
.....++++++
................................................++++++
e is 65537 (0x10001)
Enter pass phrase for FQDN.key:
Verifying - Enter pass phrase for FQDN.key:
/etc/ssl/private# openssl req -new -key FQDN.key -out FQDN.csr
Enter pass phrase for FQDN.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:fuga
Locality Name (eg, city) []:hoge
Organization Name (eg, company) [Internet Widgits Pty Ltd]:fuga
Organizational Unit Name (eg, section) []:hoge
Common Name (eg, YOUR name) []:FQDN
Email Address []:webmaster@FQDN
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
/etc/ssl/private# openssl rsa -in FQDN.key -out nopass_FQDN.key
Enter pass phrase for FQDN.key:
writing RSA key
/etc/ssl/private# cat FQDN.csr
-----BEGIN CERTIFICATE REQUEST-----
なんやかんや
-----END CERTIFICATE REQUEST-----
rootで作業するなとかいうツッコミは華麗にスルーします.一応,鍵のパスフレーズを外しておきましたけど,外さない方がセキュリティ的にはいいと思います.
あとはFlySSLの方にCSRを投げつければ良いのだが,ドメイン所有者を確認するために,指定のメールアドレスに確認メールを送るから,どこに送ればいいか,選べと言われる.選択肢が,admin@とかroot@とかwebmaster@とかなっている.つまり,なんだ.メルサバを建てないと申請が進まない・・・.今日もsnakeoilで頑張る!
