QNAP の仮想ホストで SNI

昨日はどうにか仮想ホストでちゃんと中間証明書を有効にする方法を確立した。さらに一日経って、頭が整理できて、全体的により洗練されたやり方に行き着くことができた。昨日の成功をベースにして SNI(仮想ホストのそれぞれで別々の証明書を使い分けること)も余裕でできることがわかったので、それも含めて、全体を整理し、洗練したやり方になったので、それをまとめておこうと思う。

Web サーバーのポートの設定

Web UI 用のポートは「システム設定 > 一般設定 > システム管理」で 8080(HTTP)と 8081(HTTPS)に設定した。さらに、「HTTPS のみを使用する」設定にした。

Web サーバーのポートは「Webサーバ > Webサーバ」で 80(HTTP)と 443(HTTPS)に設定した。さらに仮想ホストの設定で、 443(HTTPS)の設定の仮想ホストだけをエントリーした。

StartSSL での証明書の取得

StartSSL で、仮想ホストそれぞれの証明書と、XXX.myqnapcloud.com 用の証明書もついでに取得する。これらの中間証明書はすべて共通(StartSSL)の中間サーバーのものとなるので、中間証明書は別々に用意しなくてもいいのが洗練されたやり方となるポイント。

それぞれの Web サイト認証は、「Website Control Validation」のリンクをクリックして、認証用の HTML をダウンロードし、ウェブサイトのルートに設置してから、認証ボタンを押して、認証を成功させることができる(認証後は、認証用 HTML を削除して構わない)。ちなみに、XXX.myqnapcloud.com のルートは、/share/Web そのものである。

XXX.myqnapcloud.com 用の証明書の設定

XXX.myqnapcloud.com(Web UI)用の証明書は、Web UI から「システム設定 > セキュリティ > 証明書とプライベートキー」で行える。StartSSL からダウンロードした zip の中の さらに ApacheSever.zip の中の 2_XXX.crt を証明書としてアップロード、秘密キーには、StartSSL のツールボックスの「Decrypt Private key」で暗号化を解除した秘密キーをペーストしてアップロード、1_root_bundle.crt を中間証明書として(「発行者の中間証明書をアップロード」をチェックして)アップロードする。

この作業だけで、まず、XXX.myqnapcloud.com は https が正常に有効となる。

QNAP の Web UI は、この設定作業を通じて、中間証明書を /etc/stunnel/uca.pem に保存する。前回リバースエンジニアリングによってこのことを突き止められたので、仮想ホストの設定の際には、この中間証明書を利用する形にすればエレガントになる。

各仮想ホスト用の証明書の設定

前回のリバースエンジニアリングによって、HTTPS を有効にした仮想ホストの設定は、/etc/config/apache/extra/httpd-ssl-vhosts-user.conf にあることが判明した。この中の次の箇所を次のように修正する: 

- SSLCertificateFile "/etc/stunnel/stunnel.pem"
+ SSLCertificateFile "/share/Web/mydomain.com/cert/server.pem"
+ SSLCertificateChainFile "/etc/stunnel/uca.pem"

仮想ホストの証明書のパスは好みで ok だが、SSLCertificateFile で仮想ホストの証明書を、SSLCertificateChainFile で中間証明書(のチェーン)を指すようにするのがポイント。で、中間証明書は XXX.myqnapcloud.com の設定で作成されるものと共通なので、画一的に /etc/stunnel/uca.pem を指定しておけばよい。

ちなみに、仮想ホストの証明書は、暗号化を解除した秘密キーを先頭に、続いて仮想ホストの証明書を記載する形式になっている。

仮想ホストが複数ある場合は、上記箇所が、仮想ホスト分エントリーが存在する。それぞれについて、それぞれの証明書を指すようにパスを指定することになる。これで SNI が実現する。

※ httpd-ssl-vhosts-user.conf は、Web UI で仮想ホストの設定を変更したりしたタイミングでリセットされてしまうので(ちなみに NAS の再起動ではリセットされないようだ)、その点には留意しておく必要がある。

HTTPd の再起動


/etc/init.d/Qthttpd.sh restart

リダイレクト用の index.php のカスタマイズ

XXX.myqnapcloud.com のルート(/share/Web)には、リダイレクト用の index.php が存在する。これは設定状態に応じて、HTTP を HTTPS にリダイレクトしたりする機能を提供するのだが、myqnapcloud 用には上手く機能するものの、仮想ホスト用には上手く機能しない。例えば、ここでは、仮想ホストは一律 HTTPS(443)のみを使うようにしてあるわけだが、HTTP(80)でアクセスした場合、443 ではなく、myqnapcloud 用の 8081 の方へリダイレクトされてしまい、Web UI のログイン画面が表示されてしまう。独自ドメインで運用する仮想ホストで、これはまずい。そのため、index.php をカスタマイズして、myqnapcloud 以外のドメインの場合は、443 の方にリダイレクトするように修正した index.php へと差し替えた。

<?php
function isIPv6($ip) {
    if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6) === false) {
        return true;
    }
    return false;
}
function isMyCloudNAS() {
    if (isset($_SERVER['HTTP_HOST']) && strlen($_SERVER['HTTP_HOST']) > 0)
        $_http_host = $_SERVER['HTTP_HOST'];
    else
        return false;
    $mycloudnas_domains = Array(
        'mycloudnas.com',
        'myqnapnas.com',
        'qcloudnas.com',
        'myqnapcloud.com'
    );
    foreach ($mycloudnas_domains as $d) {
        if (strncasecmp(stristr($_http_host,$d),$d,strlen($d))==0) {
            return true;
        }
    }
    return false;
}
$webAccessIP = $_SERVER['SERVER_NAME'];
if (isMyCloudNAS() == true) {
    $extPort = exec('/sbin/getcfg System ExtPort -d 0');
    if (intval($extPort)>0)
        $webAccessPort = $extPort;
    else
        $webAccessPort = exec('/sbin/getcfg System "Web Access Port" -d 8080');
    if ($_SERVER['HTTPS'] && exec('/sbin/getcfg Stunnel Enable -d 1') == '1') {
        $protocol='https';
        $webAccessPort = exec('/sbin/getcfg Stunnel Port -d 443');
    }
    else
        $protocol='http';
} else {
    # mycloudnas 以外の仮想ホストは一律、https (443) のみとする。
    $protocol='https';
    $webAccessPort = 443;
}
if (isIPv6($webAccessIP))
    $webAccessUrl = $protocol.'://['.$webAccessIP .']:'.$webAccessPort.'/';
else
    $webAccessUrl = $protocol.'://'.$webAccessIP .':'.$webAccessPort.'/';
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
<meta http-equiv="expires" content="0">
<script type='text/javascript'>
    location.href = '<?=$webAccessUrl?>';
</script>
    </head>
</html>

SNI 達成!

以上で、QNAP だけで、SNI が実現できてしまう。もともと Web サーバーは、さくらインターネットのスタンダードプランを年間契約しているのだけど、来年はメールだけのプラン(さくらのメールボックス)に変更するというのも、一つの手かもしれない。

コメント

コメントを投稿

このブログの人気の投稿

OpenWrt での Wi-Fi 設定

イメージ
OpenWrt をインストールしたら、まず最初に手を付ける作業が Wi-Fi(Network > Wireless で該当デバイスの設定を Edit)。初期状態では Wi-Fi が無効化されているため、Wi-Fi を有効化しておかないと、有線 LAN で直結していないノート PC(Macbook)から作業できない、というのが個人的には決定的な理由。 設定自体は特に難しくはなく、大まかには 2.4G 帯と 5G 帯それぞれについて、暗号化キーを決め、SSID や周波数チャンネル、出力強度をカスタムしたりする程度。最後に Enable して Save & Apply する流れとなる。 以下では、最初に、作業用の古いノート PC(Linux)から有線 LAN でルーターに接続して設定を行い、5G 帯をアクセスポイント・モードで有効化し、Wi-Fi 経由で MacBook が接続できるようにしてから、(Linux マシンと LAN ケーブルを片付けて)残りの作業を行っている。 5G 帯のアクセスポイント設定 WZR-HP-AG300H の場合では radio1 が 5G 帯(802.11an)となっているので、この Wireless 設定を Edit する。 Device 設定(Advanced Settings) 上半分の Device 設定についてはまず Advanced Settings タブの国設定で「JP - Japan」を選ぶ。 Interface 設定(基本設定) 下半分の Interface 設定については上のスクリーンショットのように Mode を「Access Point」、ESSID を適当に設定する(ここでは「OpenWrt」としている)。 Device 設定(基本設定) 国設定を選んだので、基本設定のタブに戻る(下のスクリーンショット)。 チャンネルは auto にすると、PC(受信端末)側のアクセス可能範囲外のチャンネルが選ばれてしまう場合があるので、確実に接続できるであろうチャンネルを手動で選んでおいた方が無難だろう。出力パワーは最強にしておいた。帯域幅はデフォルトの 20 MHz 幅のまま(40 MHz にすると倍化するが、その分、他の Wi-Fi との干渉もし易くなるため)。 ...
続きを読む

シークエンスパパとも 本物の霊能力

イメージ
Ms Sarah Welch / CC-BY-SA-3.0 シークエンスはやともを知ったきっかけ TV を見ない僕がシークエンスはやとも(YouTuber。吉本興業所属)の存在を知ったのは、今年の春(3 月か 4 月)の頃だったと思うが、YouTube でふと宜保愛子の動画を探していて、彼が宜保愛子を称賛するものを見つけて以来だったと思う。 それ以来いくつかの彼の動画をちょくちょく観るようになって、彼の霊能力が父親(シークエンスパパとも)譲りであり、パパともも息子のはやともに勧められて(癌闘病の傍ら)YouTuber として活躍していたのだが、残念ながら今年 1 月末に逝去していた、ということなどを知るようになった。 シークエンスパパともを知ったきっかけ はやとも流れでパパともの動画を観るきっかけになったのは、画面脇のお勧めに出ていた親子対談の動画を見たのが切っ掛けだった。 そこでのパパともの宮本武蔵に関するコメント(「晩年の宮本武蔵は一生懸命仏像を彫ったりしていたが、(若い頃)子供の道場主を殺したりしていたことによる怨霊は除霊できなかった」)に少しシビれた。息子のはやともが、まだ若いせいもあって、ちょっと話がマクロな(思想論や社会論的な)方向に行くと、厨二病的な傾向があるのには食傷気味な感じがあった。一方で、パパともの宗教・倫理観的な考えの方がその点、人間的な深さを感じるものがあったので、それがパパともに興味を引かれたきっかけだった。 パパともの霊能力に衝撃を受けた理由 そこで、初めて、パパとものチャンネルの動画もいくつか観たりしたのだが、「未解決事件を霊視する」という中々に攻めた企画を初期にやっていて興味深かったのだが、中に、上野の不忍池での事件(僕自身はこの 2006 年の事件については知らなかった)を扱ったものがあった: 「あっ!」と思ったのが、奇しくも前日(2023-06-28)、全く別のチャンネルの別の動画で、霊媒師が同じ事件を霊視するという企画のものを観ていたのだった: 千原せいじの YouTube チャンネルで、彼がコラボをしている飯島唯という通称・ギャル霊媒師の方が霊視をしている。 パパともの動画は 2021-05-12 と 2021-05-15 に公開されたものであるのに対し、ギ...
続きを読む

和歌山(?)の女性宮司の霊能力者を特定した

イメージ
昨夜、ニンゲンTVに登場した和歌山(?)の女性宮司の霊能力者の後編が公開された。滅茶苦茶気になったので、全力で我が特定力(?)を駆使したが、今ようやく特定できた。疲れた…… orz 前編を観た段階で、原田龍二が浮遊霊にいつの間にか憑かれていたことが発覚。『神島編』以来の肩の不調の原因だったようだが、だとしたら降魔師・阿部吉宏の立場は……。 まあ、数日前、僕は阿部さんは意外と「討ち漏らし」はあるんじゃないかという説を「 ニンゲンTVのヤバい心霊映像で気分が悪くなった……(その 2) 」という記事でも述べたりしていたので、霊能力者としては「感知能力が戦闘能力よりも劣る」タイプなのかなとは思っていた。 原田のヨイショと、天野ディレクターの良くも悪くも優秀な演出・編集によって、阿部さんが完全無敵の守護神(いわばオリヴァー・カーン)のように扱われているが、世には霊能者は他にも存在し、その中で阿部さんが完全無欠なのかというとそういうわけでないと思うし、本人も結構、そのあたりは謙虚な発言をしている。だが、ニンゲンTVの番組の演出上、これまで阿部さんを他の霊能者と比較するような場面がなく、ただ、非能力者である他のメンバーから唯一絶対的な能力者存在として扱われてしまっていただけだ。 阿部さん加入前に、ニンゲンTVがコラボをしていた凄腕霊能者の山口彩さんが好例だが、阿部さんが自身で謙虚に述べているように「 上には上がいる 」というのが本当のところだと思う。ただ、そういったプロ中のプロとして活躍中の霊能者の人たちだと、廃村・廃墟といった心霊スポット巡りの撮影に参加してくれるようなフィジカル的にもタフな人材は(阿部さんを除いて他に)見つけることは難しいように思われる。 原田の亡き祖母との再会の仕方に関する回答や、霊的な世界に関する見解など、この宮司は、(一霊四魂や言霊など)神道寄りながら、かなり良い指摘の仕方をする方だったと思う。神道なのに、最後は仏教的な輪廻転生観に基いて語っていたのも印象的だった。
続きを読む