備忘録:証明書にハマった

備忘録

Let’s Encrypt の更新からはじまったハマりごと

Root証明の問題は告知されていたようだが、完全にスルー状態で

突然、センサーノードからのデータが止まった・・・

偶に起こるGWの不具合かと思いきや、2ノードから次々と停止

幸い、GWを見るカメラがあるので確認するとどうやら動いている?(何で??)

APIサーバのアクセスを確認すると、アクセス形跡がない・・

ただ、他に動いているノードはあり、その2台は同時にアクセスがなくなったわけではない

手元の同種のGWを起動して通信テストをすると、なんとエラー発生・・・

ログを見ると、証明書の検証ができない、とのこと

「あっ・・・」証明書を更新したタイミング、失敗したか?

調べるとこの記事

とにかく、シンボリックリンクを書き換え、1つ前に戻したが、更新期限間近・・・

GWは古いOSなので、root証明がないのが原因

ルート証明を手に入れて、端末に登録すると通信は再開

しかし、止まってしまったGWは遠い場所・・・

いろいろ回避できないかやってみたが、httpsという形でアクセスするようにプログラムしてあるので、どうにもならない感じ(どうにかできてしまうと、それはそれでセキュリティ上問題)

一方端末側は、ソフトにroot証明を組み込もうと思ったがうまく行かず、証明書検証をスキップするクラスを作り(Google先生に聞いた)無視するのはうまくいった

が、やはりそれはよろしくないのと、結局、遠いGW設置場所でプログラム書き換えが必要なので、現場に行くならRoor証明を端末に登録する方法にすることとする

が、行くタイミングが中々とれず、お金で解決することに

JPRSの証明書ならば 1,000円程度なので自腹を切って購入(古いOSも大丈夫との確認済み)

で、CSRを作成し・・・

久々にやったので、とりあえず手順通りに・・・

パスフレーズ設定・・・なんか心にひっかかたが、手順通りに設定

とりあえず購入、ドメイン確認になったが。これも忘れていいて、検証ファイルの置き場所に手間取る

APIサーバはnginxを使っていて、基本的に素のアクセス(デフォルト/のみ)経路はAPIやその他に飛ばしている

通常、Let’s Encryptの更新時は、一瞬nginxを止めてApacheを動かして、すぐ戻すとしているが、今回は検証が済むまで(いつアクセス来るかわからない)APIが止まってしまうので、nginxも書き換えて検証用のパス設定

ようやく、証明書が発行される

インストールしてnginxを再起動・・・エラー・・・・

まいった・・・server.keyが読めないと・・・

ここで、心にひっかかったパスフレーズを思い出し、解除(これ前に同じことやった気がする)

さあ、これで!と思いきや

今度は証明書が読めない!とエラー・・・まいった

と思ったら、いろいろ変更していた(シンボリックリンクとか)ファイル名が間違っていただけでした

これでようやく復旧

1点感じたのが、この一連の作業は現在レンタルサーバ向けにシステムが作られており、多くの解説がそのシステムの使い方手順になっているので、自分の環境には合わない。

忘却の彼方にある手順を思い出しながら(Google先生に頼り)実施したが、これで良いのだろうか?という疑問。

仕組みというか、構造がわからないまま設定、使うのは何だか気持ち悪い。コンソール端末でキーボードを叩くのもう古いのだろうか・・・確かに面倒なのだけど

そういえば、Let’s encryptの更新時に出てたエラーも確認しておかないと、別のところでハマるかも・・・orz

1か月前