ページビューの合計

ラベル 証明書 の投稿を表示しています。 すべての投稿を表示
ラベル 証明書 の投稿を表示しています。 すべての投稿を表示

2022年9月1日木曜日

ノーツクライアント上での #OnTime グループカレンダーの挙動について

This time I have tested the OnTime group calendar.

I was annoyed by the iNotes login screen that was not supposed to appear...or rather, my own misconfiguration that caused confusion for the support staff.


みなさま、こんにちは。
さてまずは告知から・・・

●ノーツコンソーシアム 第三回大阪研究会

アジェンダ(予定)
・HCLタイム
・NOTES er が Basic Notes にムチ打って、無理させた件
・大阪研サーバーのメールセキュリティ対策
・ほんとにあった怖いNotesアプリの設計
・欲求の4タイプでわかるあなたと他人
・HCL Nomadアプリ開発(仮)

大阪研のカラーが満喫できる半日になるはず。
現地に関わらず、リモート参加も大歓迎です。
コンソーシアム会員にかかわらず、ゲスト参加も大歓迎です。ぜひタイトルリンクよりお申込みください。

2022年5月2日月曜日

#証明書 #自動更新

 I am pleased to report that automatic updates of Let'sEncrypt are now working with Domino V12.0.1 and Amazon Route53.

In conclusion, I felt that this feature should definitely be used if your environment allows it!

みなさま、こんにちは。

さて先日、第一回大阪研究会を開催させて頂きました。
簡単にブログ記事にて公開致しておりますので、ぜひご一読ください。

こちらにも書いていますが、今年の大阪研は研究会活動以外にも活躍の場を広げて参ります。
ぜひご期待ください。!


さて今回は弊社で運用してますDominoサーバー2台(アプリケーション+メール、Traveler)の証明書をLet's Encrypt + AWS Route53への切り替えで、自動更新に成功しましたので、報告させて頂きます。

あらかじめお断りですが、本作業は私が実施したのではなく、株式会社エフ
そう、エフといえば御代アンバサダー・・・にお願いして、実装して頂きましたので、設定手順等については説明致しませんので、ご了承ください。


まずは背景です。

弊社では従来、両サーバーは自己証明書を利用していました。
つまりブラウザからアクセスする場合、毎回以下のような画面が表示され、無理やり開く必要があったのです。


邪魔くさいですよね~

社内で配布するマニュアルもこの画面を経由してログオンするマニュアルになってました(汗

ただ証明機関を利用した証明書となると、結構費用が発生してしまいます。・・・・Let's Encryptを除いては!!

そういえば、以前に中野アンバサダーの以下記事を読んで興味を持っていたことを思い出しました。

Let's Encrypt で取得したマルチドメインでワイルドカードなTLS 証明書をエクスポートしてみた

V12.0.1ではCertMgrが強化されているのでしたら、ぜひ使ってみたい。

弊社の環境はイントラ内の閉じた空間にDominoが、DMZにTravelerが存在しています。
CertMgrではHTTP-01チャレンジとDNS-01チャレンジが利用できるのですが、HTTP-01チャレンジは対象サーバーがLet's Encryptと80番ポートでの通信が必要なため、弊社ではDominoサーバーがNG。

ということでDNS-01チャレンジを選択することとなりました。

DNS-01チャレンジの場合、対応できるDNSサービスを利用する必要があるのですが、たまたま・・・ほんとうにたまたま、弊社では近々にAWS Route53へ移行の準備を進めていたのです。

先の中野アンバサダーのブログでも、Route53を使って成功したと書かれており、トライしてみることとしたのです。

エフ様に依頼して数日。
この間、エフ様でも弊社と同じ環境を準備頂け、そちらでテストの上、概要と手順書を作成して頂けました。

それらを利用し、2月28日 13時から実環境の作業に入りました。


弊社の環境でひとつ引っかかったのが組織でした。
弊社ではDominoとTravelerを別の組織にしてしまっていたのです。

こうなると、Dominoサーバーで取得したワイルドカード証明書をTravelerで利用できないことが判明しました。

従って、両方のサーバーに更新するプログラムと設定を追加することとなりました。

まずはDomino。

ちょっとしたトラブルはありましたが、スムーズに完了することができました。

続いてTraveler。
こちらは先のDominoの内容をコピーしつつだったので、問題ないかと思いきや、エラー!!

しばらくふたりで頭を抱え、いろいろと調べてみました。

御代様が細かなログを見ていて気付きました。

サーバーとRoute53のやり取りで、一時的にDNSに「_acme-challenge.ドメイン」というTXTレコードを追加し、それをキーに認証が進むことで証明書が発行されるのですが、Travelerサーバーに関して、既にこのキーがなぜか存在していたのです!

なぜこんなキーがあるのかは不明なのですが、恐らく使っていないだろうと判断して、既存キーをリネームして再度実行したところ、無事証明書を取得することができました。

Verseを開くと、もちろん証明書エラーの画面は表示されず、鍵がかかった表示となりました。


鍵マークをクリックすると、「この接続は保護されています」となり、


さらに▶をクリックすると、「証明書は有効です」となっています。


最後に証明書です。
以下が自己証明書になります。


消してしまってますが、文字通り「発行元」と「発行者」が同一であり、アイコンも×が押されています。

以下が今回取得したものです。


発行先は先と同じなのですが、発行元が「R3」となっています。
もちろんアイコンには×はありません。

ちなみにLet's Encryptの証明書は有効期間は3カ月なのですが、両サーバーの設定を証明書期限の30日前で設定しています。


っとここまでで公開してもよかったのですが、せっかくなので自動更新を確認してから本記事を公開させて頂くこととしました。

少し社内の確認作業があり、Travelerサーバーは一度手作業で更新してしまったので、アプリケーションサーバーのみの結果になります。

まず早速ですが、証明書を確認します。


期限が2022/04/30からのものに変わっていました。

つぎにCertManagerの内容を確認します。


最終更新が 2022/04/30(土) 13:39:27 になっており、証明書の更新日、有効期限も適切に処理が完了されていました。

さらにトレースログです。

前回 2022/02/28 から 2022/04/30 までとんでますね。

一部内容ですか、以下となります。


DNSのTXTレコードを書き換えていることがわかりますね。

ちなみに前回の証明書はアーカイブされています。

いかがですか?
これで証明書の更新が完全に自動化されたことがご理解頂けたかと思います。

便利ですよねー。

Domino V12.0.1を利用されていて、DNSが対応しているのでしたら、使わないのはもったいない機能かと思います。

もしご興味ございましたら、ぜひ信頼と実績の株式会社エフへお問い合わせください!!




2019年5月22日水曜日

ほんとに困った #traveler のはなし・・・

This time, I am talking about the setting of the Traveler who really got in trouble with us.

みなさま、こんにちは!!
早速ですが、今回は弊社で発生しました、ほんとうに困ったTravelerの設定に関しての話題になります。

弊社ではiPhoneにプロファイルを取り込んで、Travelerを利用できるよう設定しています。
具体的にはiPhoneのブラウザ・・・基本的にはSafari・・・からTravelerサーバーにアクセスし、認証を介することでiPhone内にプロファイルが取り込まれ、iPhoneのデフォルトメールアプリでDominoサーバーのメールと同期できるようになります。

さてそれでは困った背景です。
ご存知の通り、iOSはさまざまな設定がOSのアップデートに含まれております。
以前にも一部のSSLを一方的に遮断され、大騒ぎしたことがありました。


今回は証明書に関する設定変更になります。
iOS10以降、自己証明書を使ってhttps通信が接続できなくなったことに起因していました。

そのため、SafariでTravelerサーバーのURLを表示させると、以下のような画面が表示されます。



この画面については従来から表示されていたため、何の違和感もなく「詳細を表示」をタップします。すると・・・


こちらの画面が開きます。この画面が以前と違っていました。
以前はこの文面に「詳しくは、証明書を見ることができます。それに伴う危険性を理解している場合には、このWebサイトを閲覧できます。」のようなリンクがあり、こちらをタップすることでTravelerサーバーにアクセスすることができました。
ところが!!
現在はそのリンクがなくなっており、アクセスする手段が絶たれてしまったのです。

さらにこの中の「詳細を表示」をタップしますと、以下証明書が表示されました。


期限は2024年までのため、少なくとも期限切れでないことはわかりますが、さらに「詳細」を見ても、


証明書の内容が表示されるだけで、何のアクションも行うことができませんでした。

その後いろいろと調査しました。
キャリアへはこのままだとAndroidに切り替えるかもというプレッシャーを与えたり、MDMのメーカーともバージョンアップ等の作業。もちろんApple社にも相談し、iPhone構成ユーティリティ・・・現在はApple Configuratorという製品に切り替わっているそうです・・・を試してみたり。

そうこうしているところ、弊社の窓口会社より以下連絡が入りました。

 「Windows 環境で OpenSSL KYRTool を利用して自己署名証明書を作成する」

ただし、この前提として

ただiOS9以降、暗号化通信を行う場合、TLS1.2のサポートとSHA256の証明書は必要となる様です。
DominoTravelerモジュール共、TLSに対応したバージョンが必要です。
 ※TLS1.2のサポートのために必要なDominoバージョン:Domino 9.0.1 FP3 IF2 以降

 ※iOS9対応TravelerTraveler 9.0.1.7 以降

ということでした。

現在、Verse移行も含めたハイブリット化+V10マイグレーションを予定しているため、TLSだけの作業を先行するか、ハイブリット化を早めるかを検討することになりました。

また進展しましたら、改めて報告させて頂きます。