AWS ELBで常時SSL化したときの嵌まったことのメモ

お客さんのサイトを常時SSL化をしたときのメモ。というか嵌まったことをメモする。

現在は、AWSのELB+EC2(Windows Server)で運用している。EC2はとりあえず一台で運用している。インスタンスが一つでも、ELBを入れておけば、サーバーのアップデートとか入れ替えが簡単だし。

以上を常時SSL化を実施する。まずは、AWS Certificate Managerで証明書を発行する。認証が必要なのでDNSで認証する。AWS Certificate ManagerかかRoute 53に認証するSNAMEを追加してくれるので認証が簡単。

HTTPでアクセスしたとき簡単にリダイレクトの設定をしてしまうとループするようなので、IISのReWriteモジュールにリダイレクトのルールを追加する。Web,configにAWSのサポートページにあったルールを追加するとエラーになる。これからがトラブルの始まり・・・。

IISの設定から手作業でリダイレクトルールを追加する。参考にしたのは、こちらのページ。こちらでエラーもなくリダイレクトルールを追加できた。

【AWS】HTTPS+ELB リダイレクトループから抜け出す方法とは

次にAWS ELBにHTTPSのリスナを追加する。そのときAWS Certificate Managerで作成した証明書を指定する。これで完了を思いきやサイトにつながらなくなった。

EC2のセキュリティグループを確認したり、Windows Serverのファイヤウォールを確認したりといろいろやってみたところダメ。これで作業終了かと思ったら、単にELBのセキュリティグループにHTTPSの設定がなかっただけだった。HTTPSを追加したらアクセスできた。

しかし、www.付きのドメインだとEdgeやFirefoxでは証明書エラーとなる。www.なしのドメインだけだと正常。Chromeだとどちらでも保護されていると正常となる。

これはAWS Certificate Managerで証明書を作ったときの失敗だった。www.無しのドメイン名だけで作成していた。www.付きでも大丈夫のように別名を指定して証明書を作ってあげるようにする。おかげで再度証明書を作り直す。

AWS Certificate ManagerでDNS認証で、どういうわけかwww.付きのドメインの認証がやたら時間がかかった。作成に失敗したかと思って、もう一回証明書を作成し直してしまった。www.無しだとすぐに認証してくれたけど、無しだと1時間くらい認証に時間がかかった。これがAWSの仕様かどうかは不明。

ELBのリスナーにHTTPSを追加する。このとき前の証明書の選択項目が残っていてリスナーの追加に失敗する。ELBから一旦別のAWSのサービスに行ってからELBに戻ると正常に追加できた。

これで常時SSL化は完了。HTTPでアクセスしてもHTTPSにリダイレクトしてくれることも確認する。www.付きでも無しでも正常にアクセスしてくれることも確認する。

途中、心が折れそうになったけど、無事に常時SSL化は完了。

デジサート社証明書再発行したけどIISにインストールできない件

お客さんから「さくらインターネットからSSLの証明書を再発行しろってメールが来たけどやっておいて。」と連絡があった。デジサート社(旧シマンテック社)が発行したSSLサーバー証明書を、Chromeで失効されてしまうので再発行しなければいけないそうだ。

デジサート社証明書再発行対応について

転送されてきたメールに書いてあったさくらインターネットの指示通りにサーバー証明書を取得の手続きを行う。しかし、発行ステータスが手続中のままで一日経っても進まない。さくらインターネットのサポートに問い合わせると、認証ファイルを再度アップしなければいけないそうだ。説明書をよく読んでいなかったし(どこかに書いてあるかわからない)のが大きな敗因だった。サポートからは「認証できていないから。」の一言だったのはやさしくないサポートだった。認証ファイルを設定しなけれいけないなんて、とんと忘れていたので(更新の一年に一回しか作業しないし)、認証ファイルをアップし直すということまで、たどり着くまで時間がかかった。最初はIPアドレスの許可かファイヤウォールの設定かと思った。

無事に認証されてサーバー証明書をダウンロードできるようなった。今度はWindows ServerのIISにイントールしようとしたらできなかった。IISの「証明書要求の完了」でインポートしようとしたところ、問題なくインポートできてサーバー証明書一覧に表示されるのがが、他のページに遷移したり更新をすると一覧から消えてしまい、バインド設定ができなかった。

再度、さくらインターネットに問い合わせたところ、自分のところのサーバーではないからサポートできないと回答されてしまう。その回答メールの中に

今回の証明書再発行はGoogle とデジサート社との不仲が原因であり、
ChromeやFirefoxなどで、ある期間にデジサート(シマンテック)から発行された
証明書をエラー扱いにするというものでございます

と書かれているので、何だか会社同士の勝手なふざけた理由で、こちらが作業しなければいけないようだった。これに関しては、さくらインターネットのサポートには、「ふざけんな。」と返送しておく。

このトラブルの件を調べたところ、同じ現象が報告されている。

IIS7でSSL証明書がインストールできない

このような現象が発生したら、そのままIISでは証明書を入れられない。OpenSSLのコマンドで.pfxファイルを作ってからインポートしてあげないといけないようだ。面倒くさそう。

今回のサイトはブラウザでアクセスするようなサイトではないしテストサイトみたいなものだから、これからどうしようか考える。他社のSSL証明書にしたほうが速いし安いかな。

新しくThinkPadを買った

ずっと前から買う買うと言っていたノートPCをようやく購入。買ったのはレノボのThinkPad X1 Carbon。ちょうどレノボの四半期の決算セールだったので、もう勢いで注文。セールといっても、その後も安くなっていたようなので、もうセールスメールは無視している。いまだにいろいろなところのサイトの広告バナーは、これでもかとThinkPadが表示されるけど・・。

注文してから10日で発送。ようやく届いた。とても時間がかかるのね。届くまでのモチベーションが下がるわ。まあ、少しばかりカスタマイズしたので仕方ないけど。

今回の注文は16GBとWQHDのモデルにカスタマイズ追加は、Window10 Proに替えてSIMで携帯ネットワークで接続できるようにWANを追加した。最初の目標の重量1Kgは、多少オーバーしてしまった。また持って歩くとMacBookのように腰が痛めるかな。あと、256GBのSSDが若干心許ないけど、程堀が醒めたら大きいものに交換するかな。

しかしながら、パッケージには相変わらずコストをかけているのね。こちらとしてはどうせ開封する最初の一回しか関係ないので(ないとは思うけど故障したときの返送くらいかな)、そんなにパッケージにコストをかけなくてもいいと思うわ。アクセサリーの入っている箱はおしゃれかもしれないけど、意外と薄くて取り出すときに破けたので、これは残念だと思った。

Windows10 Proのアップデートとアプリケーションをインストールしてようやく使えるまでに設定した。Windows10 の設定は、何もしない代わりに時間はかかる。

ThinkPad X1 Carbonの2018年バージョンから入るSIMカードはマイクロではなくnanoになっていたのは予定外だったので、SIMカードを追加購入する。今回は何も考えずに今使っているOCNモバイルONEのSIMカードを追加する。SIMカードのWANの設定が最初うまく行かなかったのは後で話そう。

初めて、レノボというかThinkPadを買ったけど、これからどうなることやら。今まで2台続けてパナソニックのレッツノートを買って、MacBook Proにしたけど、やはりWindowのほうが私は楽。

 

REALFORCEのキーボードのCtrlキーとCapsキーをやはり入れ替える

REALFORCEのキー配列をそのまま使う、なんて言っておきながら、もう翌日にはCtrlキーとCapsキーを入れ替えてしまいました。その方がやはり楽チンです。

REALFORCEのキーボードを買うと、キートップ(Ctrl、CapsLock)とキートッププラーが付いてきます。CtrlキーとCapsキーの入れ替えは、REALFORCEソフトウエアの設定で可能です。

一度元のWindowsのキーボードにしたので、ちょっと手が混乱しています。一日だけ戻したので、すぐに大丈夫になるでしょう。

今は、ちまちまAPCの設定で反応速度を設定しています。こちらはどうすればいいのやら・・・。

非常持ち出し訓練実施

今日一日Webの更新作業を外出先でもできるかをテストしていた。モバイル環境とMacBookProなんですが。

一番の問題は日頃の作業を4Kモニタの広々環境で作業していること。小さな画面で作業するのは辛くなっていた。ですので、4Kモニタを買うのは覚悟したほうがよい。快適すぎて小さな画面に戻れなくなるから。何とかデスクトップを3枚切り替えて使ってみたけど。

だけど、Macのcopy&pasteってcommandキーの位置がPCと違って使いにくいのね。しかもcontrolキーじゃないし。これはPCとMacの違いだから仕方ないけど、これはしばらく使っていけば慣れていくので無問題。

アプリケーションはほぼMacとWindowsを同じものを使えるからこちらも問題なし。WinSCPの代わりにFileZillaを使うくらいかな。同じアプリケーションでも微妙にショートカットキーが違ってくるのは辛いな。ここでcontrolキーを押すかcommandキーを押すか迷ってしまう。

特に問題なく非常持ち出し訓練完了。

やはりWindows10は4GBではキツいということ

以前使っていたPCにWindows10をインストールしましたが、しばらく放っておくとフリーズしてしまいます。このPCは、Intel Core2 Duo E8200 という8,7年近く前の古いPCです。デバイドライバー類をアップデートしても変わりませんでした。

気になっていたのはメモリの容量でした。4GBで動いていました。これを手元にあった4GBのメモリを追加してみました。これは昔のDDR2のメモリです。もう手に入らないと思ったら、アマゾンではまだ売っているのですね。

これがズバリ当たりでした。8GBにしたらフリーズしなくなりました。やはりWindows10は4GBではキツいということでしょうか。最低でも8GB必要なようです。

市販のメーカー製PCは4GBのPCを売っていますが大丈夫なのでしょうか?

マザーボード交換の前にマイクロソフトのアカウントでログインしておけ

1月4日から仕事始め。サイトのアップ作業で簡単と思ったら、対応しなければいけないページが山盛りになって、終いには他の会社の作ったページがおかしいと言うことで対応をやってしまった。今年も何やかんやを忙しくなりそう。

さて、夕方からツレに実家で新年会。本当のメインは岳父のPCのメンテナンス。マシンから異音がするということで、早めに対応しておく。おそらくインテル純正のCPUファンが逝ってしまっているかもしれない。

とりあえず手持ちのPCにハードディスクを交換するため持っていく。義父のPCを開けて見たらハードディスクでなくてSSDだった。多分自分が交換したと思うけど忘れている。

SSDを交換したら完了と思ったら、そうは問屋が卸さない。こんなエラーを表示して再起動する。ASUSのマザーボードを交換すると出てくる問題らしい。

何回か再起動を繰り返すとスタートアップ修復に入れたので、データを消さないように修復作業に入る。ここでとても時間がかかる。

無事に起動できたのでよかったと思ったら、今度はライセンス認証が失敗していた。そういえばマイクロソフトのアカウントでログインしていなかったのでライセンス認証が引き続けていなかった。

だったら新しく買ってきたWindows10でインストールしようとすると、すべてディスクを消去すると言い出す。よく考えてみると、インストールしているWindows10は32bit版で新しいWindows10は64bit版だった。これはダメだ。

しかたないので、以前のPCにSSDをつなぎ直す。エラーが出てくる前にマイクロソフトのアカウントでログインしてライセンスをリンクしておく。

再度新しいPCにSSDをつなぎ直して起動してみる。またしてもブルースクリーンでエラーになる。今度もスタートアップ修復して、Windows10の起動まで持っていく。時間ばかりかかって心が折れそうになる。

今度はライセンス認証も無事にできた。最初からマイクロソフトのアカウントでログインしていればよかった。くれぐれもWindows10のPCでマザーボード交換をするときはマイクロソフトのアカウントでログインしてライセンスをリンクしておくことを忘れずに。

データも無事。これでOKと思ったら、スタートアップ修復したのでアプリケーションの再インストールをしなくていけない。メールはGmailにして、ワープロが必要ということなのでLibreOfficeをインストールして、あとはTeamViewerを入れておく。もし、何か必要な設定が必要であればTeamViewerでアクセスして作業してしまおう。

以上、正月早々からトラブった。

今度のPCはCPUファン無しだから、ケースファンも外してしまったのでほぼ無音。動いているかどうか、PCの音ではわからない。これだけで満足。

追記

持ち帰ったPCを自宅で電源を入れてみると、やはりCPUファンからおかしな音が出ていた。使わずに放っておいた古いCPUファンがストックヤードから見つかった。試しに交換してみるとピッタリだった。作業時間は20分ほど。とても静か。

最初からCPUファンを交換しておけよな>自分。

Happy Hacking Keyboardやめた

一ヶ月ほどHHKB(Lite2だけど)を使ってみたけどやめた。今は昔に買ったFILCOの茶軸に戻した。こちらのキーボードも普通のフルキーボードだけどHHKBから乗り換えるととても使いにくい。

HHKBをやめたのは、Fnキーを押さないとファンクションキーが使えないから。それとDELキーも。まあ、HHKB信者の偉い皆さんから言わせると、そんなの当たり前じゃんと言われるけど。ファンクションキーって意外と使うのよね。

しかしながら、HHKBのFnキーって使いにくい。もっと慣れればいいかもしれないけど、ファンクションキー位ワンキーで押させてよ。修行のように自分をキーボードに合わせるのはもう辛い。わたしには無理。

と書きながら、コントロールキーがHHKBに慣れてしまっているので、Caps Lockキーを押してしまうという情けない状況になっている。

あとMajestouchキーボードはフルキーボードだからトラックボールが遠くなった。テンキーレスのキーボードを探さなくては。HHKBの横幅が丁度いいのよね。それとMajestouchキーボードのキーが茶軸だけど重く感じてしまう。

さて、次のキーボードはどうするかな。でもHHKBのLite2でよかったわ。高いHHKB買って気が付いたら遅かったわ。

追記

と書きながら、またHHKBをつなげて修行しているという、優柔不断なヤツ。

半角/全角キーと左Windowsキーを入れ替えて、あとはファンクションキーを使わないようにATOKのショートカットを覚えて。続く・・・。

UbuntuをWindows10に入れ替え

もともとVistaで使っていたPCをUbuntuのデスクトップで使っていたけど、こちらをWindows10に入れ替えてみた。これから趣味のPC兼業務用PCが何あったときのバックアップで使うつもり。だけど、古いPCなのでメモリが4GBしかないけど。

Windows10のプロフェッショナル版をアマゾンから購入する。アマゾンプライムだから大丈夫だと思うけどあまりにも10,000円とは安すぎる。DSP版だけど。

届いたのは普通にDVDが入ったパッケージ。プロダクトキーももちろん貼ってある。何も問題なく認証できてインストール完了。何も心配することもなかった。こんなに安くてもマイクロソフトの正規版なのだろうな。

トラブルとして外付けのDVDドライブが認証できなくてブートできなかったけど、何のことはないUSBケーブルを別のものと交換したらうまく動いた。古いDVDドライブだからUSBケーブルの機器側の端が大きなType-Bという今は少なくなったケーブル。

新しいタブレットを物色するが・・・・。

今使っているNexus7(2012)があまりにも遅くて使いものにならないので、新しいタブレットを物色する。雑誌も紙をやめたいので、せっかくだから10インチか8インチの大きな画面にしてみる。小さめサイズは、Kindle White Paperもあるから・・・・。

実際に現物を見て10インチか8インチか考えてみる。丁度都内に出かける機会があったので秋葉原のヨドバシカメラのタブレット売り場に行ってみた。現物を触ってみると、大きな10インチがいいなと思った。2万円以下でも手頃なタブレットがあったけど、解像度は1280 x 800くらいのなのね。もっと細かいディスプレイのタブレットを選ぶと、4万円以上と高くなる。しかし、売り場で一番気になったのは、こちら。

だけど在庫はなかった。ということで、今日買うのはやめた。

自宅に戻って、Amazonで画面サイズと解像度を中心にいろいろ調べてみる。気になるものはAmazonのほしい物リストに追加していくけど、なかなか予算に収まるものはない。

よくよく考えてみると、OSはAndroidでなくてもWindowsでもよいのではないかとすると、キーボードが付いた2in1タブレットでもよさそう。今使っているMac Book Proは重くてどうしようかと思っていたので代わりになるかも。だったら、こんな

でもよさそう。前述のASUSのZenpadよりも安い。解像度も1920×1200である。

だったら、同じメーカーでもいっそのこと

でも面白そう。これでは予算がオーバーするけどな。

以上のように、だんだん妄想が広がっていってしまって決められなくなってきた。そこで自分に対する教訓が出動となる。

「迷っているときは買うな。」

以上で、まだ買うのはやめておく。これからも悩んで行く。