gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

複数のSSL証明書

んと。直近に発生してたのが

  • 1台のマシンでってつまりひとつのIPで
  • 複数のサービスを、各々違うドメインで動かしてて
  • それらにSSLを導入したい

って話ざんした。


まぁ名前ベースのVirtualな設定にSSLの設定もぐりこませりゃいいや証明書はそれぞれ買うとして。


はいダウト。
うん冷静に考えればNGなことわかるのに、ついうっかりさんしてしまいました久しぶりに*1


一応おさらい。
SSLは「通信を暗号化して」やり取りするです。
…ってとこで冷静に考えると。いわゆる「個人情報をやり取りするのにhttpsぢゃないなんて…」って発言は前提として「パケットがスニったりフったりできる」って事なんだろうかなぁとおもうとちと怖いのですが色々と。


おいといて。


一方で。VirtualHostとかあのあたりの機構は、HTTPヘッダ内にあるhostとかいうものの中にあるドメイン名から判定をするです。


HTTPヘッダの中を見ないと鍵がない。
鍵がないとHTTPヘッダが見れない。


かくして人類は迷宮でミノタウロスに…テセウスの一撃を食らわせることなく迷い死ぬです。たどるべき麻糸もないことですし。
…ってしなれても困るので、せめて麻糸くらいは。


ひとつは「おとなしくIPベースにする」です。問題は、昨今枯渇問題が騒がれて久しいIPをそこまで浪費してよいのやら。
もうひとつは「待ち受けポートを変える」。わりと現実的。URIにポート番号がつくくらいはご愛嬌ってことで。
ただ、携帯系だと、SoftBank系がこれに非対応っぽいので、これもまた憂慮すべき事柄。


ついでに余談。
apachectlでgracefulをよく使うと思うですが(ってか使え)。
普段だと、たとえSSLapacheでもパスフレーズ不要で便利なのですが。SSL証明書追加したときにこれやると「問答無用でパスフレーズ失敗」とみなされるっぽいです。
おとなしくあきらめて、restartなりstop & startなりしませう。


以上微妙な覚書。


翌日追記
ふっふっふ…DoCoMo系公式サイトにて。uidの解決(NULLGWDOCOMOってやつね)しやがらねぇ orz
この辺考えるとEZが一番扱いやすいのかなぁ? 証明書買わなきゃいけないけど orz


さらに追記
………EZ、port指定すると403エラーではねるっぽ orz
そりゃそうだよねぇ考えてみればdomain違う証明書でNG出すキャリアだもんねぇってか証明書でドメイン齟齬はわかるけどport番号指定は別にいいと思うんだけどなぁ orz

*1:久しぶり?とかいう突っ込みはおいちゃん嫌いだな。