はじめ@Blog

３月に設定したSSL証明書。 Let’s Encrypt の無料証明書は更新期間が短い。WIN-ACMEで更新を毎日バッチ実行してけば大丈夫だと思っていましたが、甘くなかった。FTPサーバーを立てての自動更新を試みたのですが、おそらく何かの設定が悪くて、チェック用のファイルは受け取ったものの、その確認ができないようでした。今思えば、Webアクセスできる場所にファイルが保存されるようにして、それを、http で取得しに来るのだったかもしれません。何でそんなこと気づかなかったかアホですが、今時間が無いので後日設定を試みます。３月はそこまで考えられず、適当な場所に受信していました。ドメインの確認なのですから、FTPで送り込まれたファイルをFTPで取得できるようにしても意味無いですね。

で、マニュアルの方のバッチ実行ですが、思っていたほど甘くなく、まぁ、考えてみればタスクで実行できるのであれば、マニュアルではないし、何の確認にもなりませんよね。結局、バッチ実行は毎回エラーになっていたようで、Let’s Encrypt から親切にも、更新しないとやばいよメールが来ました。

考えれば当然ですが、更新時の確認ですから、更新時に発番されたコードをDNSのTXTに（マニュアルで）設定して、それをプログラムが確認することで、そのドメインを確認することになりますから、毎回TXTの内容が変わります。これを私は勘違いして、一度確認されたら更新時は更新を要求するだけで確認されないものと思っていたわけですが、それほど甘くなかったということです。

しばらく理由がわからず、その後バッチ実行のエラーメッセージにDNSにTXTを設定しろと出ている事に気づいて、設定したものの、やはりバッチ実行ではエラーとなり、悩んでいたのですが、エラーメッセージに出ていたものは、前回のチャレンジ文字で、結局、wacs コマンド実行で手作業で更新しなければならなかったのでした。

最終的に、wacs を実行して、 R: Run all renewals を選択し、あとは、指示されるままに、前回と同様にDNSのTXTを設定して５分待って次、削除して次を、管理している３つのドメイン分やらなければなりませんでした。

今日（6/10）更新した証明書が、9/8 まで有効です。次回更新は、8月初旬から可能だそうです。できれば、それまでに、FTPを使った設定に変えておきたいと思っています。

なお、次回の自分のためのめもですが、DNS の設定で、TXT を設定する場合、

ホスト名に、”_acme-challenge” で、ターゲットに、チャレンジ文字を設定します。ツールでは、次のように表示されますが、ホスト名に、”_acme-challenge.hajimesan.net” を設定してはダメです。慣れた人なら常識だと思いますが、私はあまり慣れていないので、はまりました。ちなみに、ValueDomain では、ダブルクォートは不要でした。

Domain: hajimesan.net
Record: _acme-challenge.hajimesan.net
Type: TXT
Content: “3k2vdXUu______________________d4F8r-xs”
Note: Some DNS managers add quotes automatically. A single set
is needed.

フリードにルーフラックを取り付けて、実際キャンプに行ってみて、やっぱり取り付けてよかったなぁと実感しています。とりあえず、薪がたっぷり持っていけることと、キャリーワゴンが持っていける事が嬉しかったです。キャリーワゴンはずいぶん前に買ったのですが、畳んでもやっぱり大きくて重たいので、ゴミ出しにしか使っていませんでした。ゴミ出しのときはとても便利で、プラスチックの40L袋、紙の40L袋に、ビン・カンが紙袋サイズで３袋、新聞紙の束、山のようなダンボール箱を畳んでしばったものがゴミステーションまで一度に運べます。

荷物をラックにどうやって載せるかですが、最初トランクカーゴの70Lを載せようと思ったのですが、１つ買ってみて載せたところ、結構高さが出ます。それに、大きさの割にあまり入らず、特に薪のようなものは隙間だらけでうまく収まりません。綺麗に切りそろえれば入るのですが、めんどくさいです。うまくいったらトランクカーゴをもう一つと考えてたのですが、やめました。

ルーフラックがどうなっているかというと、こんな感じです。すのこ状ではあるのですが、かなり間隔が広いです。なので、トラックの荷台のように、手前側に荷物を載せて、奥にすべらせるということができません。70Lのトランクカーゴが空の状態なら、持ち上げて置く事はできますが、中に薪が入っていたら、そもそも、ルーフに持ち上げるのも大変な上、適当な位置に置くなんて私には不可能です。おまけに、この Terzoの安物ラックは、側面がペラペラで力がかけられず、荷物を立てかけるということもできません。

そんなわけで、トランクカーゴは諦めました。薪や荷物を直接積んで上からネットで抑える方法も考えましたが、高速走行の場合にネットだけではかなり心配ですし、雨の日は荷物がびしょぬれです。荷物一つひとつをタイダウンするのは不可能に近いです。ではと荷物を載せて上からドカシーをかぶせて、シートごとタイダウンしようかと思ったのですが、考えただけでめんどくさそうだし、なんだか格好悪い。グリーンのシートなら良いかもしれませんけど、シートをかぶせただけだと横からの雨は防げませんしね。

で、いきついたのがこれ。

完全？防水のルーフボックス。ルーフラック無しで、ルーフバーに直接、あるいはもっと大胆にルーフに載せる事もできる商品もあるようですが、どうかんがえても問題ありなので、ルーフラックにこれを載せます。買う前は、このバッグをラックに一度固定すれば、その状態でファスナーを開け示して、荷物の出し入れができると思っていたのですが、おそらくファスナーの強度の問題だと思いますが、ほとんどのこの手のバッグは、バッグの上に紐がついていて、荷物を入れたあとに、バッグごと荷物をラックに縛り付けるようになっているのです。この作業は地面でやれば簡単ですが、車のルーフの上で、脚立に乗りながらやるのはかなり大変です。しかも固定箇所は、各コーナー２箇所で計8箇所。しかもラックが鉄のフレームみたいなものでなく横板が弱いので、ルーフバーか底板に留めなければなりません。このバッグのサイズはラックのサイズよに一回り大きいくらいなので、バッグと横板の隙間からベルト通すのも大変です。せめてちょっと緩めるくらいで出し入れができれば良いのですが、このバックルの形状（プラスチックのカチッととめるやつ）だとそれがかなりしんどいのです。

というわけで、バッグのベルトはご覧のように、最低限の輪っかにしてしまいました。余った紐は切ってしまおうかと思ったのですが、まだちょっと試行錯誤中なので輪ゴムでまとめています。作戦としては、普通の荷締め紐を使って、この輪っかを通すかたちで、縦２、横２をラックとバッグをまとめるようにぐるっと固定します。これだと固定箇所が4で、作業が半分になるうえ、荷締め紐の固定は、ワンタッチで、固定位置も自由になるので、かなり楽になりました。

荷締め紐は、通常のもの（右側）と、ラチェット式（オレンジ）があるのですが、試してみると、ラチェット式１本でぐるっと回して固定するより、通常の４本使う方がずっと楽でしっかり固定できました。ラチェット式は、このラックの場合両側の鉄のフックを組み合わせて最後固定するしかないのですが、フックは重たいし、ルーフ傷つけたらいやだし、ラチェットも重たいので、結構気を使うということもあります。その点通常のは片側に留め金がついているだけなので、留め金を留めようと思う位置に置いた状態で、反対側を投げて車の反対側へ渡すとかもできますから、作業が楽です。ラチェットより締まらないかというとそうでもなくて、コツさえつかめば結構しっかり締め込めて、しかも緩みません。それを４本使いますから、仮に１本緩んでも大丈夫でしょう。念のため上からネットもかけます。

というわけで、実験開始です。

ラックにバッグを載せて、板を入れてみました。手前の板には、バッグの入り口を持ち上げておく仕掛けがしてあります。今回の実験のメインテーマはこれです。

おっとーバッグの高さに対して、木材の長さが長すぎて両方同時に立ち上げられない。せめて左側だけでもと無理やり立ち上げたら、一瞬で倒れてしまう。無理もないよね。角材をガムテープで留めただけだし、しかも走行中は倒せるようにしているし、立てた状態で固定する方法は思いつかなかったのだから….

うーん。バッグの代わりに自分の口が開きっぱなしでした。ま、失敗は成功のもと。別の方法を考えるとして、とりあえずバッグをルーフラックに固定してみましょう。

おぉ、こちらはうまくいきました。何も入っていないので、なんだかイジメっぽい感じになってますが…

更に、ネットをかけてみます。もはや怪しいなんとかプレーかって感じですが、荷物が入るとそれなりに見えるはずです。

バッグのロープを使うよりずっと楽だったので、こちらは、成功！としましょう。

この後100均でなにかないかなぁと物色していくつか使えそうなものを見つけたので、乞うご期待。自分自身あんまり期待してないんだけど…

遅いよ！って声が聞こえて来そうですが、ようやく 私とみかこさんのサイトを https 化しました。

レンタルサーバーとかによっては、無料で証明書を提供してくれるところも出てきているようですし、AWS でも、Route53 使えば証明書は無料だったのですが、我が家の場合コスト面でどうしても自宅サーバーになってしまうので、証明書にお金払って、毎年更新するのもいやだなぁと思って、個人情報をやりとりするようなサイトでも無いので放置していました。

でも、最近のブラウザは、http だと、「保護されていない」とか「安全でない」とか次第に表現が過激になってきて、まるで、私やみかこさんのブログにアクセスしたら、危ない目にあうんじゃないかみたいに言われるので、そろそろかなと思って、重い腰を上げました。

SSL証明書は今は安いのだと年間1650円くらいからあるのですが、それでもランニングコストはできるだけ抑えたいので、無料の Let’s Encrypt を使うことにしました。実は、以前簡単にできるかなともって試して、10分で挫折した経験があるのですが、今回は真面目にやってみます。さて！と思ったら、なんだかすごく便利になっていて、以前とは比べ物にならないほど敷居が下がっていました。

まず、SSL証明書とはなにか…はめんどくさいので割愛しますが、httpでは平文のままネットワーク上に流れる情報を、毎回鍵をかけて流すようにすることで、途中で傍受されても、通信しているお互いにしか解読できないよというような感じのものです。証明書と呼んでいるものは、その鍵そのものと鍵の持ち主の正当性を証明する血統書みたいなものですね。

Let’s Encrypt は、証明書、つまり鍵と血統書を無料で発行してくれるサイトです。血統書は、Let’s Encrypt が保証人ということです。

URLを、https で提供するには、サーバー側にその証明書を置いておく必要があります。一般的には、サーバーは、Apache を使いますので、「Apache のSSL設定」というキーワードで検索すれば、必要な情報は得られます。多くの場合、SSLモジュールの読み込みを有効にして、ssl に関する設定ファイルの読み込みのコメントを外して、設定ファイルを自分の環境に合わせて書き換えればOKです。この設定の中に、証明書のパスを指定するところがあるのですが、そのパスは、２つもしくは３つになります。証明書が多段になっている場合は、中間証明書が必要で、Let’s の場合は、３つになります。crt（証明書・公開鍵） / key（秘密鍵） / chain（中間証明書）　がその３つです。 Let’s は、この他にもう一つ、chain-only というファイルも提供してくれるのですが、これは使いません。

ACMEクライアント

https://letsencrypt.org/ja/docs/client-options/

Let’s Encrypt は、SSL証明書を発行してくれるサービスですが、その手続は、Web画面で入力してファイルをダウンロードするということではなく、プログラムを使って自動化されています。証明書の有効期限は3ヶ月と短いのですが、この自動化されているおかげで、Windows であれば、タスクスケジューラを使って、適切なタイミングで自動更新させることができるようになっています。 Windows であれば、今回私が使った、win-acme が便利です。

ツール（zipファイル）をダウンロードして、適当なところに展開します。このツールはずーっと使いますので、デスクトップとかではなく、ちゃんとした場所に展開するようにします。

展開したら、フォルダの中に、wacs.exeという実行ファイルがありますので、これを右クリックして、管理者として実行しますとコマンドプロンプトが開きますので、あとは、基本的にはツールの指示に従って入力していくだけです。我が家の様にVirtualHost で単一サーバーで複数ドメインを運用している場合でも、一つのツールで大丈夫です。初回生成後のタスクスケジューラでの更新も１つのコマンドで全証明書を一気に更新してくれます。なお、ワイルドカード証明書を発行する機能も追加されているようですので、サブドメインで運用している人は、ワイルドカード証明書を発行してもらっても良いと思います。我が家は、hajimesan.net はこのまま。soundwalking.com は、 過去のしがらみから、www.soundwalking.com も一部残っているのですが、ワイルドカードにせず、３つの証明書にしました。なんとなくそうしただけで、特に意味は無いです。

ツールを使った手順ですが、特に生成された証明書の取得方法の違いで数パターン選択肢があります。最初FTPを試みたのですが、うまくいかず、1時間に5回以上失敗するとブロックされてしまうので、結局一番簡単なマニュアル（手作業）を選びました。

面倒なので、私が選択した選択肢のみ書くと次のようになります。

• M: Create certificate (full options) 　　新規作成みたいなもの
• 2: Manual input　ドメイン名を手入力
• HOST: www.soundwalking.com
• Friendly name ‘[Manual] www.soundwalking.com’. to accept or type desired name:　エンターのみ
• [dns-01] Create verification records manually (auto-renew not possible)　手作業で認証
• 2: RSA key　RSAキーの発行
• 2: PEM encoded files (Apache, nginx, etc.)　Apache 用のファイルを生成
• 1: None　pem ファイル（生成されるファイル）にパスワードをかけない
• 5: No (additional) store steps　もう十分
• File path: d:\ssl
• 3: No (additional) installation steps　もういいから！

ここまで進むと、ちょっとだけ待たされて、次の様に表示されます。

Domain: www.soundwalking.net
Record: _acme-challenge.www.soundwalking.net
Type: TXT
Content: “tkc1kRnpqHAF4yln9DftOl09ABmGpnACLMat-oEF7IM”
Note: Some DNS managers add quotes automatically. A single set
is needed.

そしたら、DNS設定（我が家の場合は ValueDomeinのコンソールを叩きます）で、TXTレコードを設定します。

_acme-challenge.www / TXT / tkc1kRnpqHAF4yln9DftOl09ABmGpnACLMat-oEF7IM

私が使っているDNSサーバーでは、TTLが 5分になっているので、このまま5分待って、nslookupで確認します。

nslookup -type=txt _acme-challenge.www.soundwalking.com 8.8.8.8

我が家の場合内向きのDNSサーバーがあるので、末尾に 8.8.8.8 とGoogleのDNSサーバーなどを指定しないと、ローカルアクセスになってしまいますのでこの指定が必要ですが、デフォルトのDNSサーバーがない場合は、不要です。（浸透に時間がかかる場合もあるので、つけておいたほうが無難）

TXTの設定が反映されれば、設定したテキストが表示されますので、そうしたら、ツールに戻って、エンターキーを押します。エラーになるようなら、エラーにならなくなるまで設定を見直したりして頑張ってください。成功したら、TXTの設定を削除してからエンターを押すように言われますので、先程の設定を惜しげもなく？削除してエンターキーを押します。ここでは5分待つ必要はありません。

エンターキーを押すと、指定したフォルダに証明書（４つのファイル）が生成され、次の表示がされます。

Adding Task Scheduler entry with the following settings

• Name win-acme renew (acme-v02.api.letsencrypt.org)
• Path D:\win-acme
• Command wacs.exe –renew –baseuri “https://acme-v02.api.letsencrypt.org/”
• Start at 09:00:00
• Random delay 04:00:00
• Time limit 02:00:00

これはタスクスケジューラの設定方法で、だいたいこの通りに設定しておけば、毎日チェックして、しかるべくタイミングで、証明書が自動更新されます。（のはず）

試しに手でコマンドを実行してみたところ、5月某日までは更新されませんと表示され正常終了しました。タスクを毎日1回実行するようにしても、毎日更新されるわけではないということですね。証明書の有効期限は６月までなので、期限が切れる少し前に更新されるようです。

なお、試しに、生成された証明書を別のフォルダに移動して実行したのですが、新たに生成されませんでした。なので、発行された証明書は大切に保持しましょう。（–renew をつけなければ再発行されそうですけど）

また、ドメインが複数ある場合は、上記手順をその分だけ繰り返せば、どこかに記録されているようで、同じコマンドで複数同時に更新されるようでした。Friendly nameで設定した名前が、個々の設定の名前になります。

あとは、生成された証明書を、Apacheから参照するように Apache の設定ファイルを変更しておしまいです。

自宅サーバーで運用している場合は、Windows FW の設定とか、ルーターの静的IPマスカレードの設定などで、ポート 443 を受け付けられるようにするのを忘れずに。

必要に応じて、80を443に飛ばす設定とか、80を塞ぐ設定とかしても良いと思いますが、私は 80 でもしばらくサービスを継続するつもりなので、何もしていません。

自前のSMTPサーバがあれば、簡単な事でも、自前SMTPサーバー無しで、独自ドメインのメールを GMail で送受信したいと思うと、結構めんどくさい。

みかこさんと自分用の独自ドメインを取得したのはもう、何年も前になるが、当時は Webサーバーもメールサーバーも、自宅サーバーで動かしていた。すべてが自宅サーバーなので非常にシンプル。その後、Google が出てきて、GMail が使えるようになり、GMail のエイリアスとして独自ドメインのメールを使うようになり、更に、Google Apps 無料版（今の G Suite）を契約したのをきっかけに、自宅メールサーバーを廃止して、Google Apps を独自ドメインの基軸としようとしたのだが、独自のホームページや、Wordpress が置けないので、結局、メール関係だけ Google Apps に移転した。

この状態で、メール送信は、Google Apps の SMTPサーバー、受信は、一旦 Google Apps で受信したものをすべて、GMail へ転送する形となり、15年近くそれで運用していたように思う。

自宅サーバーでメールを運用していたときはSPAMや迷惑メールに悩まされたが、GMailの強力なSPAMフィルターも使えるし、何しろサーバー停止という事が無い（自宅サーバーは今でも結構な頻度でやばくなる）ので、かなり快適だったのだけれど、今年の５月に無料版は廃止されるのだとか。 Google フォトもそうだが、まぁ、慈善事業ではないから仕方がないとはいえ、長期に使っていたものを有償化されるのはちょっとつらい。結果的にメール関係しか使わないし、Google Apps のコンソールなんて年に１回くらいしかアクセスしていないのでなおさら。５月からはサブスクにすれば継続できるのだけれど、最低料金で680/M なので、二人分で、1360円/M は、どうなのよ？！

ということで、Google Apps とはオサラバする決意で、調べていたのだけど、今日、なんとか解決したので、メモ。

しがらみが無いのであれば、一番簡単なのは、Google Domains を使う方法。

ebiebievidence.com さんの、以下のページで詳しく説明されている。

独自ドメインでのメール送受信をGoogle Domains + Gmailで簡単に実現

この方法だと、ドメイン取得からできるし、他のレジストラでドメインを取得済みでも移管すればよいだけなので、簡単。

私もこの方法にしようと思ったのだけど、私の場合は、レジストラが、 Value-Domain で、自分のドメインが、2023/7 で、みかこさんのドメインが、2024/4 まで有効… これを捨てて、Google Domains に切り替えるのは辛いところ（ちなみにトータルだとドメイン維持費はGoogle の方が若干安い…年額で100円弱の違いではあるけど）。5月までには切り替えなければならないし、Value-Domain は無駄にしたくないし…と思って、設定を眺めていたら、

メール転送設定の変更というメニューを発見！

おぉ、メール転送出来たんだ。ということで、さっそく転送設定をして、テストしたら、無事 Google Apps を経由せずに、GMail で受け取れるようになりました。（Goole Domains にも無料のメール転送設定があるので、切り替え後も似たような設定をすればOK）

さて、これで受信はできるようになった。私のメールは、もともと会社のメールアドレスで、会社のSMTPサーバー経由で送受信しているので、独自ドメインでメールを送ることはほぼ無いので、この状態でOKなのだが、みかこさんは、独自ドメインのメールアドレスがメインで、送受信ともそれを使っている。（ふたりともGMailのアドレスはめったに使わない）

そこで、GMailの送信設定が必要なのだが、この設定は、上でリンクした、biebievidence.com さんのページに書いてある。「メール送信設定」のところに従って、設定した。ただし、この情報は少し古いのかもしれない。SMTPサーバーの設定で、ポート465でSSL がチェックされているが、今は、ポート587 で、TLS が推奨されている。簡単に書くと、Google アカウントのセキュリティの設定で、アプリパスワードを取得しておいて、サーバーには、smtp.gmail.com ユーザ名には、自分のGMailのアドレス、パスワードには、取得したアプリパスワードを入力すれば完了。

これで、GMail から、独自ドメインのメールアドレスをエイリアスとして利用できる設定が完了したことになる。あとは必要に応じて、そのメールアドレスをデフォルトにするかどうか。私は会社メールアドレスがデフォルトで、みかこさんは、独自ドメインのメールアドレスがデフォルトになっている。

今後は、Value Domain を継続するか、Google Domains に切り替えるかなんだけど、１年後、２年後の話なので、その時に考えよう。とりあえず、Value Domain の自動継続はOFFにしたので、期限が近づいてきたらメールが来るはず。Value Domain とは長い付き合いだし、安定しているし、金額的には年間数十円の違いなので、メール転送が使えているなら、継続方向かな。

戦っている者が相手が自分と同じ人間なのだということ、戦いが不毛な事だということに気づいて手を止めるしかないのではないかと思う。戦いに勝者はなく敗者もない。そこにあるのは精神性の崩壊。人が人でなくなる事だ。

戦場で戦っている戦士がみなそれに気づいて引き金を引くことをやめた時、戦いが終わる。１秒でも早くそうなって欲しいという思いで曲を作ろうと思ったのだけれども、音をつける才能が無いので詩だけ。　Interrupter というのは安全装置の事だけれども、物理的な仕組みというより、精神的なものであり、戦わないという勇気でもある。

INTERRUPTER = safty device

I will save you.
like I will save myself.

You don’t have to believe me.
You won’t owe me anything.
I know you don’t know that.
Because I’ve made decision on my own.

I can’t swear,but I’ve just decided.
I will save you.

Promise? Who can promise
something in this uncertain world?
I know you don’t need it.
Because you are strong enough without me.

Only thing I want you to know is
I’d never hurt you.

Instead of talking about power,
We should talk about love.
Instead of showing diferences between us,
We should talk about us.

You will save me.
like I will save you.

Even if I don’t survive,

I will save my soul.
I will save your life.

I have an ‘INTERRUPTER’ in my heart.
I would never pull this trigger.
I’m stong in my believes.
I will save you.