「SSL証明書」の記事 - Crieit

ブラウザで任意のSSL証明書がドメイン認証かどうか判別する (DV証明書, OV証明書, EV証明書)

2022-02-25T22:51:29+09:00

ブラウザで任意のSSL証明書がドメイン認証かどうか判別する方法についてメモ。

確認方法

今回は Google Chrome (98.0.4758.102) で確認。手順としては次の通り。

朝日カーメンテナンス様HPを開く
URLバー横の南京錠🔓のアイコンをクリック
「この接続は保護されています　＞」をクリック
「証明書は有効です　↗」をクリック
証明書ダイアログの「詳細」タブをクリック
「サブジェクト」をクリック

ここで「サブジェクト」の内容が CN = www.example.jp のように CN しか存在しなければドメイン認証(DV証明書)。

逆にドメイン認証ではないパターンとして、例えば IPA(https://www.ipa.go.jp) は

CN = www.ipa.go.jp

# 略

O = Information-technology Promotion Agency, Japan
L = Bunkyo
S = Tokyo
C = JP

と CN 以外のプロパティも表示されます。

DV証明書はドメイン(コモンネーム=CN)しか確認しないことに対して、 IPA は組織の実在確認を行うEV証明書のため。

そのため、 Organization(組織)は Information-technology Promotion Agency, Japan 、Location は Bunkyo といったプロパティが付随しています。

この差により「DV証明書かそうでないか」という判別は付く、という寸法です。

備考

ただしこの方法は「DV証明書」と「それ以外(OV証明書、EV証明書)」を見分けることはできますが、「OV証明書」と「EV証明書」を見分けることはできない模様。

一部のブラウザではEV証明書ならばURLの横に組織名が表示されるのでそこで「OV証明書」と「EV証明書」を見分けることができそうですが、 Chrome では既に組織名を表示しなくなって久しいため、 Chrome で判別することは難しいと思われます。

また、ここまで書いておいて何ですが、手っ取り早く判別するならばWeb上のチェッカーを使用した方が早い気がします。

Check Website Security | DigiCert SSLTools

参考

CentOS の bash で比較演算と三項演算子的な処理を使って変数に代入する値を分岐するワンライナー

2022-01-12T00:06:20+09:00

Dockerfile 内でコンテナの時刻を変数として流用し、年に対応した rpmパッケージの GPG署名をインストールするで試験した内容の続きとなります。

http://rpms.famillecollet.com/RPM-GPG-KEY-remi2021: OK
http://rpms.famillecollet.com/RPM-GPG-KEY-remi2022: Not Found.

remiリポジトリのGPG署名が2022年版が存在しないので、条件分岐で2021を最大値とするように処理を書いてみました。

検証

# date
2022年  1月 11日 火曜日 20:42:53 JST

今回の検証環境はこのような表示がされる CentOS の日本語版の環境。

# NOWYEAR=$(sudo date | sudo awk 'END{print $1}' | sudo sed -e 's/年//g') && [ ${NOWYEAR} -gt 2021 ] && ALTERYEAR=2021 || ALTERYEAR=${NOWYEAR} && echo ${ALTERYEAR}
2021

早速完成したワンライナーですが、このようになりました。

説明

わりと複雑になってしまったので順番に読んでいきます。

NOWYEAR=$(sudo date | sudo awk 'END{print $1}' | sudo sed -e 's/年//g') \    # date コマンドの結果から、 awk でスペース区切り1つ目の値(2022年) を抽出し、 `sed -e` で`年`を落とす。結果、`2022`が得られる
    && [ ${NOWYEAR} -gt 2021 ] && ALTERYEAR=2021 || ALTERYEAR=${NOWYEAR} \   # 三項演算子的な処理。 {コマンドとして実行可能な式} && {前述式が true の場合の処理} || {前述式が false の場合の処理} 。今回は得られた現在の年が2021年以降ならば2021を変数に代入、そうでなければ現在の年を変数代入
    && echo ${ALTERYEAR}                                                     # 上の三項演算子的な処理で代入された変数の値を echo

こんな感じです。

RUN MELUSINE=$(sudo date | sudo awk 'END{print $6}') \
    && [ ${NOWYEAR} -gt 2021 ] && ALTERYEAR=2021 || ALTERYEAR=${NOWYEAR} \
    && rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-8.rpm \
    && rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi${ALTERYEAR}

今回はこんな感じで http://rpms.famillecollet.com/RPM-GPG-KEY-remi2021 か、 http://rpms.famillecollet.com/RPM-GPG-KEY-remi{2020以下} かを読み込む分岐に。

参考

Dockerfile 内でコンテナの時刻を変数として流用し、年に対応した rpmパッケージの GPG署名をインストールする

2021-12-30T01:05:47+09:00

Dockerコンテナをビルドする際にコンテナ内の時刻(年)を他のコマンドに流用したくなりました。その方法をいくつか試したのでメモしておきます。

経緯

AlmaLinux で PHP7.4系をインストールする際に Remiリポジトリからインストールしようとしました。

RUN rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-8.rpm && \
    rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi2021
# disable default module
RUN dnf module reset -y php
# install php 7.4
RUN dnf module install -y php:remi-7.4

rpm を使用して Remiリポジトリをインストールしています。

rpm ではパッケージインストールではパッケージが破損していないか、改ざんされていないかをチェックするために GPG署名を用いています。

その公開鍵の取得も、 Remiリポジトリのインストールと同時に行っています。

RUN rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-8.rpm && \
    rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi2021

ここでふと思ったのは、URLに年が入っていること。2022年になったら

RUN rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-8.rpm && \
    rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi2022

に変えたい。かといってそれを毎年手動で更新するのは面倒なので、自動化したい。

であれば、 date コマンドの値を awk に通すなどして年だけ取り出し、それを上述コマンドに流用できないか、と。

検証

まずは AlmaLinux のコンテナをビルド・起動します。

docker run --name yeartest -it almalinux:8 /bin/bash

# \cp -pf /usr/share/zoneinfo/Japan /etc/localtime

## タイムゾーン変更

# dnf -y update && yum -y install sudo epel-release

## 略

パッケージを入れたり前準備。

date から年のみ取り出す

# date
Wed Dec 29 22:28:18 JST 2021

普通に date を叩きます。ふむ、6番目ですね……。

# sudo date | sudo awk '{print $6}'
2021

そこでパイプで繋いで awk に渡します。無事、年のみを取り出せました。

rpm の GPG署名について

一応インポートされている GPG署名について確認しておきます。

# rpm -qa 'gpg-pubkey*'
gpg-pubkey-3abb34f8-5ffd890e

まずデフォルトの状態。1つのみインポートされていますね。

# rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi2021
# rpm -qa 'gpg-pubkey*'
gpg-pubkey-3abb34f8-5ffd890e
gpg-pubkey-478f8947-5ff329c5

次に RPM-GPG-KEY-remi2021 をインポートします。増えました。

# rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi
# rpm -qa 'gpg-pubkey*'
gpg-pubkey-3abb34f8-5ffd890e
gpg-pubkey-478f8947-5ff329c5
gpg-pubkey-00f97f56-467e318a

さらに RPM-GPG-KEY-remi をインポートすると増えました。

検証2

Tychedight

以上を踏まえて、 Docker Compose からの Dockerfile ビルドで試験。

FROM almalinux:8
RUN \cp -pf /usr/share/zoneinfo/Japan /etc/localtime
RUN dnf -y update && yum -y install \
    sudo \
    epel-release
RUN mkdir /home/temp/
# パターン1
RUN GEOFFROY=$(sudo date | sudo awk 'END{print $6}') \
    && sudo echo ${GEOFFROY} >> /home/temp/geoffroy.txt
# パターン2
RUN FROMONT=$(sudo date | sudo awk 'END{print $6}')
RUN sudo echo ${FROMONT} >> /home/temp/fromont.txt
# パターン3
RUN sudo echo \
    | sudo date \
    | sudo awk 'END{print $6}' \
    >> /home/temp/carillon.txt

一応3つパターンを試してみます。さあ、それぞれのファイルには何が出力されるのか……。

# パターン1
RUN GEOFFROY=$(sudo date | sudo awk 'END{print $6}') \
    && sudo echo ${GEOFFROY} >> /home/temp/geoffroy.txt
# 2021

# パターン2
RUN FROMONT=$(sudo date | sudo awk 'END{print $6}')
RUN sudo echo ${FROMONT} >> /home/temp/fromont.txt
#

# パターン3
RUN sudo echo \
    | sudo date \
    | sudo awk 'END{print $6}' \
    >> /home/temp/carillon.txt
# 2021

結果、意図した出力になったのは1つ目と3つ目のパターンでした。 RUN ごとにコンテナが変わるとのことなので2は望み薄だと思っていましたが……。

そこで、パターン1を使って次のように組んでみます。

FROM almalinux:8
RUN \cp -pf /usr/share/zoneinfo/Japan /etc/localtime
RUN dnf -y update && yum -y install \
    sudo \
    epel-release
RUN mkdir /home/temp/
# args

RUN MELUSINE=$(sudo date | sudo awk 'END{print $6}') \
    && rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-8.rpm \
    && rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi${MELUSINE}

これでビルド・起動したコンテナに bash で入って確認。

# rpm -qa 'gpg-pubkey*'
gpg-pubkey-3abb34f8-5ffd890e
gpg-pubkey-478f8947-5ff329c5

内容的にデフォルトと2021の公開鍵が入っているように見えます。

# rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi
# rpm -qa 'gpg-pubkey*'
gpg-pubkey-3abb34f8-5ffd890e
gpg-pubkey-478f8947-5ff329c5
gpg-pubkey-00f97f56-467e318a

手動で RPM-GPG-KEY-remi を入れると増えました。

# rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi2021
# rpm -qa 'gpg-pubkey*'
gpg-pubkey-3abb34f8-5ffd890e
gpg-pubkey-478f8947-5ff329c5
gpg-pubkey-00f97f56-467e318a

ついでに手動で RPM-GPG-KEY-remi2021 を入れようとしましたが、数は増えませんでした。先のコードで RPM-GPG-KEY-remi2021 がインストールできていることが確認できました。OKです。

PHPインストール PHP7.4 CentOS8 | AlmaLinux 自宅サーバ

もしかして、そもそもいらない……？

「SSL証明書」の記事 - Crieit

ブラウザで任意のSSL証明書がドメイン認証かどうか判別する (DV証明書, OV証明書, EV証明書)

確認方法

備考

参考

CentOS の bash で比較演算と三項演算子的な処理を使って変数に代入する値を分岐するワンライナー

検証

説明

参考

Dockerfile 内でコンテナの時刻を変数として流用し、年に対応した rpmパッケージの GPG署名をインストールする

経緯

検証

date から年のみ取り出す

rpm の GPG署名について

検証2

余談

参考

PHP インストール

rpm と GPG署名

「SSL証明書」の記事 - Crieit

ブラウザで任意のSSL証明書がドメイン認証かどうか判別する (DV証明書, OV証明書, EV証明書)

CentOS の bash で比較演算と三項演算子的な処理を使って変数に代入する値を分岐するワンライナー

Dockerfile 内でコンテナの時刻を変数として流用し、年に対応した rpmパッケージ の GPG署名 をインストールする

Dockerfile 内でコンテナの時刻を変数として流用し、年に対応した rpmパッケージの GPG署名をインストールする