opensslでオレオレ認証局(プライベートCA)で自己署名クライアント証明書を対話入力無しで一括作成したい

仕事でプライベート環境で使用するクライアント証明書を大量に発行する必要があり、調べたので誰かの役に立てば。

 opensslはデフォルトが対話式の入力を受け付けるようになってるのですが、一度に大量に発行するときは一々やってられません。

 最初は面倒だからネットで探せるかなと思っていたもののすぐに見つけらなかったのでopensslの公式ドキュメントみながらシェルスクリプトを書きました。単に自分の検索能力が低いだけかも。

 以下認証局構築済み、クライアント証明書発行用にopenssl.cnfが設定されているものとします(RSAのビット数とか署名のハッシュ関数についても)。変数部分は適当です。

 

クライアント証明書の秘密鍵&署名要求作成

/usr/bin/openssl req -config ./openssl.cnf -new -keyout newkey.pem -out newreq.pem -days 365 -passout pass:${CERTPASS} \
-subj "/C=${C:-}/ST=${ST:-}/L=${L:-}/O=${O:-}/OU=${OU:-}/CN=${CN:-}" || exit 1

-passout pass:${CERTPASS}でクライアント証明書の秘密鍵パスフレーズ、-subjで証明書情報を与えます。:-の後ろには変数が空だったときに入れたいデフォルト値を入れてやります。例えばC=${C:-JP}とか。-daysも適当に。

 

はじめはopenssl.cnfの[req]にno prompt入れてやろうとしたけど、-subjオプションでやったほうが楽なことに気づく。ちなみにno promptにした場合、openssl.cnfの[req_distinguished_name]ブロックはC,ST,L,O,OU,CNにする必要があります。しないとエラーが出ます。

  

署名要求に対して署名する 

/usr/bin/openssl ca -batch -key ${CAPASS} -config ./openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem || exit 1

-batchオプションで署名しますかの対話入力をスキップ。-key ${CAPASS}で認証局秘密鍵パスフレーズをプリセット。

 

デバイス配布用にpkcs12(p12)形式にまとめる

/bin/cat newkey.pem newcert.pem | /usr/bin/openssl pkcs12 -passin pass:${CERTPASS} -passout pass:${EXPOPASS} -export -out newcert.p12 || exit 1

-passin pass:${CERTPASS}で証明書の秘密鍵パスフレーズを、-passout pass:${EXPOPASS}でデバイスインストール時のパスフレーズを入力することで対話をスキップ。

 

一括発行は適当に証明書情報とパスフレーズCSVつくって一行づつ変数に入れてループまわして発行みたいな感じです。

https://github.com/maro9/client-certificate/blob/master/issueCerts.sh

 

LDAPと連携でもいけると思います

美味しいトルコのお菓子

正月に友達が里帰りしていて、先日日本に戻ってきたときにお土産をもらった。イスタンブール経由だったので、そこで買ったとのこと。上がAlaturka(商品名)といういろいろな種類の詰め合わせ。ちなみに下のサイトに載っている情報によると「トルコ風」という意味のトルコ語らしい。

http://www.alaturka.co.jp/

 

f:id:sharp_m:20150110225014j:plain

Alaturkaには5種類のお菓子が詰められていて、写真左から順にR FISTKLI SARMA、BADEML SARAY SARMASI, BADEML DULUM, FISTKLI BAKLAVA, FISTKLI HALEP SARMA。ピスタチオとアーモンドなどのナッツを使ったスイーツが多いようです。どれも非常に甘くて食感がサクサクながらしっとりで病みつきになる美味しさ・・だけど結構ヘビーなので一度にあまり沢山は食べられないかも。

 

f:id:sharp_m:20150112122902j:plain

こちらはロクムという砂糖菓子。食感はもちもちとしていて、日本のお菓子で似たようなのがあるのだけど名前が思い出せん・・・。甘酸っぱくて美味しい。

トルコ菓子は神戸のイスラムモスクの前にある雑貨屋さんでも買えるので、興味があれば異人館に観光したときのついでに訪れることをお勧めします。

またネット販売しているお店を見つけました。

すでに9人からはてブされている・・・!はてブユーザー裾野広すぎやん。


Elit, Turkish Delight, Baklava, トルコデザート, トルコのお菓子, バクラヴァ

 

 

下痢の原因

どうも最近お腹がゆるいなあ~と思ったら薬局で買った人口甘味料のせいだった。

スクラロースというやつ。

角砂糖のかわりにコーヒーに入れて飲んでたのだが、容器にガムに書いてあるような「大量に摂取するとお腹がゆるくなることがあります」と注意書きが書いてあることに今気づいた。

人口甘味料でお腹がゆるくならないものは売ってないのだろうか。

腸内細菌のバランス云々という記事を以前見かけたけど、やはりあまり飲みすぎるのは良くないのかな。はあ。

ゴーンガール(GONE GIRL)を観てきた

映画

この映画は自分の中で今年No.1です。観てきて良かった。正直トレーラーだけだとそんなに面白そうじゃなかったんです。なんか良くある感じのストーリーなのかなって。しベン・アフレックだし。しかし、本編はその印象を完全に裏切る面白さでした。

 

あらすじ

アメリカのミズーリ州で暮らす夫婦ニックとエイミー。二人の結婚記念日にはいつもエイミーが隠したプレゼントをニックが探すの習慣になっていた。5年目の結婚記念日、エイミーが突然姿を消す。家には荒らされた跡があり、ニックは警察に捜索願いを出すものの、捜査が進む中で、ニックは容疑者として疑われるようになり・・・。

 

演技が素晴らしい

エイミーを演じる女優さん、ロザムンド・パイクの演技が本当にハマっている。でもね、演技だけじゃなく外見も最高にエイミーにぴったりなんです。もうね、とにかくエイミーなんですよ。

 

カップルの行方

映画の中で描写される、ニックとエイミーのカップルが辿った二人の出会いから姿を消す結婚記念日までのエピソード。これが何とも言えない。これはエイミー視点で描かれているので、女性、特に既婚女性のほうが入り込めると思います。

 

中盤からの展開

エイミーの回想パートのカタルシスが気持ちいいのですが、その後終盤に向かうにつれえええええという気分になります。

 

ラスト

恐ろしい恐ろしい。

 

今年のうちに観よう

絶対観るべきです。パートナーがいる場合は一緒に観たほうが良いですよ☆結婚前でも結婚後でも、観終わったあとに思うところがあるでしょう。

 

 

【Amazon.co.jp限定】ゴーン・ガール 2枚組ブルーレイ&DVD (初回生産限定) (B2ポスター付) [Blu-ray]

【Amazon.co.jp限定】ゴーン・ガール 2枚組ブルーレイ&DVD (初回生産限定) (B2ポスター付) [Blu-ray]

 

 

寄生獣を観てきた

映画

原作は読破しています。自分は終盤の展開が好きです。以下ネタバレ含みます。

注目度も高いせいか映画の感想はすでに他のブログでも多く取り上げられているので今更感は否めませんが・・・

  • 話の構成について

尺の関係上原作のエピソードを分解し、そぎ落とし、再構成しています。そのため展開が急で、細やかな心理描写・心情の変化(特にシンイチの思考が人間的なところからパラサイト化していくところ)がないせいか、やや大味になっている感じ。

あと気になったのは、冒頭、寄生生物が海からやってくるところです。コンテナにへばりついてそれをトラックで運ばれていくんですけど、すぐそばにトラックを誘導する人間がいるのになぜそいつに寄生しようとしないんだ?とか、寄生されるのが沿岸部に集中するんじゃね?とか疑問に思ったり。寄生生物は繁殖能力を持たないのだし。

他にもAがシンイチに止めを刺さない理由がよく分からなかったり(原作だと生き残った父親を探しにいくため、一応は理由があるといえばある)、「地球上の誰かがふと思った~」のくだりを田宮良子にラスト付近で言わせた理由がさっぱり分かりません。完結編での役割に繋げるためかもしれない。田宮良子が作った爆弾も、島田を殺せなかったし、どういう意味があったんだろう?

  • キャスト・演技について

主演の染谷将太の演技がとても良いという評判を目にしていたのですが、何ともいえず。若干滑舌が気になったものの、映画版におけるシンイチのキャラ設定としては良かったのかも。深津絵里以下パラサイト組はちょっと不自然さを押し出しすぎかな~、とも思いましたが、そこまで気にならなかった。ミギーの阿部サダヲも、映画版ミギー(コミカルな感じ。宇田のジョーのキャラが混じってる)には外していないかなと思いました。でも自分は原作のミギーのほうが好きです。

  • 映像について

ミギー含めパラサイト形態の描写はVFXなんですが、個人的にはそこまで凄いかな・・・?という印象を抱いた。もちろん予算とレベルが違うハリウッド映画みたいなのと比べてもしょうがないんだけど。

  • 映画の中での寄生獣のテーマについて

監督が述べているように、映画で寄生獣のテーマは「母性」でした。まあより多くの人の感情に共通して訴えかける題材としてはありなんだと思います。少なくとも幅広い人に映画観に足を運んでくれるためには。実際、自分はシンイチ(美術部所属)が描いた母親の絵を見つめる姿にうるっときました。ただ、シンイチと母親に寄生したAが戦ったときに、まるでパラサイトの中に母親の意思残っていて、シンイチへの攻撃をそらしたかのように見えるのは陳腐というかやりすぎな感じがしました。あとシンイチが自分で母親の首を落とすのとかも、んー・・・。

  • グっときた部分

島田が剥離剤をかけられて暴走し始めてすぐ、漫画では剥離剤を投げる役どころのユウコが真っ二つにされてしまいます。村野が抱きついてる目の前で。あれはトラウマもんやでえ・・・。ここは痺れた。

  • 結論

原作未読であればもっと楽しめたであろうと思います。どうしたって原作ほどの面白さを数時間の映像に詰め込んで表現するのは難しい・・・。

mroongaで悩み中・・・

mroonga

ある記事検索(約2000万件、15G)をmroongaで開発する予定なのですが、パフォーマンスの面でどう構成すべきか悩んでいる。

ハードは1号機・2号機のアクティブスタンバイ。もしくはアクティブアクティブでもいいけど。

単純な全文検索では問題無いのですが、期間指定をした場合など、絞込みでどうしてもMySQLのインデックス利用制限でSolrに比べて遅くなる。。。自分の低スペック開発機で試した限りでは。

ストレージモードでgroongaコマンドを発行すると多少スピードアップはするのだけど、それでもSolrには及ばない。ストレージモードではmy.cnfでメモリの調整とかはしないはずなので、設定として他にチューニングできるところがあるのか不明。

メモリを増強したらもっと早くなるのか?とも思うのだけど、全文検索用と他のインデックスがすべてメモリ上にのったして、使用されるインデックス数の制限が取り払われるわけではないのだから、そんなに改善されないのでは?という疑問も。分からへん。

mroongaはMySQLのパーティショニングには対応していないようなので、テーブル分割するのが現実的なのか。問題は年度ごとに分割した場合、同一IDの記事が年度またぎで更新された場合のお直しをしてやる必要があること。

Spiderなるシャーディングを可能にするストレージエンジンがあるのだけど、2台構成の場合、Spiderのマスターとノードを同居させるのとか、障害時の切り替えとかまだよくわからないことが多い。