2016年2月18日木曜日

NGINX はクライアント証明書の失効を OCSP でできない?

NGINX はサーバ証明書の OCSP stapling は可能だが、クライアント証明書
の失効検証は CRL だけで OCSP は出来ないらしい。↓2014 年のやりとりだ
けど、おそらく今も無いでしょう。no plan ということだそうで。

OCSP stapling for client certificates

まぁ Apache も無いんじゃねーのか?よく調べてないけど。

2016年2月17日水曜日

ELB の Connection Settings Idle Timeout

ELB の Connection Settings にある Idle Timeout のデフォルトが 30 秒で結構短い。

このまま NGINX の proxy_read_timeout を 30 秒以上にしちゃうと、upstream の
サーバ応答が長時間なかった場合に、502 エラーを吐く前に TCP セッションが切ら
れてしまうという...

原因解明に 1 時間を要してしまった...

SSL証明書 AIA 拡張の単なる URL メモ

SSL 証明書には AIA 拡張ってのがあって OCSP レスポンダの URI や中間 CA の
証明書 の URI を含められるらしい。初めて知りましたのでのメモ。


http://www-01.ibm.com/support/knowledgecenter/SSFKSJ_7.1.0/com.ibm.mq.doc/mi20882_.htm?lang=ja

2016年2月1日月曜日

AWS Oracle RDS で sqlplus から ORA-21561: OID generation failed

VPC 上の EC2 に Oracle Instant Client を入れて RDS 上の Oracle に
sqlplus しようとしたら以下のエラー。

ERROR:
ORA-21561: OID generation failed
逆引きできないのが原因らしい。VPC の場合は「DNS hostname」が
無効になっている可能性が高い。

AWS コンソールから VPC を選択し、[Action] → [Edit DNS Hostnames]
にてこれを有効にする。