月別アーカイブ: 2010年7月

NetBSD on Atom D510

サーバPCの調子が悪いような気がするので、新しく PC を組むことにした。せっかくなので、低電力低騒音を意識して Atom D510 を使った構成にしてみる。

Mini-ITXケース AOpen S110 9,858円
外付けDVDドライブ Logitec LDV-P8U2LBK 4,031円
マザー ASUS AT5NM10-I 8,179円
メモリ 2GB DDR2 800MHz PC2-6400 CFD FSX800D2B-2G 3,680円
2.5’HDD Hitachi HTS545050B9A300 5,180円
合計 30,928円

さらに電力計測のためにワットチェッカーも購入。サンワサプライ TAP-TST5 4,980円

NetBSD/i386 5.0.2 Release を CD-ROM からインストールしてみた。
AT5NM10-I にオンボード搭載の LAN チップは Relatek RTL8112L だが、Unknown revision となり、MAC アドレスは ff-ff-ff-ff-ff-ff となって取得できない。

re0 at pci2 dev 0 function 0: RealTek 8168B/8111B PCIe Gigabit Ethernet (rev. 0x03)
re0: interrupting at ioapic0 pin 17
re0: Unknown revision (0x28000000)
re0: Ethernet address ff:ff:ff:ff:ff:ff
re0: using 256 tx descriptors
rgephy0 at re0 phy 7: RTL8169S/8110S/8211 1000BASE-T media interface, rev. 2
rgephy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, 1000baseT, 1000baseT-FDX, auto

5.1_RC3 でも RTL8112L のサポートは追加されていないようだが、不明な revision の時の処理が修正されている(8/12追記 5.1_RC3 では rtl81x9reg.h に revision 0x28000000 が RTL8168D として登録されている)ようなので試してみると、無事 MAC アドレスが取得できた。が、media type が autoselect ではなぜか no carrier となって接続できない。media 1000baseT を指定する(re(4) の 1000baseTX は多分 typo)と、100baseTX full-duplex で接続できた。これもドライバの問題かな?

re0 at pci2 dev 0 function 0: RealTek 8168/8111 PCIe Gigabit Ethernet (rev. 0x03)
re0: interrupting at ioapic0 pin 17
re0: Ethernet address 48:5b:39:xx:xx:xx (一部伏字)
re0: using 256 tx descriptors
rgephy0 at re0 phy 7: RTL8169S/8110S/8211 1000BASE-T media interface, rev. 2
rgephy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, 1000baseT, 1000baseT-FDX, auto

取得した MAC アドレスの OUI 48-5b-39 ってなんだろうと思ってhttp://standards.ieee.org/regauth/oui/index.shtml
で検索してみると、ASUSTek の OUI とのこと。RTL8112L そのものが ASUSTek バージョンなのかな?たしかに、RTL8112L で検索すると ASUSTek のマザーボードの話ばかりだ。Realtek オリジナルで RTL8112L に近いチップはなんだろうね。

48-5B-39   (hex)		ASUSTek COMPUTER INC.
485B39     (base 16)		ASUSTek COMPUTER INC.
15,Li-Te Rd.,Peitou,
Taipei  112
TAIWAN, REPUBLIC OF CHINA

OCSP

前回からの続きで、OCSP を試したメモ。

OpenSSL 1.0.0a の ocsp では、なぜか ::1 にしかバインドされないので、Apache のリバースプロキシを使って IPv4 アドレスにきたリクエストを ocsp に転送するようにした。

FireFox 3.6.3 の場合

OCSP によるサーバ証明書の検証は最初に行われる。オレオレ認証局による証明書の場合、最初に認証局が信頼できないというエラーが出る。そこで、証明書を受け入れるように指示すると、それ以上の検証は行われない。OCSPによる検証も行われない。

したがって、OCSPによる検証を有効にするには、サーバ証明書が信頼された認証局が発行したものでなければならない。つまり、オレオレ認証局の場合、あらかじめ認証局証明書をインストールしておく必要がある。

安全な接続ができませんでした

www.uconst.org への接続中にエラーが発生しました。
Peer’s Certificate has been revoked.
(エラーコード: sec_error_revoked_certificate)

* 受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
* この問題を Web サイトの管理者に連絡してください。あるいは [ヘルプ] メニューの [不具合のあるサイトを報告] でこのサイトについて報告してください。

InternetExplorer 8 の場合

認証局証明書をインストールしても検証している気配なし。どこかでやり方を間違えているのかも。

結果まとめ

  • OpenSSL 1.0.0a を使えば OCSP による失効リストの確認は可能。
  • ただし、ポートを転送する必要がある。
  • 間違ったリクエストが届くと ocsp が終了するので、OpenSSL の ocsp を OCSP サーバとして使うのは実用的ではない
  • FireFox で OCSP が機能するためには、あらかじめ認証局が信頼されている必要がある。オレオレ認証局では機能しない。