iPhone構成ファイルをOSX（Macbook）で使ってみる

iPhone構成ファイルの複数機器対応暗号化でiPhone/iPad用（iOS）の構成ファイルがMacbook pro（OSX）でも使用できる事を確認した。
WiFi設定に加え「mail」と「VPN(L2TP/IPSec)」の構成ファイルが使えるか確認してみた。




「mail」は、「@zpost」「@khaki」共にsmtp(startTLS)/imapsで一般的メール。

「同窓会メール」は、クラウド型のoffice365 Exchange serverによるメールサービスで「smtp(startTLS)/imaps」での接続がガイドされている。通常のメールサービスと同様に問題なく接続できる。
構成ファイルリファレンスでは、Exchangeプロトコルでの接続も指定できるようになっているため、確認してみた。
リファレンスによるとiOSとOSXでは、「PayloadType」の指定が異なる記載があった。「iOS=com.apple.eas.account」と「OSX=com.apple.ews.account」である。加えて、iOS onlyとOSX only指定のKeyがあり、共用するのは難しい。
このサービスのsmtp(startTLS/Submission port587)=smtp.office365.com、imaps=outlook.office365.comに接続するときは、問題にならなかったが、Exchangeプロトコル接続時に指定したhost(ssl on)=outlook.office365.comでは、指定したホスト名とexchangeサーバのssl接続時に提示されるサーバ証明書のホスト名が異なる事のアラートポップアップが表示された。推察するにoutlook.office365.comに接続後、アカウントのあるサーバに振り当てられ、そのサーバが提示するサーバ証明書のホスト名が異なる事によると思われる。OSX onlyのkeyでExternalHostにアラート表示されたホスト名を記載し、ExternalSSL=trueと指定した構成ファイルにする事でアラート表示されなくなった。基本的にメールサービスしか使用しないので、smtp/imapsでの設定がiPhone/iPad及びOSXで共用でき、最適であった。

VPN(L2TP/IPSec)も問題なかったが、一つ気になることがある。
IPv4 dictionaryのOverridePrimaryであるが、OSXのプロファイル表示では、「プライマリーを無効化」と日本語化されている。iOS(iPhone)では、「すべての信号を送信」となっている。


「システム環境」「ネットワーク」で設定方法を確認してみると「すべてのトラッフィックをVPN接続経由で送信」項目のチェックで指定するようになっている。

appleらしくない用語の不統一あるいは、修正もれか？

iPhone VPN（L2TP/IPSec）用の構成ファイル -OverridePrimary- リファレンス

iPhone VPN（L2TP/IPSec）用の構成ファイル -OverridePrimary-で構成ファイルプリファレンスに記載されていない「Key」が使用されている事を指摘したが、修正されたようだ。

「IPv4 Dictionary Keys」が新設され、その中に「OverridePrimary」定義が移された


ちなみに、日本語版の構成ファイルプリファレンスは、まだ修正されていない。

Synology DS-216JでLet's Encryptの自動更新#3

Let's Encryptの自動更新#2の状態で２回目の「自動更新」が完了した。


http->httpsへリダイレクトするよう設定された状態で下記ログの通り自動更新が完了していた


次回は、「http」サーバを停止し、「https」だけで自動更新が完了するか確認する予定。

Synology DS-216JでLet's Encryptの自動更新#2

Let's Encryptのサーバ証明書有効期限が1ヶ月前になった。


前回のLet's Encrypt自動更新は、http及びhttps両方のアクセスができるよう設定してあった。
今回の自動更新では、httpアクセスをhttpsへのリダイレクトが設定してある。
サーバ証明書の自動更新時にどのようなアクセスが行われるのか確認するため、ログ記録を設定してみた。Let's Encrypt関連アクセスだけを記録するため、「map」を使った条件付きアクセスログ設定と「log_format」変更設定とした。
「map」と「log_format」は、「http」セクションに設定する必要がある。Synology DS-216Jの「/etc/nginx/nginx.conf」にhttpセクションがある。ただし、ここに追加すると「再起動」や「アップデート」時にデフォルト状態に戻されてしまう。httpセクションにディレクティブを追加するには、「include /etc/nginx/conf.d/http.*.conf」で読み込まれるよう「/etc/nginx/conf.d/http.ssl-log-form.conf」ファイルに記述した。

/etc/nginx/conf.d/http.ssl-log-form.conf」（/usr/local/etc/nginx/conf.d/http.ssl-log-form.conf）

このファイルに、ログが「http」なのか「https」なのかが判るように「$scheme」が記録されるようにした「main1」のlog_formatとLet's Encrypt関連アクセスだけ記録させるための「map $request $letsencryptf」を設定した。

Name Virtual Serverの設定「/etc/nginx/sites-enabled/somevirtual.conf」

「server」セクションのhttps（ssl）とhttpに「access_log ログファイル名 main1 if=$letsencryptf;」を設定した。

http://somevirtual.netvolante.jp/.well-known/acme-challenge/test.htmlへのアクセスログ

httpでのアクセスがリダイレクトされhttpsでのアクセスが記録されている。
これで準備ができた。Let's Encryptの自動更新がされるのを待つ。

Synology DS-216JのDSMアップデート と/etc/nginxへの影響#3

Synology DS-216JのDSMとWebStationパッケージのアップデートを実行した。前回のアップデートでは、「/etc/nginx/nginx.conf」が上書き更新され、加えた設定変更が消失した。
今回のDSMアップデートでも「/etc/nginx/nginx.conf」が上書き更新され、ベーシック認証とクライアント認証併用設定で加えたsslのアクセスログ設定（log format）が元に戻された。


「logformat」ディレクティブは、「http」セクションで設定する必要がある。「/etc/nginx/nginx.conf」の「http」セクションに記載していたが、パッケージの更新や再起動で元に戻されてしまう。仮想サーバの追加は、「/etc/nginx/sites-enabled」配下に「SomeVirtualServer.conf」で定義すれば追加できる事を確認した。
「http」セクションへのディレクティブ追加は、「/etc/nginx/conf.d」配下に追加ディレクティブ設定を記述したファイル名「http.someconfig.conf」で可能な事が判った。
「更新」や「再起動」でも設定が元に戻されない事を確認した。