cURL --help

curl 7.61.1 (x86_64-redhat-linux-gnu)Release-Date: 2018-09-05 curl --help all Usage: curl [options...] <url> --abstract-unix-socket <path> Connect via abstract Unix domain socket --anyauth Pick any authentication method -a, --append Append to target file when uploading --basic Use HTTP Basic Authentication --cacert <file> CA certificate to verify peer against --capath <dir> CA directory to…

View On WordPress

Wait For It - Research

The decisive moment is key when you are trying to capture movement in your images. You need to see what’s happening and anticipate the next series of events and capture the movement effectively.

“Into this space life will come”

Robert Capa

The Greatest War Photographer in the World: Robert Capa with a spread of 26 photographs taken during the Spanish Civil War.

But the “greatest war photographer” hated war. Born Andre Friedmann to Jewish parents in Budapest in 1913, he studied political science at the Deutsche Hochschule für Politik in Berlin. Driven out of the country by the threat of a Nazi regime, he settled in Paris in 1933.

He was represented by Alliance Photo and met the journalist and photographer Gerda Taro. Together, they invented the ‘famous’ American photographer Robert Capa and began to sell his prints under that name. He met Pablo Picasso and Ernest Hemingway and formed friendships with fellow photographers David ‘Chim’ Seymour and Henri Cartier-Bresson.

Robert Capa was one of the best at capturing a moment in time. Here we see this soldier being caught and shot in action.

Henri Cartier-Bresson

Henri Cartier-Bresson was a French humanist photographer considered a master of candid photography, and an early user of 35 mm film.

Cartier-Bresson preferred never to use the darkroom to adjust his photographs, a choice that enhanced the spontaneity of his images and emphasized what he called "the decisive moment." No single photographer is more closely linked to the development of modern photojournalism than is Cartier-Bresson, whose itinerant nature brought him to some of the most momentous events and sites in modern history - from the liberation of Paris from Nazi occupation to the assassination of Mahatma Ghandi.

やさしいCloudFront の代替ドメイン名設定 https://ift.tt/3bqLZFc

1. 概要 — 1.1. はじめに — 1.2. 前提条件

2. CloudFront に代替ドメイン名を設定して公開する — 2.1. オリジン・キャッシュ動作の設定 — 2.2. ディストリビューションの設定 — 2.3. ディストリビューションのドメイン名をDNS登録

3. CloudFront代替ドメイン名の動作確認 — 3.1. 504 ERROR “The request could not be satisfied.” の調査 — 3.2. CloudFront代替ドメイン名の疎通確認がOKに

4. 参考資料

概要

はじめに

今回は、CloudFront のディストリビューションに代替ドメイン名（CNAME）を設定する方法をまとめます。代替ドメイン名の設定によって、ディストリビューションにデフォルトで割り当てられたドメイン名ではなく独自のドメイン名 (例: www.example.com) が使用可能です。

前提条件

今回の記事では、CloudFront のオリジンにELB-EC2 を使用します。クライアントからCloudFrontまでのアクセスはHTTPS通信とし、CloudFront からオリジンまでのアクセスはHTTP通信とします。

事前に、SSL 証明書を準備します。証明書のドメイン名は、ディストリビューションに設定する代替ドメイン名と一致させる必要があります。今回は、Certificate Manager（ACM）で証明書を発行します。

CloudFront に代替ドメイン名を設定して公開する

オリジン・キャッシュ動作の設定

CloudFront のコンソールを開きます。左のメニューより[Distributions]を選択し、[Create Distribution]を押します。

下記の画面で、「delivery method for your content」に「Web」を選択します。

ディストリビューションを作成します。以下、オリジンの設定です。

Origin Domain Name（オリジンドメイン名）に、オリジンに設定するELB を選択します（ELBはALB、NLBのどちらで可）。オリジンドメイン名には、ELBのDNS名以外に、S3バケット名やEC2 インスタンスのDNS名、独自のウェブサーバー（https://example.com）も指定可能です。

Origin Path（オリジンのパス）に、ディレクトリパスを入力します。

Minimum Origin SSL Protocol（最小限のオリジン SSL プロトコル）を指定します。

Origin Protocol Policy（オリジンプロトコルポリシー）に、CloudFront がオリジンからオブジェクトをフェッチするときに使用するプロトコルを指定します。今回は、オリジンとするELB のリスナーに合わせてHTTP Only とします。

その他のオリジン・キャッシュ動作の設定は、下記ドキュメントを参照ください。

新しいディストリビューションの作成や、既存のディストリビューションの更新を行う場合、以下の値を指定します。CloudFront コンソールを使用してディストリビューションを作成または更新する方法については、「 」または「 」を参照してください。 https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html - docs.aws.amazon.com

ディストリビューションの設定

Alternate Domain Names(CNAMEs)（代替ドメイン名）の設定に、設定する独自のドメイン名を指定します。

SSL Certificate（SSL 証明書）は代替ドメイン名を指定する場合に必須です。Custom SSL Certificateを選択して、証明書を指定します。証明書は下記のいずれかとなります。今回は、ACMで発行した証明書を使用します。なお、ACMで発行する場合は、バージニア北部のリージョンに配置することを忘れずに。

AWS Certificate Manager から提供される証明書

サードパーティ認証機関から購入して ACM にアップロードした証明書

サードパーティ認証機関から購入して IAM 証明書ストアにアップロードした証明書

その他のディストリビューションの設定は、下記ドキュメントを参照ください。

新しいディストリビューションの作成や、既存のディストリビューションの更新を行う場合、以下の値を指定します。CloudFront コンソールを使用してディストリビューションを作成または更新する方法については、「 」または「 」を参照してください。 https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html - docs.aws.amazon.com

ディストリビューションのドメイン名をDNS登録

ディストリビューションが作成できたら、ステータスからデプロイされたことを確認します。

次に、CloudFrontによってデフォルトで割り当てられたディストリビューションのドメイン名をコピーし、DNSにレコード登録します。

CloudFront代替ドメイン名の動作確認

クライアントからcurlコマンドで、CloudFrontの代替ドメイン名にアクセスできるかを確認します。

504 ERROR “The request could not be satisfied.” の調査

今回は、初回に「504 ERROR　The request could not be satisfied.」のエラーが発生しました。

オリジン、CloudFrontにそれぞれ疎通確認を行い、調査します。エラーの原因は、オリジンに設定したELB のセキュリティグループにCloudFrontからのアクセスを許可していなかったためでした。（今回はNLBのためEC2側のセキュリティグループにCloudFrontからアクセスできるようインバウンドの設定を追加します）

niikawa@niikawa1:~$ curl -vv https://xyzxyzxyzxyzx.cloudfront.net * Rebuilt URL to: https://xyzxyzxyzxyzx.cloudfront.net/ * Trying xxx.xxx.xxx.xxx... * TCP_NODELAY set * Connected to xyzxyzxyzxyzx.cloudfront.net (xxx.xxx.xxx.xxx) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certs * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: C=US; ST=Washington; L=Seattle; O=Amazon.com, Inc.; CN=*.cloudfront.net * start date: Jul 17 00:00:00 2019 GMT * expire date: Jul 5 12:00:00 2020 GMT * subjectAltName: host "xyzxyzxyzxyzx.cloudfront.net" matched cert's "*.cloudfront.net" * issuer: C=US; O=DigiCert Inc; CN=DigiCert Global CA G2 * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fffc6f00580) > GET / HTTP/2 > Host: xyzxyzxyzxyzx.cloudfront.net > User-Agent: curl/7.58.0 > Accept: */* > * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 504 < content-type: text/html < content-length: 1033 < server: CloudFront < date: Thu, 09 Apr 2020 00:35:34 GMT < x-cache: Error from cloudfront < via: 1.1 3230a3d42078a094780d1894002fcfd5.cloudfront.net (CloudFront) < x-amz-cf-pop: NRT12-C2 < x-amz-cf-id: bG4vtNFlQtECuxXDcUtZRGleu1OVZQO5NH0Ot5Qy7q2sQjzRgCA1MQ== < age: 150 < <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1"> <TITLE>ERROR: The request could not be satisfied</TITLE> </HEAD><BODY> <H1>504 ERROR</H1> <H2>The request could not be satisfied.</H2> <HR noshade size="1px"> CloudFront attempted to establish a connection with the origin, but either the attempt failed or the origin closed the connection. We can't connect to the server for this app or website at this time. There might be too much traffic or a configuration error. Try again later, or contact the app or website owner. <BR clear="all"> If you provide content to customers through CloudFront, you can find steps to troubleshoot and help prevent this error by reviewing the CloudFront documentation. <BR clear="all"> <HR noshade size="1px"> <PRE> Generated by cloudfront (CloudFront) Request ID: QsreLiLT9THqTGxKduq8Yro-6iddWuspLwPtrwHxHiFa4CUseAxWFA== </PRE> <ADDRESS> </ADDRESS> * Connection #0 to host xyzxyzxyzxyzx.cloudfront.net left intact </BODY></HTML>

CloudFront代替ドメイン名の疎通確認がOKに

前述の通りセキュリティグループを見直し、エラーを対処しました。改めてCloudFront のデフォルトのDNS名および代替ドメイン名に対して疎通確認を行い、200 OK が返ることを確認します。下記結果より、curl コマンドでレスポンスが返りました。（curl の-vv オプションの結果は省略）

niikawa@niikawa1:~$ curl https://xyzxyzxyzxyzx.cloudfront.net backend web1 niikawa@niikawa1:~$ curl https://niikawa-test.example.com backend web1

参考資料

新しいディストリビューションの作成や、既存のディストリビューションの更新を行う場合、以下の値を指定します。CloudFront コンソールを使用してディストリビューションを作成または更新する方法については、「 」または「 」を参照してください。 https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html - docs.aws.amazon.com

代替ドメイン名 (CNAME) を追加して、デフォルトで CloudFront から割り当てられる名前の代わりに一意のドメイン名を使用する方法、および、代替ドメイン名を移動したり削除したりする方法を説明します。 https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html - docs.aws.amazon.com

Amazon CloudFront エッジサーバーの場所と IP アドレス範囲の一覧です。 https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html - docs.aws.amazon.com

元記事はこちら

「やさしいCloudFront の代替ドメイン名設定」

April 21, 2020 at 04:00PM

SSL and encryption links

* self-signed-certificate-with-custom-ca -  https://gist.github.com/fntlnz/cf14feb5a46b2eda428e000157447309

* configuring elastingbeanstalk https - https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-ssl.html

* error-reading-x-509-key-or-certificate-file-error - https://stackoverflow.com/questions/50390689/error-reading-x-509-key-or-certificate-file-error-in-parsing-when-sending-certi/50392936

* How to Create Your Own SSL Certificate Authority for Local HTTPS Development - https://deliciousbrains.com/ssl-certificate-authority-for-local-https-development/

* goalng tls - https://github.com/denji/golang-tls

* failed-tls-handshake-does-not-contain-any-ip-sans - https://serverfault.com/questions/611120/failed-tls-handshake-does-not-contain-any-ip-sans

* cert decoder - https://www.sslshopper.com/certificate-decoder.html

* how to fix “ listen tcp :443: bind: permission denied in golang” -  https://stackoverflow.com/questions/14537045/how-i-should-run-my-golang-process-in-background/14573592#14573592:   Issue this command:

   sudo setcap ‘cap_net_bind_service=+ep’ /opt/yourGoBinary

CURL

https://github.com/openwisp/openwisp-config/issues/27

https://serverfault.com/questions/485597/default-ca-cert-bundle-location

https://stackoverflow.com/questions/21181231/server-certificate-verification-failed-cafile-etc-ssl-certs-ca-certificates-c

https://askubuntu.com/questions/910918/root-certificate-issue-on-ubuntu-16-04

https://superuser.com/questions/1151946/curl-and-default-capath-cacert

https://github.com/curl/curl/issues/665

https://support.plesk.com/hc/en-us/articles/213909205-Website-shows-cURL-error-77-Problem-with-the-SSL-CA-cert-

https://curl.haxx.se/changes.html

https://samdoidge.com/updating-curl-manually-ubuntu

https://daniel.haxx.se/blog/2018/11/07/get-the-ca-cert-for-curl/

The domain was purchased and the nameservers were configured about 8 hours ago. The site went up pretty soon after, and I was working on it live.

It randomly dropped, and the response would be:

➜ ~ curl -v https://site.io * Rebuilt URL to: https://site.io/ * Could not resolve host: site.io * Closing connection 0 curl: (6) Could not resolve host: site.io

Then 30 minutes later, it went back online and here’s the response:

➜ ~ curl -v https://site.io * Rebuilt URL to: https://site.io/ * Trying 128.199.7.236... * TCP_NODELAY set * Connected to site.io (128.199.7.236) port 443 (#0) * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /Users/sng/anaconda3/ssl/cacert.pem CApath: none * TLSv1.2 (OUT), TLS header, Certificate Status (22): * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Client hello (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use http/1.1 * Server certificate: * subject: CN=site.io * start date: Sep 1 04:43:48 2020 GMT * expire date: Nov 30 04:43:48 2020 GMT * subjectAltName: host "site.io" matched cert's "site.io" * issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3 * SSL certificate verify ok. > GET / HTTP/1.1 > Host: site.io > User-Agent: curl/7.60.0 > Accept: */* > < HTTP/1.1 503 Service Temporarily Unavailable < Date: Tue, 01 Sep 2020 07:19:22 GMT < Server: Apache/2.4.29 (Ubuntu) < Status: 503 Service Temporarily Unavailable < Retry-After: 86400 < Expires: Wed, 11 Jan 1984 05:00:00 GMT < Cache-Control: no-cache, must-revalidate, max-age=0 < Content-Length: 1931 < Connection: close < Content-Type: text/html; charset=UTF-8 < <!DOCTYPE html> <html class="no-js seed-csp4" lang="en">

Then it dropped another 40 minutes later. This continues to happen.

Nothing seems to be out of the ordinary as far as I can tell(which is not much) when I poke around my Digitalocean dashboard.

Also, during the time that it’s down, I can SSH into root without a problem.

Any clue as to what’s going on or can you point me in the direction for proper debugging?

edit: most recently, I tried this:

root@site-wordpress:~# curl -IL https://site.io HTTP/1.1 404 Not Found Date: Tue, 01 Sep 2020 13:01:25 GMT Server: Apache/2.4.29 (Ubuntu) Expires: Wed, 11 Jan 1984 05:00:00 GMT Cache-Control: no-cache, must-revalidate, max-age=0 Link: <https://site.io/index.php?rest_route=/>; rel="https://api.w.org/" Content-Type: text/html; charset=UTF-8

but the site is up! what the heck is going on.. please send help.

Submitted September 01, 2020 at 05:50AM by Has_curved_penis_AMA https://www.reddit.com/r/webhosting/comments/ikjn84/my_site_randomly_intermittently_goes_down_and/?utm_source=ifttt

from Blogger http://webdesignersolutions1.blogspot.com/2020/09/my-site-randomly-intermittently-goes.html via IFTTT

[Resolved] WHMCS check update error

Unable to download remote lts.json from url: https://releases.whmcs.com/lts.json Message cURL error 77: error setting certificate verify locations: CAfile: C:\Program Files (x86)\Plesk\Additional\PHPSettings\cacert.pem CApath: none

How to fix: update the latest cacert.pem file from http://curl.haxx.se/ca/cacert.pem

Source: https://support.plesk.com/hc/en-us/articles/213909205-Websites-are-unable-to-make-php-curl-requests-to-SSL-sites

more openssl linkdump

Check site's certificates against local cert

https://stackoverflow.com/a/23554225

DigitalOcean generate CSRs etc

https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs

UWisc verify privkey matches cert

https://kb.wisc.edu/middleware/page.php?id=4064

Security Stackexchange verify cert using chained trust with CApath and CAfile to point to different security stores

https://security.stackexchange.com/questions/117515/how-to-verify-a-signature-of-one-entity-by-another-using-openssl-cli

Security Stackexchange how to use -partial-chain to verify

https://security.stackexchange.com/a/118125

Feisty Duck... testing ... really all one should need

https://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.html#

Check CSR against key

https://www.shellhacks.com/openssl-check-private-key-matches-ssl-certificate-csr/