完全無料のLet’s Encryptで自サイトをSSL化

本記事の元となった、自分で記述したWordのPDFを貼り付けておきます。

余計な章がありますので、3章以降をお読みいただければと思います
(すみません、改定の時間をなかなかとれなくて・・・)。

HTMLだと、思うように表示編集することは
わたしには難しくてできませんし、
できたとしてもかなり面倒なことです
(HTMLって、なんでこんなにメンドイんじゃい!
内容を編集するよりも、表示形式の編集に手間ばかりかかりやがる!)。

通常、HTTPSのWebサイトを運用するには、
商用の認証局にSSLサーバー証明書の発行を申し込み、
必ず費用が発生するものでした。

一部限定した目的では無償で利用できるものが用意されており、
サーバーホスティング事業者と認証局との提携
(サーバー利用費用に同梱される形など)で
証明書費用が実質かからないサービスのほか、
GMOグローバルサインが2013年から行っていた
オープンソースプロジェクト向けのプログラムなどがあるくらいでした。

このような状況も、
無料のLet’s Encryptのサービスが開始されるに伴って変わってきています。

 

1 Let’s Encyptとは?

Let’s Encryptは、
すべてのWebサーバーへの接続を暗号化することを目指したプロジェクトです。

https://letsencrypt.org/

 

無料だからといって、
信用に足らないといったサービスでは決してありません。

Let’s Encryptの運営母体は、
1990年に設立された
電子フロンティア財団(EFF: Electronic Frontier Foundationです。

2009年に制定された長期的なミッションが「ウェブの暗号化(Encrypting the web)」でした。
安全ではない平文のHTTP通信を、
すべて暗号化したHTTPSに置き換えようという野心的な目標が掲げられたのです。

そして、Let’s Encrypt Certificate Authority
立ち上がります。
深い知識がなくても、誰もがHTTPSを扱えることを目指しています。

2016年4月12日から正式にサービスを開始しました。
非営利団体のISRG(Internet Security Research Group)
運営しており、
シスコ(Cisco Systems)、Akamai、
電子フロンティア財団(Electronic Frontier Foundation)
モジラ財団(Mozilla Foundation)といった著名な大手企業・団体が、
ISRGのスポンサーとしてLet’s Encryptを支援しています。

Let’s Encryptは、
支払い、サーバー設定、メールによる確認、
証明書の更新といった作業を省略することで、
SSL暗号化における設定や保守の複雑さを大幅に削減することを目的にしています。

完全自動化のため、
ドメイン認証(Domain Validation: DV)型証明書のみ発行しており、
企業認証(Organization Validation: OV)型や
EV(Extended Validation)型は提供していません。

日本語ドメインなどの国際化ドメイン名には、対応しているようです。


https://letsencrypt.org/2016/10/21/introducing-idn-support.html

 

多くの共用型レンタルサーバーの無料SSLサービスは、
Let’s Encryptを利用しているようです。

 

2 Let’s Encryptの利用手順

SSLサーバー証明書の取得、そしてWebサーバーのSSL設定は、
非常に煩雑で難しそうに思われている方も多いのではないでしょうか。

Let’s Encryptを利用した場合、
それらはとっても簡単で図2-1に示すように全部で3ステップしかありません。
また、各ステップも難しい煩雑な作業では決してありません。

 





図2-1 Let’s Encryptの導入手順

本記事では、CentOS 7上で
Let’s EncryptSSLサーバー証明書を発行して
Apache 2.4で利用する手順について説明します。

 

2.1 事前に行っておくべきこと

Let’s Encryptで発行される証明書は、いわゆる「DV証明書」という種類の証明書です。

Let’s Encryptサーバーは、
発行する証明書の対象のドメインの所有者自身が発行要求をしてきたことを確認した上で、
SSLサーバー証明書を発行します。

具体的にどのようなどのような確認が行われるのかというと、
証明書の発行を要求されたLet’s Encryptサーバーは、
発行しようとしている証明書のドメインの80番ポートにアクセスし、
特定の内容のファイルが存在していることを確認します。

問題なくファイルが取得できれば
ドメインの所有者が発行要求を出していることを確認できますので、
これをもって証明書の発行を行うというわけです。

したがって、
Let’s EncryptSSLサーバー証明書を取得するには、
下に示すことがされていなければなりません。

当たり前のことといえば、ごく当たり前の事前条件です。

Apache 2.4がすでにインストールされている。
・ インターネットから
HTTPで、80番ポートで公開しているホームページにアクセスできること。

 

2.2 Certbotクライアントのインストール

CentOS 7用のCertbotクライアントは、
EPELリポジトリからインストールすることができます。

次のようにepelリポジトリをインストールした上で、
certbotpython-certbot-apacheをインストールします。

 



【注: 2020年10月22日】

python-certbot-apacheの記述は不要です。
実際には、”# yum install certbot“とだけ、入力してください!
改定版では、直しておきます。
誤った記述で、もうしわけありません。

 

2.3 SSLサーバー証明書の作成

SSLサーバー証明書は、
2.2 Certbotクライアントのインストールで示した
certbotクライアントを実行して発行します。

ここでは、Apache httpdのDocumentRootが「/var/www/www.mywebsite.jp」に
設定されていると仮定して話を進めます。

実際のDocumentRootの設定に合わせて読み替えてください。

 

(1) certbotクライアント

SSLサーバー証明書を取得するためには、
certbotクライアントは、
下に示すように少なくとも次の2つのオプションを指定して実行します。

-dオプション   証明書を発行するサーバーのドメイン
-wオプション   DocumentRootのパスを指定

2つのオプション以外にも、
SSLサーバー証明書の取得に際しては、表3.2-1に示すオプションの利用が可能です。

なお、certbotクライアントの利用可能な全オプションについては、
下に示すページをご参照ください。


https://certbot.eff.org/docs/using.html#certbot-command-line-options

# うわーっ! オプションが多すぎて頭がイテー!!

 


表2-1 certbotのSSLサーバー証明書取得に関するオプション




certbotクライアントを起動すると、
まず下に示すようにメールアドレスを入力するように求められます。


このメールアドレスは、
後に証明書の有効期限が近づいた際にお知らせしてくれたりすることなどに利用されます。

なお、証明書の有効期間は90日間となっています。

次に規約に同意するかを問われます。

同意するためにAと入力します。



次にElectronic Frontier Foundationにメールアドレスを共有するかを問われます。

メールアドレスを共有すると、
EFFや証明書のことなどについてのメールを送ると書かれています。

メーリングリストのようなものです。

メールを受け取りたければYを、
受け取りたくなければNと入力します。



これで証明書の作成が開始されます。
正しく証明書の作成が行われた場合は、次のように出力されます。



これで証明書の発行は終了です。

 

(2) SSLサーバー証明書が保存される場所

Let’s Encryptで取得するSSLサーバー証明書は、
サーバー証明書中間CA証明書の2つの証明からなります。

中間CA証明書とは、
電子証明書(デジタル証明書)を発行する認証局が、
自分自身の認証のために発行する電子証明書の1つです。
中間証明書」とも言います。

CAとは「Certification Authority」の略で、認証局を意味します。

電子証明書はインターネット上で本人証明を行うために使用されており、
この証明書を発行する「信頼できる第三者」のことを認証局と言います。

他にも、暗号化用の秘密鍵も取得します。

サーバー証明書秘密鍵
/etc/letsencrypt/archive/」以下に保存され、
表2-2に示すパスにシンボリックリンクが作成されます。

シンボリックリンクのリンク先は、
SSLサーバー証明書を更新するたびに新しい証明書に変更されます。

 

表2-2 SSLサーバー証明書の保存パス



 



 

2.4 Apache 2.4への設定

SSLサーバー証明書が作成できたら、Apache 2.4に設定を追加します。

strong>ssl.confの次に示す項目に、それぞれ設定します。

SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile



これでApache httpdを再起動して完了です。

 

3 SSL証明書の自動更新


Let’s Encryptの証明書の有効期限は90日間
と比較的短いため、定期的に更新する必要があります。

これは自動更新を前提としているためのようです。

自動更新は、「certbot renew」コマンドを実行するだけです。

証明書の有効期限をチェックして、期限が近づいていれば更新してくれます。

また、即時に証明書を更新したい場合は
–force-renewal」オプションを付けて実行します。

ただし、承認数に上限があるようで、
このオプションを付けて毎日コマンドを実行してしまうと、
制限に引っかかってしまうようです。

実行するのは月1回程度に制限すると良いでしょう。

手動でコマンドをたたくことは、忘れてしまうこともあり面倒なことでもあるので、
crontabに登録するようにします。

下に示す例は、毎月1日の午前2時に証明書を自動更新し、
Apacheをリロードするようになっています。

日本国内向けのサイトであれば、
アクセスの少ない午前2時から午前5時の間を選ぶと良いかと思います。

 




以上

YAMAHAルーターによるVPN簡単セッティング

自宅サーバー・アクセス

HTMLのままだと、
意図した形式で表示するのは面倒ですので、
Wordで作成したPDFを貼り付けておきます。

1 初めに

外出先から自宅PCにLANと同じように接続できるVPNは、
通信業者に設置を依頼するとか、
専用のVPNサーバーを用意しなければならないとかで、
個人で利用するには敷居の高いものだと思っていました。

昨今では、
VPNサーバー機能を持ったルーターが、
安いものでは1万円を切るものも出てきていて、
インターネットを利用したインターネットVPN(図1-1を参照)は
個人レベルでも安価に簡単に導入できるようになってきています。

また、SoftEther VPN
Open VPNといったフリーソフトなどもあり、
経済な面からは個人でも充分利用が可能なものとなってきています。

そして、まだVPNが一般的でなかった頃には、
漠然とグローバルな固定IPアドレスは必須だと思っていましたが、
実際にはそれすら必須ではないことがわかってきました。

こう状況であれば、やっぱりVPNを導入したいですよね。
ということで、本記事ではVPNの簡単導入について解説します。

図1-1 VPN接続の種類

VPNの運用形態については、
大きく分けて「拠点間VPN」と「リモートアクセスVPN」の2つがあります。

拠点間VPN」は、
たとえば東京オフィスと大阪オフィスのように文字通り拠点同士を接続するVPNです。

それぞれの拠点にVPNの接続口となる装置(VPNゲートウェイ)を設置し、
このゲートウェイ同士の間にVPNの経路を確立します。

こうすることで、それぞれの拠点内のネットワーク同士が相互に常時接続され、
拠点内にいるユーザーはVPNの存在自体を意識することなく、
ほかの拠点のネットワークをハブで繋がったLANの延長のように利用できます。

リモートアクセスVPN」は、
拠点に設置したVPNゲートウェイに対し、
ユーザー個人がPCやスマートフォンなどから一時的にVPNの経路を確立します。

デバイスにあらかじめVPN接続用のクライアントアプリをインストールしておき、
VPNが必要な時だけ、拠点に対してVPN接続を確立します。

個人でVPNを利用するといったら、
外出先から自宅サーバーにアクセスするといった使い方になるかと思います。

そういったことで、本記事では下に示すYAMAHAのVPNルーターを例に、
リモートアクセスVPN」の設定例を示します。

RTX830
RTX1210

YAMAHAのルーターは少々高いのかもしれませんが、
リモートアクセスVPN」の設定項目に関しては、
2万円前後、あるいはもっと安く購入できるWi-Fi VPNルーターと
ほとんど変わりはありません。

# あまりにも安いVPNルーターは、安定性に不安があって・・・
# それで定評のあるYAMAHAのルーターに・・・

YAMAHA以外のルーターであっても、設定パラメータ等に大きな違いは無く、
本記事の内容は
リモートアクセスVPN」の設定に際して参考になるのではと思います。

2 ネットワーク構成と必須ソフトウェア

本章では、
VPNを利用する際のネットワーク構成と必須ソフトウェアについて示します。

2.1 ネットワーク構成例

YAMAHA VPNルーターの設置例を図2.1-1に示します。

図2.1-1 VPNルーターの設置例

基本的には、
既に設置済みかと思われる自宅のブロードバンド・ルーター、ないしWi-Fiルーターを
YAMAHA VPNルーターに置き換えるだけとなります。

無線LANを継続して利用する場合は、
YAMAHA VPNルーターをWAN側に、
Wi-Fiルーターを
ルーター・モード」から「アクセスポイント・モード」に変更して
YAMAHA VPNルーターにLAN接続します。

アクセスポイント・モード」の無いWi-Fiルーターの場合は、
アクセスポイント・モード」の有るWi-Fiルーターに買い換えるか、
無線をあきらめて有線LANで利用するしかありません。

外出先クライアント側の機器やネットワークの構成は、
今まで通りVPNを利用していなかった時に変わりはありません。

2.2 リモートアクセスVPNを実現する際の必要な機材、およびソフトウェア

自宅側ネットワークに
新たな機材やソフトウェアを導入する必要は全くありません。

VPNクライアントであるPCも、
Windows 7以降のPCであれば、新しいソフトウェアを導入する必要はありません。

Linuxクライアントの場合は、
対応するVPNクライアントのソフトウェアをインストールしなければなりません。

なお、ドメイン名やグローバルな固定IPアドレスを取得していない場合、
ダイナミックDNSサービスでドメインを取得しておく必要があります。

以下に示すようなダイナミックDNSサービスがあります。

ネットボランチDNSサービス

ダイナミックDNSサービスは、他にも無料のものや有料のサービスが多数あります。
ダイナミックDNSサービス、あるいはDDNS」で検索してみてください。

機会があれば、ダイナミックDNSサービスについても解説したいと思います。

3 設定

RTX830、RTX1210の対応VPNプロトコルは、下に示すようになっています。

IPsec
IKE/IKEv2
PPTP
L2TP/IPsecL2TPv3L2TPv3/IPsec

上記プロトコル中では、「L2TP/IPSec」を利用するケースが一般的です。

本章では、「L2TP/IPSec」で接続する場合の、
YAMAHAルーターとWindows 10の設定例を示します。

3.1 ルーターとクライアントの共通設定項目

表3.1-1に、ルーターとクライアントとの間で
設定内容を一致させるべき項目を示します。

表をご覧いただければ直ぐにお分かりになるかと思います。
項目も多くなく、またよく理解できないといった難しい内容の項目はありません。

表3.1-1 ルーターとクライアントの共通設定項目

3.2 YAMAHAルーター側の設定

ルーターの設定は、
CLI設定とGUI設定の2つの方法がありますが、
本節ではGUIでの設定方法のみを示します。

ここで示す多くの図はRTX830のものですが、
RTX1210での場合はRTX830にほぼ同じですので
図の例示は省略します。

一部の画像は、

YAMAHAのページ

から持ってきました。
わたしのRTX830RTX1210はともにVPN設定済みです。
無設定状態にして画像を取得し、その後再度設定し直すのは面倒ですので、ご容赦ください。

1) まずは、設定画面を開きます。
開いた画面上部に表示される「かんたん設定」をクリックします。

図3.2-1 RTX830ダッシュボード
2)VPN」をクリックします。

図3.2-2 簡単設定
3)リモートアクセス」をクリックします。

図3.2-3 簡単設定/VPN
4) 未設定の場合は図3.2-4が、
設定済みの場合は図3.2-5が表示されます。

図3.2-4が表示された場合は「新規」をクリックします。

図3.2-5が表示された場合、
L2TP/IPSec」設定の変更ならば「共通設定の変更を行います。」表示右横の「設定」を
クリックします。

図3.2-4 リモートアクセス/新規

図3.2-5 リモートアクセス/設定
5)接続種別」で「L2TP/IPsecを用いる」を選択して、

共通設定表3.2-1に示すように必要事項を入力します。

入力が完了したら、「次へ」をクリックします。

表3.2-1 L2TP/IPsec設定項目

図3.2-6 L2TP/IPsecの設定
6) 新規の場合、図3.2-7に示すように
ユーザーの登録」画面が開きます。

クライアントであるユーザーを登録します。
登録するユーザーを増やす場合は、「+」をクリックします。

 入力が完了したら、「次へ」をクリックします

図3.2-7 ユーザーの登録
7) 図3.2-8のように表示されたら、

入力内容を確認して問題がなければ、「設定の確定」をクリックします。

図3.2-8 L2TP/IPsec設定の確認
8) 図3.2-9のように表示されたら、
L2TP/IPsecの設定が完了しました。

図3.2-9 L2TP/IPsec設定の完了

3.3 Windows 10におけるVPNクライアントの設定

L2TP/IPsec」でVPN接続する場合、
Windows 7以降のWindowsであれば特別なソフトウェアを用意する必要はありません
標準搭載のVPNクライアントだけで接続することができます。

YAMAHAルーターを設置している自宅の回線がISPのものの場合、

ダイナミックDNSサービスによりドメイン名を事前に取得


しておく必要があります。

ダイナミックDNSサービスについては、
2.2 リモートアクセスVPNを実現する際の必要な機材、およびソフトウェア
でちょっと触れました。

 本節では、Windows 10の場合におけるVPNクライアントの設定を示します。

1)Windowsの設定」を開き、
ネットワークとインターネット」を選択します。

図3.3-1 Windowsの設定

2) 左サイド・メニューから「VPN」を選択します。

図3.3-2 ネットワークとインターネット

3)VPN接続を追加する」の左隣の「」をクリックします。

図3.3-3 VPN

4) 図3.3-4に示すように表示されたら、

一番最初に「VPNプロバイダー」から「Windows(ビルトイン)」を選択します。

図3.3-4 VPNの設定

5) 図3.3-5
に示すように表示が切り替わります。

まず、「VPNの種類」から「事前共有キーを使ったL2TP/IPsec」を選択します。
事前共有キー」の項目は、
事前共有キーを使ったL2TP/IPsec」が選択されるまで表示されません。

図3.3-5 VPN接続を追加

以降、表3.3-1に示すように設定して、
保存」をクリックします。

表3.3-1 事前共有キーを使ったL2TP/IPsec

6) 設定が完了すると、
図3.3-6に示すように設定した接続名とともにVPN接続アイコンが追加されます。
図3.3-6は、 2つのVPN接続を設定しているものです。

図3.3-6 VPN接続アイコン

また、L2TPネットワークアダプター
図3.3-7に示すように追加されます。

図3.3-7 L2TPネットワークアダプター

通常のアダプターのプロパティと同じように、
L2TPのネットワークアダプターのプロパティは
図3.3-8
図3.3-10に示すように表示して確認することができ、
またここで設定値を変更することもできます。

4 接続

本章では、
Windowsの設定ネットワークとインターネットVPN」を使って、
VPNに接続する方法と切断する方法を示します。

4.1 VPNの接続と切断

4.1.1 接続

VPN接続するには、以下に示すようにします。

① まず、設定の「VPN」セクションを開きます。

設定のための「VPN」セクションは、下に示す順でボタンをクリックすると開きます。

スタート
」 ⇒ 「設定
」 ⇒ 「ネットワークとインターネット
」 ⇒ 「VPN」

図4.1-1に示すように、
3.3 Windows 10におけるVPNクライアントの設定で作成した、

接続したいVPN接続を選択しクリックします。

③ 選択したVPN接続の下に「接続」、「詳細オプション」、「削除」のボタンが
表示されたら、「接続」をクリックします。
ユーザー名とパスワードが未設定の場合、もしくは接続に失敗した場合、
ユーザー名とパスワードの入力が求められますので入力します。

けっこう時間が掛かります。
設定の「VPN」セクションの表示が裏に廻ってしまった場合、タイムアウトすることがあります。
接続が完了するまで、「VPN」セクションの表示はなるべく前面に出しておくと良いでしょう。

図4.1-1 ネットワークトとインターネット/VPNセクション

以下に示す手順でも、接続することができます。

① タスク バーの右端にあるネットワーク・アイコン( 、または )をクリックします。

② 使用するVPN接続を選択します。

③ VPN接続の下に「接続」ボタンが表示された場合は、「接続」をクリックします。
「ネットワークとインターネット/VPN」セクションが表示された場合については、
先に示しました。

接続されると、VPN接続名の下に「接続済み」と表示されます。

PCで作業している間にVPNに接続しているかどうかは、
タスク バーの右端にあるネットワーク・アイコン( 、または )をクリックして開く
VPN接続に「接続済み」と表示されているかどうかで確認することができます。

図4.1-2 VPN接続の確認

4.1.2 切断

VPN接続を切断するには、以下に示すようにします。

① まず、設定の「VPN」セクションを開きます。
設定の「VPN」セクションは、下に示す順でボタンをクリックすると開きます。

スタート 」 ⇒ 「設定 」 ⇒ 「ネットワークとインターネット 」 ⇒ 「VPN

② 該当するVPN接続を選択すると、
詳細オプション」と「切断」のボタンが表示されますので、
切断」をクリックします。

図4.1-3 VPNの切断

4.1.3 インターネット接続

VPN接続が完了すると、
Webブラウジングやメールの送受信、ftpなどのインターネット接続は、
初期設定のままではVPN接続先のネットワークで行われるようになってしまいます。

VPN接続前の元のネットワークでインターネット接続をするには、
図4.1-4に示すようなネットワークアダプター群の中から該当するVPNアダプター選んで、
そのプロパティを変更することにより行います。

なお、本RevisionではTCP/IPv4の場合についてのみ示します。
TCP/IPv6の場合については、改定Revisionで示したいと思います。

1) 該当のVPNアダプターを選択し、
マウス右ボタン押下で表示されるメニューの中から「プロパティ」を選択します。

図4.1-4 ネットワークアダプターの一覧
2)ネットワーク」タブを選択し、
インターネット プロトコル バージョン4(TCP/IPv4)」を選択します。

3) 図4.1-6に示す
インターネット プロトコル バージョン4(TCP/IPv4)のプロパティ」が開いたら、
詳細設定(V)…」をクリックします。

図4.1-6 インターネット プロトコル バージョン4

4) 図4.1-7の「TCP/IP詳細設定」が開いたら、
IP設定」を選択します。

リモート ネットワークでデフォルト ゲートウェイを使う(U)」の

左□のチェックを外します。

VPN接続先のネットワークでインターネット接続を行いたい場合は、
逆に左□にチェックを入れます。

図4.1-7 リモートネットワーク/デフォルト ゲートウェイの使用有無

4.1.4 クライアント端末のローカルIPアドレス

クライアント端末のローカルIPアドレスは、
クライアント端末/コマンドプロンプトにおいて
ipconfig“コマンドで確認することができます。

図4.1-8中の該当する名前の
PPPアダプター(図の例では、”INET-SERV”と表示されている)の
属性としてローカルのIPアドレスが表示されます。

なお、ローカルIPアドレスは、
VPNルーターのDHCPサーバー機能が与えたもの、
あるいはクライアント端末自身が決定したものですが、
このあたりの設定の話については本記事Rev. 0.9では省略します
(まー、難しい話ではないのですが、説明が面倒なので・・・)。

図4.1-8 VPNアダプターのIPアドレス

4.2 リモートPCへの接続

VPN接続しただけでは、
エクスプローラーに接続先LAN内のPC一覧が自動的に表示されるわけではありません。

したがって、
ローカルLANのようにエクスプローラーに表示されるPCアイコンをクリックすれば、
そのPCに接続できるというわけではありません。

4.2.1 ローカルIPアドレス指定による接続

Windowsインターネット ネーム サービス (WINS)サーバー
(以降、単にWINSサーバーと記す)が導入されていない環境下では、

エクスプローラーのアドレスバーに
接続するリモートPCのローカルIPアドレスを直接入力することで接続します。

たとえば、図4.2-1に示すように
出先のPCから自宅LAN内のIPアドレス192.168.10.6のPCにアクセスしたいとします。

図4.2-1 リモートPC接続例

その時は、
図4.2-2に示すように
エクスプローラーのアドレスバーに「\\192.168.10.6」と入力します。

図4.2-2 IPアドレス入力によるVPN接続先PCへの接続

そうすれば、
図4.2-3に示すように自宅LAN内のローカルアドレス
192.168.10.6のアクセスできます。

図4.2-3 リモートPCの共有フォルダ一覧

4.2.2 Windowsインターネット ネーム サービス (WINS)サーバー

接続先LAN内のPC一覧が自動的に表示されるようにするには、
WINSサーバーを導入しなければなりません。

WINSサーバーを導入すると、
ネットワークを越えたNetBIOS名前が解決できるようになります。

ただし、WINSサーバーのソフトウェアは、Windows Serverのソフトウェアです。

個人で運営しているネットワークで
Windows Serverを導入するのは、まず費用の面で高負担になります。

個人ベースでは
数十台もの大量台数のPCをLAN内に設置することはないので、
WINSサーバーを導入しなければならない必要性は全く感じられません。

4.2.3 hostsとlmhosts

IPアドレスではなくどうしても名前でリモートPCに接続したいという場合は、
hostsファイル、ないしlmhostファイルを利用すると良いでしょう。

hosts(ホスツ)とは、
TCP/IPを利用するコンピュータにおけるホスト名のデータベースで、
IPアドレスとホスト名の対応を記述したテキストファイルです。

# いいですか! hostsは、ホスツですよ!!
ホストスじゃありません!

hostsファイルには、各ノードでローカルに必要な最低限の対応のみ記述します。

hostsファイルは、下に示すパスにあります。

追記例を図4.2-4中の黄網かけに示します。

図4.2-4 hostsファイルの内容

lmhostsファイルも、hostsファイルと同じディレクトリ下にあります。

本記事では、lmhostsの詳細は省略させていただきます。

4.3 Windows 10 起動時のVPN自動接続

VPNを利用する際、いちいち手動で接続するのは面倒なこと。
幸いWindowsにはいくつかの自動接続の方法があります。

最も有用なのは、
Windows 10で追加された自動的にVPNに接続するための機能なのですが、
これの使い方が難しい!

参考として自動接続トリガーの種類を下に示します。

① アプリ・トリガー

② (特定ドメイン接続における)名前ベースのトリガー

③ 常にオン
(ユーザーのサインイン、ネットワークの変更、特定のデバイスが開いた時など)

詳しくは、下に示すページをご覧いただきたいと思います。

VPN 自動トリガー プロファイル オプション

# いったい、何語で書いてあるんじゃい? っていう日本語ですわな。
# Microsoftのドキュメントって、ほとんどがこんな感じ!!

他には、下に示す方法など。

・ タスクスケジューラーへの登録
・ Windowsスタートアップ・メニューへ登録(サインインした時、自動的にVPN接続)

本節では、接続トリガーがサインインした時に限られますが、
最も簡単な「Windowsスタートアップ・メニューへの登録」について示します。

ここで使用するコマンドは”rasphone“です。

3.3 Windows 10におけるVPNクライアントの設定で示した
VPN接続の設定は既に済んでいるものとして話を進めます。

また、たとえばそこで作成したVPN接続名は、”Home“とします。

(1)電話帳

rasphone -d“を実行すると、
Windows 10ではデフォルトで接続のダイアログが表示されます。
これを無くすため、事前に電話帳ファイルの設定変更が必要となります。

PreviewUserPw“の値を”1“から”0“にします。

VPN接続を複数構成している場合は、変更箇所に注意してください。
1つのファイル内にVPN接続名ごとに複数のセクションがあります。

電話帳のファイル・パスは、以下に示す通りです。

(2)スタートアップのショートカット

スタートアップに登録するショートカットには、
rasphone“のコマンド・パス以外のものを記入してはいけないわけではなく
コマンド・オプションも記入できます。

ショートカット・リンク先の内容を、下に示すようにすれば良いのです。

図4.3-1 VPN自動接続のためのショートカット

コマンド・オプション付きの場合、よく、
batファイルを作成して、
ショートカットのリンク先には
batファイルのパスを記入するという方法がよく見受けられますが、
batファイルなどを作成する必要は全くありません。

スタートアップのフォルダ・パスは、以下に示す通りです。


以上