|
サイズ: 15495
コメント:
|
サイズ: 16979
コメント:
|
| 削除された箇所はこのように表示されます。 | 追加された箇所はこのように表示されます。 |
| 行 7: | 行 7: |
| * サイト利用者を証明するための「チャレンジ・レスポンス」のやりとりをHTTP(http-01)ではなく、DNS(dns-01)を使う方法である。 * 環境(イントラネット内である、アプライアンス機器でHTTPのランディングが不可能、SMTP等で http-01 できないなど)によってはこの方法しか採れないケースもある。 |
* サイト利用者を証明するための「チャレンジ・レスポンス」のやりとりをHTTP経由(http-01)ではなく、DNS経由(dns-01)で行う方法である。 * 以下のような環境では、この方法しか採れないケースもある。 * イントラネット内のサーバーである。 * アプライアンス機器等で、HTTPのランディングが不可能である。 * 特定プロトコル(メールサーバー等)ユースでHTTPでのランディングができない場合など。 |
| 行 17: | 行 20: |
| * OS: FreeBSD 11.0-R | * OS: FreeBSD 11.1-R |
| 行 19: | 行 22: |
| * DNSクライアント: BIND 9.11.1P3(nsupdate コマンド) * DNSコンテンツサーバー: BIND 9.11.1P3 * SSL証明書利用サーバーについては言及しない。 |
* DNSダイナミックアップデートクライアント: BIND 9.11.2(nsupdate コマンド) * DNSコンテンツサーバー: BIND 9.11.2 * SSL証明書利用サーバーについてはここでは言及しない。 |
| 行 33: | 行 36: |
| * ある程度制限できるとは言え、DNSダイナミックアップデートは「ゾーン」に対してフリーダムに更新できてしまうので、_acme-challenge.www.example.jp ゾーン(に分けて/委任してもらって)に、更新が閉じるよう制限するのが必要と思われる。 | * BINDの場合、update-policy 機能(allow-update 機能とは排他)によりある程度制限することができる。 * とは言え、DNSダイナミックアップデートは「ゾーン」に対してフリーダムに更新できてしまうのも確かである。 * そこで今回、_acme-challenge.www.example.jp ゾーン(に分けて/委任してもらって)に、更新が閉じるよう制限してみた。 * そこまで要らないというケースでは、_acme-challenge.www.example.jp ゾーンに対する各種設定を example.jp ゾーンに適用すればよい。ただし詳細は取り扱わない。 |
| 行 40: | 行 46: |
| * それらサーバーへの反映は ns.example.jp の notify yes; およびIXFR(Incremental Zone Transfer)により、全てのサーバーへ即時通達されるものとする。 * それら詳細についてはここでは取り上げない。 |
* それらサーバーへの反映は ns.example.jp の notify yes; およびIXFR(Incremental Zone Transfer)により、全てのサーバーへ即時に遅滞なく通達されるものとする。 * それら運用上の詳細については既に設定されているものとして、ここでは取り扱わない。 |
| 行 43: | 行 49: |
| * 上記サーバーは同一でもかまわないし、別々でもかまわない。 | * 上記サーバー(DNSコンテンツサーバー・SSLサーバー)は同一でもかまわないし、別々でもかまわない。 |
| 行 46: | 行 52: |
| * DNSサーバーは BIND 9.11.1([[https://www.freshports.org/dns/bind911|ports/dns/bind911]])。 | * DNSサーバーは [[https://www.freshports.org/dns/bind911|ports/dns/bind911]] をインストールする。 |
| 行 49: | 行 55: |
| * DNSダイナミックアップデートクライアントは BIND 9.11.1([[https://www.freshports.org/dns/bind-tools|ports/dns/bind-tools]])。 * 既に BIND 9.11.1 ([[https://www.freshports.org/dns/bind911|ports/dns/bind911]])がインストールされている環境では不要。 * FreeBSD 9.x 等といった古い環境では nsupdate コマンドが存在したため、そのような環境でもインストールは不要である。 * ACMEクライアントは dehydrated 0.4.0([[https://www.freshports.org/security/dehydrated|ports/security/dehydrated]])。 |
* DNSダイナミックアップデートクライアントは [[https://www.freshports.org/dns/bind-tools|ports/dns/bind-tools]] をインストールする。 * 既にBIND([[https://www.freshports.org/dns/bind911|ports/dns/bind911]])がインストールされている環境では不要。 * 古いFreeBSD(9.x等)の nsupdate コマンドはTSIGは取り扱えないため、やはりインストールする必要がある。 * ACMEクライアントは [[https://www.freshports.org/security/dehydrated|ports/security/dehydrated]] をインストールしておく。 |
| 行 62: | 行 68: |
| == named.conf の設定(一部)例 == {{{ include "ダイナミックアップデートキーフルパス名"; |
== named.conf の設定(一部)例(/usr/local/etc/namedb/named.conf) == {{{ include "/ダイナミック/アップデート/キー/フルパス名"; |
| 行 68: | 行 74: |
| file "example.jpゾーンフルパス名"; | file "/example.jp/ゾーン/フルパス名"; |
| 行 73: | 行 79: |
| file "_acme-challenge.www.example.jpゾーンフルパス名"; | file "/_acme-challenge.www.example.jp/ゾーン/フルパス名"; |
| 行 82: | 行 88: |
| * このTSIGキーを「ダイナミックアップデートキーファイル名」で保存しておく(所有者は root:wheel、パーミッションは 0400 で)。 | * このTSIGキーを「ダイナミックアップデートキーファイル名」で保存しておく(所有者は bind:wheel、パーミッションは 0400 で)。 |
| 行 85: | 行 91: |
| * 残念なことに update-policy ではアクセス元制限ができないので、キーの取り扱いについては注意すること。 * なお allow-update は update-policy とは排他であるため、両方設定することはできない。 |
|
| 行 101: | 行 109: |
| * 本ファイルの設置場所、命名規則はそれぞれのポリシーに従う。 | * 本ファイルの設置場所、命名規則はそれぞれのポリシーに従う(本例では ゾーン名.db とした)。 |
| 行 119: | 行 127: |
| * 本ファイルの設置場所、命名規則はそれぞれのポリシーに従う。 | * 本ファイルの設置場所、命名規則はそれぞれのポリシーに従う(本例では ゾーン名.db とした)。 |
| 行 134: | 行 142: |
| tsig-keygen -a hmac-sha256 キー名 > ダイナミックアップデートキーファイル名 chmod 0400 ダイナミックアップデートキーファイル名 |
tsig-keygen -a hmac-sha256 キー名 > /ダイナミック/アップデート/キーファイル名 chown bind:wheel /ダイナミック/アップデート/キーファイル名 chmod 0400 /ダイナミック/アップデート/キーファイル名 |
| 行 159: | 行 168: |
| * /usr/local/etc/namedb/ns-www.key * /usr/local/etc/dehydrated/ns-www.key |
* /usr/local/etc/namedb/ns-www.key(owner:group=bind:wheel, mode=0400) * /usr/local/etc/dehydrated/ns-www.key(owner:group=root:wheel, mode=0400) |
| 行 180: | 行 189: |
| DNSコンテンツサーバーと同一になるように設定すること。 | DNSコンテンツサーバーと同一になるようコピーするなどして設定すること。 その際のオーナー・グループ・パーミッションは以下の通りである。 {{{ chown root:wheel /usr/local/etc/dehydrated/ns-www.key chmod 0400 /usr/local/etc/dehydrated/ns-www.key }}} |
| 行 204: | 行 220: |
| example.org www.example.org example.com www.example.com wiki.example.com |
www.example.jp |
| 行 253: | 行 268: |
| * 先に述べたように、本ケースでは本ファイルを取り扱わない。 * HOOK で指定するシェルスクリプトの deploy_cert 関数で代替できるからである。 |
* 本ケースでは deploy.sh を取り扱わない(無くてもいい)。 * これは HOOK で指定するシェルスクリプトの deploy_cert シェル関数で代替できるからである。 |
| 行 260: | 行 275: |
| * 逆に HOOK はデプロイだけしたいユースケースにおいて若干ながら大味(ダミーの関数を置く必要がある)。 | * 逆に HOOK はデプロイだけしたいユースケースにおいて若干ながら大味(ダミーの関数を置く必要がある)である。 |
Let's EncryptでSSL証明書の新規作成と自動更新(dns-01編)
Let's Encrypt とは
Lets' Encrypt は認証局(Certificate Authority)のブランドの一つである。
これは「Symantec(旧Verisign)セキュア・サーバーID」「CyberTrust SureServer」「SecomTrust セコムパスポート for Web3.0」「GlobalSign クイック認証SSL」「GeoTrust RapidSSL」「Comodo PositiveSSL」などの一つと考えれば良い。
- たぶんどれかは聞いたことあるはずと思う。アレが抜けてるというツッコミは却下で:-)。
- 他の認証局と同じような点は、
- 1証明書をどのように(複数IP、複数バックエンド、複数プロトコル)使用しても1取得で済む(安い認証局は大抵そうだよね)。
- 親ドメインをまたぐ、マルチドメイン証明書(Subject Alternative Names)に対応している(全ての認証局で対応してるね)。
いよいよワイルドカード証明書に対応(対応してるブランドと対応してないブランドとあるね)。
DV(Domain Validation)証明書のみ提供(DVだけでなくOV・EVにも対応してるブランドもあるね)。
ただしOV(Organization Validation)証明書やEV(Extended Validation)証明書との純技術的な優劣は無い。
- 他の認証局と明確に違う点は、
- 無償。
RSA(2048bit、3072bit、4096bit), ECDSA(prime256v1、secp384r1) の5種類の鍵が選べる(ここまで選べるブランドは限られるね)。DSAが無い?時代だ。諦めろ。
ACME(Automated Certificate Management Environment)プロトコルによる証明書の認証から発行までの一連のバッチ化(自動化)が可能。
- 今どき誤差だけど、扱える端末が(他の認証局と比べて)少ない。
- ごく一部のエンドユーザーが粘り強く使用しているような、全アクセスの0.1%未満の端末であってもサポートしないといけない用途であるならお勧めしない。
- 逆に今どきのメジャーどころの端末・ブラウザは対応している。
よってPC相手にはほぼ問題無い(Windows XP? IE6? 知らんがな)。
取得数制限(特に単位時間あたりの)があるので注意。詳しくは Rate Limits を参照のこと。
検証(ステージング)用認証局も用意されているので、セットアップ時の検証や、ACMEクライアントの開発といった用途ではこちらを使う。
「現在の」ルート証明書は「IdentTrust|DST(Digital Signature Trust) Root CA X3」である。
IdentTrust なの? DST なの? については旧会社のブランドも残ってるらしい、としか自分は認識してない。詳しくは会社概要でも読んでくれい。
少なくとも中間証明書の発行者(Issuer)はそうである(Let's Encrypt運用元の ISRG - Internet Security Research Group ではない)。
- このルート証明書がインストールされた端末が対応端末となる。
中間証明書(Subject)は「Let's Encrypt Authority X3」である(場合によってはこっち「も」入ってることがあるかもしれない)。
ここでは全て dehydrated を使用を前提に解説する。certbotとdehydratedの違いについては特に解説しない。
dehydratedを選んだ理由は、
dehydratedはBash/ZSH依存スクリプトであるため、特別な言語環境(Python)を必要としない。
certbotの場合、Pythonに依存する分には問題無いが、依存するPythonモジュールが極めて大量にあって維持が大変。
dehydratedはまだ依存が少ない(curl のせいでずいぶん増えてるが)。
dehydratedの場合、わけわかんなくなっても、シェルスクリプトなのでソースコード読んで理解できる。また長いコードではない。
dehydratedはWebサーバー機能を内蔵していないため、Webサーバーとの競合に配慮しなくてよい。
dehydratedはエイリアス機能により、同じコモンネームでRSA/ECDSA両方の証明書取得が可能である。
dns-01 とは
- サイト利用者を証明するための「チャレンジ・レスポンス」のやりとりをHTTP経由(http-01)ではなく、DNS経由(dns-01)で行う方法である。
- 以下のような環境では、この方法しか採れないケースもある。
- イントラネット内のサーバーである。
- アプライアンス機器等で、HTTPのランディングが不可能である。
- 特定プロトコル(メールサーバー等)ユースでHTTPでのランディングができない場合など。
- DNSコンテンツサーバーとの連携(諸設定)が必要になってしまうが、この味を知ってしまうと http-01 手順には戻れなくなること請け合いである:-)。
- どれくらい戻れないかというと、Webサーバーに対しても dns-01 手順を適用したくなってしまうくらい中毒性がある:-)。
目次
検証環境
- 以下のソフトウェアの利用を前提に検証を実施した。いずれも最新のリリースということで確認しているが、ある程度古い環境でも問題無いと思われる。
- OS: FreeBSD 11.1-R
- ACMEクライアント: dehydrated 0.4.0
- DNSダイナミックアップデートクライアント: BIND 9.11.2(nsupdate コマンド)
- DNSコンテンツサーバー: BIND 9.11.2
- SSL証明書利用サーバーについてはここでは言及しない。
- 上記以外の環境では、以下の点に相違が発生する。必要に応じて読み替えたし。
- インストール方法
- インストールされるディレクトリ
- 自動更新のための手続きとその設定
- 逆に以下の点は参考にできる。
- 設定パラメータとその意味
- 運用事例
検証作業内容
- 本例では、www.example.jp というサイトに対して証明書を発行するものとする。
- チャレンジ・レスポンスコードをDNSダイナミックアップデートするため、example.jp ゾーンに対するDNSコンテンツサーバーへの更新権限があるものとする。
- BINDの場合、update-policy 機能(allow-update 機能とは排他)によりある程度制限することができる。
- とは言え、DNSダイナミックアップデートは「ゾーン」に対してフリーダムに更新できてしまうのも確かである。
- そこで今回、_acme-challenge.www.example.jp ゾーン(に分けて/委任してもらって)に、更新が閉じるよう制限してみた。
- そこまで要らないというケースでは、_acme-challenge.www.example.jp ゾーンに対する各種設定を example.jp ゾーンに適用すればよい。ただし詳細は取り扱わない。
- ここでは敢えて「example.jp」ゾーンから「_acme-challenge.www.example.jp」を自分自身(DNSコンテンツサーバー)へ委任するものとし、外部のDNSコンテンツサーバーへは向けないものとする。
- ここまでお膳立てが整えられていれば、例えば、サービスゾーンのDNSコンテンツサーバーへの更新権限は得られなくても、自分のDNSコンテンツサーバーに委任してもらって、更新できるようにするのは難しくないと思う。
想定サーバー・ドメイン
- DNSコンテンツサーバーは ns.example.jp とする。
- 実際には複数のDNSコンテンツサーバーで運用されていると思う。
- それらサーバーへの反映は ns.example.jp の notify yes; およびIXFR(Incremental Zone Transfer)により、全てのサーバーへ即時に遅滞なく通達されるものとする。
- それら運用上の詳細については既に設定されているものとして、ここでは取り扱わない。
- SSLサーバーは www.example.jp とする。
- 上記サーバー(DNSコンテンツサーバー・SSLサーバー)は同一でもかまわないし、別々でもかまわない。
DNSコンテンツサーバー側
DNSサーバーは ports/dns/bind911 をインストールする。
SSLサーバー側
DNSダイナミックアップデートクライアントは ports/dns/bind-tools をインストールする。
既にBIND(ports/dns/bind911)がインストールされている環境では不要。
- 古いFreeBSD(9.x等)の nsupdate コマンドはTSIGは取り扱えないため、やはりインストールする必要がある。
ACMEクライアントは ports/security/dehydrated をインストールしておく。
インストール
- いずれも ports/security/dehydrated、ports/dns/bind911 または ports/dns/bind-utils よりインストールする。
- オプションの選択によって手順が変わる点は無いため、ここでは明示しない。
DNSコンテンツサーバー側の設定
Let's EncryptでSSL証明書の新規取得と自動更新(http-01編)で実施した「ドメイン所有者確認トークンディレクトリの指定」の代わりの作業となる。
- よってディレクトリ作成作業は不要である。
named.conf の設定(一部)例(/usr/local/etc/namedb/named.conf)
include "/ダイナミック/アップデート/キー/フルパス名";
zone "example.jp" {
type master;
file "/example.jp/ゾーン/フルパス名";
};
zone "_acme-challenge.www.example.jp" {
type master;
file "/_acme-challenge.www.example.jp/ゾーン/フルパス名";
update-policy {
grant ダイナミックアップデートキー名 name _acme-challenge.www.example.jp. TXT;
};
};- 「DNSコンテンツサーバー」と「SSLサーバー」とで、TSIG(Transaction SIGnature)キーを共有する。
- TSIGキーはキー名と秘密鍵で構成された、named.conf の書式に準拠したテキストファイルである。
- このTSIGキーを「ダイナミックアップデートキーファイル名」で保存しておく(所有者は bind:wheel、パーミッションは 0400 で)。
- また、ダイナミックアップデートキーファイル名で定義されているキー名に対して、更新許可設定を与える(update-policy および grant)。
- また変更できるレコード名およびリソースレコードを限定する(name _acme-challenge.www.example.jp. TXT)。
- 残念なことに update-policy ではアクセス元制限ができないので、キーの取り扱いについては注意すること。
- なお allow-update は update-policy とは排他であるため、両方設定することはできない。
example.jp ゾーンファイルの設定例(/usr/local/etc/namedb/master/example.jp.db)
$TTL 300
@ IN SOA ns.example.jp. domain.example.jp. (
2017032201 ; serial
7200 ; refresh (2 hours)
900 ; retry (15 minutes)
2419200 ; expire (4 weeks)
86400 ; minimum (1 day)
)
IN NS ns
_acme-challenge.www IN NS ns- 本ファイルの設置場所、命名規則はそれぞれのポリシーに従う(本例では ゾーン名.db とした)。
- 少なくともFreeBSD的には、/usr/local/etc/namedb/master/ ディレクトリ以下に設置されるものとしている。
- さらに「example.jp.db」とするか「jp.example.db」とするかなどは、好きにすれば良い。
_acme-challenge.www.example.jp ゾーンファイルの設定例(/usr/local/etc/namedb/dynamic/_acme-challenge.www.example.jp.db)
$TTL 300
@ IN SOA ns.example.jp. domain.example.jp. (
2017032201 ; serial
7200 ; refresh (2 hours)
900 ; retry (15 minutes)
2419200 ; expire (4 weeks)
86400 ; minimum (1 day)
)
IN NS ns.example.jp.- 本ファイルの設置場所、命名規則はそれぞれのポリシーに従う(本例では ゾーン名.db とした)。
- 少なくともFreeBSD的には、/usr/local/etc/namedb/dynamic/ ディレクトリ以下に設置されるものとしている。
- さらに「_acme-challenge.www.example.jp.db」とするか「jp.example.www._acme-challenge.db」とするかなどは、好きにすれば良い。
ダイナミックアップデートキーファイルの設定例
key "キー名" {
algorithm hmac-sha256;
secret "シークレットキー(BASE64表現)";
};上記ファイルは以下のコマンドにより生成することができる。
tsig-keygen -a hmac-sha256 キー名 > /ダイナミック/アップデート/キーファイル名 chown bind:wheel /ダイナミック/アップデート/キーファイル名 chmod 0400 /ダイナミック/アップデート/キーファイル名
- もちろん secret の部分は毎回ランダムに発行される。
- このファイルは named.conf でも、(後で説明する)nsupdate コマンド(-k オプションで)でもそのまま解釈してくれる。
- 本ファイルの設置場所、命名規則については一概に言えることが無く、「ポリシーで」で逃げるには無責任すぎるので、例を出してみる。
本例における具体的設定例
- BIND側に設置する場合は、/usr/local/etc/namedb/ ディレクトリに設置することとする。
- dehydrated側に設置する場合は、/usr/local/etc/dehydrated/ ディレクトリに設置することとする。
- ファイル名についてだが、「キー名.key」とするのが違和感なくていいと思う。
肝心のキー名だが、BIND9.11のマニュアル(TSIG)によれば「ホスト名1-ホスト名2.」という例がある。
- 本気かどうかわからないが、「DNSコンテンツサーバー-ダイナミックアップデートするサーバー.」というニュアンスらしい。
- 本件の場合、ns.example.jp と www.example.jp であることから「ns-www.」とするのが妥当か(ほんと?)。
- まぁなんでもいいけど、わかりやすいようにね。
key "ns-www." {
algorithm hmac-sha256;
secret "PfzeGvXiOqtPOwQJY/iNFrvlD3/eKAHRZ0TbyK5GYII=";
};- /usr/local/etc/namedb/ns-www.key(owner:group=bind:wheel, mode=0400)
- /usr/local/etc/dehydrated/ns-www.key(owner:group=root:wheel, mode=0400)
SSLサーバー側の設定
ほとんどLet's EncryptでSSL証明書の新規取得と自動更新(http-01編)で実施した作業と同じになる。
- 明確に違う点は、先のページでは解説してない「HOOK」設定となる。
- ここでは一通り作業の意味がわかってる前提で、一通り設定を紹介する。
/etc/periodic.conf
weekly_dehydrated_enable="YES"
自動更新設定(YES=自動更新する)。 periodic(8)にある通り、毎週土曜日3時に実行される。
なお今回、weekly_dehydrated_deployscript は指定しない(後述の HOOK 設定参照のこと)。
/usr/local/etc/dehydrated/ns-www.key
これは先に tsig-keygen コマンドで作成されたファイルである。 DNSコンテンツサーバーと同一になるようコピーするなどして設定すること。 その際のオーナー・グループ・パーミッションは以下の通りである。
chown root:wheel /usr/local/etc/dehydrated/ns-www.key chmod 0400 /usr/local/etc/dehydrated/ns-www.key
/usr/local/etc/dehydrated/config
alias openssl="/usr/bin/openssl"
CHALLENGETYPE="dns-01"
HOOK="${BASEDIR}/hook.sh"
RENEW_DAYS="30"
KEY_ALGO="rsa" KEYSIZE="2048"
#KEY_ALGO="prime256v1"
CONTACT_EMAIL="メールアドレス"
#テスト発行したい場合、以下の2行を有効にすること。
#CA="https://acme-staging.api.letsencrypt.org/directory"
#CA_TERMS="https://acme-staging.api.letsencrypt.org/terms"- http-01 との時との大きな違いは CHALLENGETYPE と HOOK 設定にある。
- HOOK 設定(によって指定されるファイル)については後述する。
- CHALLENGETYPE には dns-01 を指定する。
- CHALLENGETYPE は現在 http-01 か dns-01 の2つしか選択肢は無い。
/usr/local/etc/dehydrated/domains.txt
www.example.jp
本ファイルの設定については コモンネームの設定に準拠するものとする(例)。
/usr/local/etc/dehydrated/hook.sh
TTL="300"
DNSSERVER="ns.example.jp"
alias nsupdate="/usr/local/bin/nsupdate -k ${BASEDIR}/ns-www.key"
function deploy_challenge {
local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}"
printf 'server %s\nupdate add _acme-challenge.%s. %d TXT "%s"\nsend\n' "${DNSSERVER}" "${DOMAIN}" "${TTL}" "${TOKEN_VALUE}" | nsupdate
}
function clean_challenge {
local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}"
printf 'server %s\nupdate delete _acme-challenge.%s. TXT\nsend\n' "${DNSSERVER}" "${DOMAIN}" | nsupdate
}
function deploy_cert {
/usr/sbin/service apache24 restart && /usr/local/bin/dehydrated -gc
}
function unchanged_cert {
# NOTHING TO DO #
}
function invalid_challenge() {
# NOTHING TO DO #
}
function request_failure() {
# NOTHING TO DO #
}
function exit_hook() {
# NOTHING TO DO #
}
HANDLER=$1; shift; $HANDLER $@HOOK ファイルのひな形として、/usr/local/etc/dehydrated/hook.sh.example を参照すること。
/usr/local/etc/dehydrated/deploy.sh
- 本ケースでは deploy.sh を取り扱わない(無くてもいい)。
- これは HOOK で指定するシェルスクリプトの deploy_cert シェル関数で代替できるからである。
- HOOK(/usr/local/etc/dehydrated/config)と weekly_dehydrated_deployscript(/etc/periodic.conf)の違いは以下の通りである。
- 証明書取得する単位毎に実行されるのが HOOK、全て取得終って実行されるのが weekly_dehydrated_deployscript。
- 証明書取得に成功した・失敗した(または更新なし)がわかるのが HOOK、わからないのが weekly_dehydrated_deployscript。
- よって、1枚の証明書を相手にする時はそう違いは無いが、複数枚を取得して分散デプロイしたいなら HOOK しかない。
- ファインチューニング(更新ない時は何もしないなど)したいなら HOOK 一択。
- 逆に HOOK はデプロイだけしたいユースケースにおいて若干ながら大味(ダミーの関数を置く必要がある)である。
- この HOOK はバージョンによって拡張されることがあるので、場合によっては(エラーで止まるなど)追随しなければならないこともありうる。