* Re: [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates? @ 2018-05-17 21:21 ` Mikhail Efremov 2018-05-18 8:35 ` Ivan Zakharyaschev 0 siblings, 1 reply; 2+ messages in thread From: Mikhail Efremov @ 2018-05-17 21:21 UTC (permalink / raw) To: ALT Linux Team development discussions On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote: > Haskell stack, собранный по умолчанию, не может без особых ухищрений > добраться до своих репозитариев, так как ожидает, что системные > сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут: > > https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34 > > В частности, именно так лежат сертификаты в Ubuntu. В Debian когда-то так решили. У нас когда-то решили иначе. Как было раньше в Федоре я не помню, но там запросто мог быть какой-то третий вариант. > В принципе, вопрос решается путем установки системной переменной > SYSTEM_CERTIFICATE_PATH либо приложением небольшого патча к этому > файлу. Однако интересно, чем обусловлен выбор нынешнего положения > каталога с сертификатами? Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. Можно почитать обсуждение здесь в конце декабря - начале января. В принципе, для совместимости с какой-нибудь проприетарщиной под Debian/Ubuntu вполне можно добавить в пакет ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка запакована в пакет steam. Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая, что в Debian тоже давно уже думают о переходе на использование p11-kit, AFAIR. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates? 2018-05-17 21:21 ` [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates? Mikhail Efremov @ 2018-05-18 8:35 ` Ivan Zakharyaschev 0 siblings, 0 replies; 2+ messages in thread From: Ivan Zakharyaschev @ 2018-05-18 8:35 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 1265 bytes --] On Fri, 18 May 2018, Mikhail Efremov wrote: > On Thu, 17 May 2018 09:16:57 +0300 Eugine Kosenko wrote: > > Haskell stack, собранный по умолчанию, не может без особых ухищрений > > добраться до своих репозитариев, так как ожидает, что системные > > сертификаты лежат в каталоге /etc/ssl/certs. Это прописано тут: > > > > https://github.com/vincenthz/hs-certificate/blob/master/x509-system/System/X509/Unix.hs#L29-L34 > > > > В частности, именно так лежат сертификаты в Ubuntu. > Сейчас в Сизифе используется p11-kit, как и в Федоре, т.е. есть еще > ссылка на сертификаты /etc/pki/tls/certs/ca-bundle.crt, ну и сам > автогенерируемый файл /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. > В принципе, для совместимости с какой-нибудь проприетарщиной под > Debian/Ubuntu вполне можно добавить в пакет > ссылку /etc/ssl/certs/ca-certificates.crt, но сейчас такая ссылка > запакована в пакет steam. По-моему, неплохое решение на переходный период. Раз у этого уже ожидается два клиента. > Пакеты же собираемые в Сизиф лучше патчить, думаю. Особенно учитывая, > что в Debian тоже давно уже думают о переходе на использование p11-kit, > AFAIR. Тоже неплохая идея: сделать тот исходник более переносимым и предложить патч им в upstream. -- Best regards, Ivan ^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2018-05-18 8:35 UTC | newest] Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2018-05-17 21:21 ` [devel] Почему системные сертификаты хранятся в /usr/share/ca-certificates? Mikhail Efremov 2018-05-18 8:35 ` Ivan Zakharyaschev
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git