* [Sysadmins] p9: alterator-ca
@ 2019-09-11 6:56 Vladimir Karpinsky
2019-09-12 15:17 ` Sergey
0 siblings, 1 reply; 3+ messages in thread
From: Vladimir Karpinsky @ 2019-09-11 6:56 UTC (permalink / raw)
To: sysadmins
Добрый день!
После обновления от cron'а стали приходить письма следующего содержания:
/usr/sbin/ca-sko: line 205: ssl_fatal: command not found
Письма отправляет alterator-ca из /etc/cron.d:
-rw------- 1 root root 124 мар 26 2007 alterator-ca
#autogenerated by
SHELL=/bin/sh
PATH=/sbin:/usr/sbin:/bin:/usr/bin
CA_VERBOSE=1
00 2 * * * root ca-sko update
--
VK.
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Sysadmins] p9: alterator-ca
2019-09-11 6:56 [Sysadmins] p9: alterator-ca Vladimir Karpinsky
@ 2019-09-12 15:17 ` Sergey
2019-09-12 17:41 ` Vladimir Karpinsky
0 siblings, 1 reply; 3+ messages in thread
From: Sergey @ 2019-09-12 15:17 UTC (permalink / raw)
To: sysadmins
On Wednesday 11 September 2019, Vladimir Karpinsky wrote:
> После обновления от cron'а стали приходить письма следующего содержания:
> /usr/sbin/ca-sko: line 205: ssl_fatal: command not found
https://bugzilla.altlinux.org/37212
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Sysadmins] p9: alterator-ca
2019-09-12 15:17 ` Sergey
@ 2019-09-12 17:41 ` Vladimir Karpinsky
0 siblings, 0 replies; 3+ messages in thread
From: Vladimir Karpinsky @ 2019-09-12 17:41 UTC (permalink / raw)
To: sysadmins
Да, уже на форуме подсказали.
Добавил функцию ssl_fatal в cert-sh-functions.
После этого получил:
ca-sko: CA not initialized
Изучаю ca-sko:
1. Подгружаются 2 файла с функциями:
cert-sh-functions
ca-sh-functions
2. Там, где вылезает этот фатал:
case "$cmd" in
...
*)
ca_check_CAdir >/dev/null 2>&1 &&
ca_check_CAkey >/dev/null 2>&1 &&
ca_check_CA >/dev/null 2>&1 ||
ssl_fatal "CA not initialized"
Первые 2 функции-проверки проходят успешно, проблема в 3-й:
ca_check_CA()
{
[ -f "$CA_SKO_CADIR/cacert.pem" ] || return 1
subject="$(ca_get_cert_attr "$CA_SKO_CADIR/cacert.pem" subject)"
ca_subject="$(ca_get_subject)"
[ "$subject" = "$ca_subject" ]
}
А в subject'ах проблема:
subject C = RU, O = XXXX, OU = XXXX Certification Authority, CN = XXX
Root Certification Authority
ca_subject /C=RU/O=XXXX/OU=XXXX Certification Authority/CN=XXXX Root
Certification Authority
Потому, что в ca_get_subject() вывод:
printf "/C=%s/O=%s/OU=%s Certification Authority/CN=%s Root Certification
Authority" "$C" "$O" "$O" "$O"
т.е. получаем строку:
/C=RU/O=XX/OU=XX Certification Authority/CN=XX Root Certification Authority
а в ca_get_cert_attr:
"$OPENSSL" x509 -in "$file" -noout "-$param" "$@" 2>/dev/null | cut -d= -f
2- | sed 's,\(^[[:blank:]]\+\|[[:blank:]]\+$\),,g'
И на выходе:
C = RU, O = XX, OU = XX Certification Authority, CN = XX Root Certification
Authority
Понятно, что эти строки не совпадают.
Если привести их к единому знаменателю, то ошибки нет.
Самое забавное, что сравнение с прошлогодней резервной копией не выявляет
каких-то различий в упомянутых файлах, но ошибка раньше не вылезала.
Ну и вопрос в плане борьбы с безграмотностью: "А зачем надо ежедневно
обновлять ca-root.pem?"
12.09.2019 18:17, Sergey пишет:
> On Wednesday 11 September 2019, Vladimir Karpinsky wrote:
>
>> После обновления от cron'а стали приходить письма следующего содержания:
>> /usr/sbin/ca-sko: line 205: ssl_fatal: command not found
>
> https://bugzilla.altlinux.org/37212
>
--
VK.
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2019-09-12 17:41 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2019-09-11 6:56 [Sysadmins] p9: alterator-ca Vladimir Karpinsky
2019-09-12 15:17 ` Sergey
2019-09-12 17:41 ` Vladimir Karpinsky
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git