From: Vladimir Karpinsky <vkarpinsky@mail.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] p9: alterator-ca
Date: Thu, 12 Sep 2019 20:41:38 +0300
Message-ID: <6214ba96-9f19-887c-6691-0ad10d4d5d09@mail.ru> (raw)
In-Reply-To: <201909121917.01416.a_s_y@sama.ru>
Да, уже на форуме подсказали.
Добавил функцию ssl_fatal в cert-sh-functions.
После этого получил:
ca-sko: CA not initialized
Изучаю ca-sko:
1. Подгружаются 2 файла с функциями:
cert-sh-functions
ca-sh-functions
2. Там, где вылезает этот фатал:
case "$cmd" in
...
*)
ca_check_CAdir >/dev/null 2>&1 &&
ca_check_CAkey >/dev/null 2>&1 &&
ca_check_CA >/dev/null 2>&1 ||
ssl_fatal "CA not initialized"
Первые 2 функции-проверки проходят успешно, проблема в 3-й:
ca_check_CA()
{
[ -f "$CA_SKO_CADIR/cacert.pem" ] || return 1
subject="$(ca_get_cert_attr "$CA_SKO_CADIR/cacert.pem" subject)"
ca_subject="$(ca_get_subject)"
[ "$subject" = "$ca_subject" ]
}
А в subject'ах проблема:
subject C = RU, O = XXXX, OU = XXXX Certification Authority, CN = XXX
Root Certification Authority
ca_subject /C=RU/O=XXXX/OU=XXXX Certification Authority/CN=XXXX Root
Certification Authority
Потому, что в ca_get_subject() вывод:
printf "/C=%s/O=%s/OU=%s Certification Authority/CN=%s Root Certification
Authority" "$C" "$O" "$O" "$O"
т.е. получаем строку:
/C=RU/O=XX/OU=XX Certification Authority/CN=XX Root Certification Authority
а в ca_get_cert_attr:
"$OPENSSL" x509 -in "$file" -noout "-$param" "$@" 2>/dev/null | cut -d= -f
2- | sed 's,\(^[[:blank:]]\+\|[[:blank:]]\+$\),,g'
И на выходе:
C = RU, O = XX, OU = XX Certification Authority, CN = XX Root Certification
Authority
Понятно, что эти строки не совпадают.
Если привести их к единому знаменателю, то ошибки нет.
Самое забавное, что сравнение с прошлогодней резервной копией не выявляет
каких-то различий в упомянутых файлах, но ошибка раньше не вылезала.
Ну и вопрос в плане борьбы с безграмотностью: "А зачем надо ежедневно
обновлять ca-root.pem?"
12.09.2019 18:17, Sergey пишет:
> On Wednesday 11 September 2019, Vladimir Karpinsky wrote:
>
>> После обновления от cron'а стали приходить письма следующего содержания:
>> /usr/sbin/ca-sko: line 205: ssl_fatal: command not found
>
> https://bugzilla.altlinux.org/37212
>
--
VK.
prev parent reply other threads:[~2019-09-12 17:41 UTC|newest]
Thread overview: 3+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-09-11 6:56 Vladimir Karpinsky
2019-09-12 15:17 ` Sergey
2019-09-12 17:41 ` Vladimir Karpinsky [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=6214ba96-9f19-887c-6691-0ad10d4d5d09@mail.ru \
--to=vkarpinsky@mail.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git