From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vkarpinsky@mail.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no
 version=3.4.1
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru;
 s=mail2; 
 h=Content-Transfer-Encoding:Content-Type:In-Reply-To:MIME-Version:Date:Message-ID:From:References:To:Subject;
 bh=y09gbVRN8l6jOlvN/YL+8CNqvDdLFEHT71jy7KwK2PQ=; 
 b=VzDq1emhfhDr2hnZTM0YmVatIdkDr9+kb1r52BIcRzjDJwkfzmKORtW2JFZPRSgcw1MefVjxp1F9MUrhLk3bE0xH9AjjZAMgvUjbzmQSOcdIDDi2wUMOV/xXqPewrVzBL+4xecHmOi6jNeI9X8pXiNNNHdJ2SxD3Lfu+bWL+Gh0=;
To: sysadmins@lists.altlinux.org
References: <cd38b62e-f133-1bfc-2fbb-f2ab808f59ca@mail.ru>
 <201909121917.01416.a_s_y@sama.ru>
From: Vladimir Karpinsky <vkarpinsky@mail.ru>
Message-ID: <6214ba96-9f19-887c-6691-0ad10d4d5d09@mail.ru>
Date: Thu, 12 Sep 2019 20:41:38 +0300
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101
 Thunderbird/60.9.0
MIME-Version: 1.0
In-Reply-To: <201909121917.01416.a_s_y@sama.ru>
Content-Type: text/plain; charset=koi8-r; format=flowed
Content-Language: ru-English
Content-Transfer-Encoding: 8bit
Authentication-Results: smtp59.i.mail.ru;
 auth=pass smtp.auth=vkarpinsky@mail.ru
 smtp.mailfrom=vkarpinsky@mail.ru
X-77F55803: BBE463BEF7A60BD05A78504BD2AC29416CF5118BFC13243E6141D879F63A147538B8F753CA7782C59B05E91EA418C2EB
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
X-Mailru-Sender: 47CC51BD8988F12311C17B824601663DE24F1E0019ABC80885AB2BEC8939E4D2FDF93A8370D74BA0189086648D43AF80C77752E0C033A69E9629CB05D30F4213116F0678BC710751AE208404248635DF
X-Mras: OK
Subject: Re: [Sysadmins] p9: alterator-ca
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 12 Sep 2019 17:41:42 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/6214ba96-9f19-887c-6691-0ad10d4d5d09@mail.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Да, уже на форуме подсказали.

Добавил функцию ssl_fatal в cert-sh-functions.

После этого получил:
ca-sko: CA not initialized

Изучаю ca-sko:

1. Подгружаются 2 файла с функциями:
cert-sh-functions
ca-sh-functions

2. Там, где вылезает этот фатал:
case "$cmd" in
...
         *)
                 ca_check_CAdir >/dev/null 2>&1 &&
                         ca_check_CAkey >/dev/null 2>&1 &&
                         ca_check_CA >/dev/null 2>&1 ||
                         ssl_fatal "CA not initialized"

Первые 2 функции-проверки проходят успешно, проблема в 3-й:
ca_check_CA()
{
         [ -f "$CA_SKO_CADIR/cacert.pem" ] || return 1

         subject="$(ca_get_cert_attr "$CA_SKO_CADIR/cacert.pem" subject)"
         ca_subject="$(ca_get_subject)"

         [ "$subject" = "$ca_subject" ]
}

А в subject'ах проблема:
subject C = RU, O = XXXX, OU = XXXX Certification Authority, CN = XXX
Root Certification Authority
ca_subject /C=RU/O=XXXX/OU=XXXX Certification Authority/CN=XXXX Root 
Certification Authority

Потому, что в ca_get_subject() вывод:

printf "/C=%s/O=%s/OU=%s Certification Authority/CN=%s Root Certification 
Authority" "$C" "$O" "$O" "$O"

т.е. получаем строку:

/C=RU/O=XX/OU=XX Certification Authority/CN=XX Root Certification Authority

а в ca_get_cert_attr:

"$OPENSSL" x509 -in "$file" -noout "-$param" "$@" 2>/dev/null | cut -d= -f 
2- | sed 's,\(^[[:blank:]]\+\|[[:blank:]]\+$\),,g'

И на выходе:

C = RU, O = XX, OU = XX Certification Authority, CN = XX Root Certification 
Authority

Понятно, что эти строки не совпадают.

Если привести их к единому знаменателю, то ошибки нет.

Самое забавное, что сравнение с прошлогодней резервной копией не выявляет 
каких-то различий в упомянутых файлах, но ошибка раньше не вылезала.

Ну и вопрос в плане борьбы с безграмотностью: "А зачем надо ежедневно 
обновлять ca-root.pem?"

12.09.2019 18:17, Sergey пишет:
> On Wednesday 11 September 2019, Vladimir Karpinsky wrote:
> 
>> После обновления от cron'а стали приходить письма следующего содержания:
>> /usr/sbin/ca-sko: line 205: ssl_fatal: command not found
> 
> https://bugzilla.altlinux.org/37212
> 

-- 
     VK.