[Eisfair] [eisfair1] certs diverse Probleme/Fragen

Marcus Roeckrath marcus.roeckrath at gmx.de
So Mai 11 09:13:53 CEST 2014


Hallo Stefan,

Stefan Welte wrote:

> vom Mailpaket erhalte ich seit geraumer Zeit Meldung, daß einige
> Zertifikate abgelaufen sind. U.a. ist es das Zertifikat "48ef30f1.pem":
>> la /var/certs/ssl/certs/48ef30f1.pem -rw-r--r-- 1 root root 3525 22. Apr
>> 2011 /var/certs/ssl/certs/48ef30f1.pem

Lösche es einfach und dann rehashen, dann verschwinden auch die Hashlinks
auf das Zertifikat.

> Nach einem "Download ca certificate bundle"-Aufruf ist nicht aktualisiert.

Der Punkt löscht keine Zertifikate (außer die von einem vorhergehenden
Aufruf dieses Punktes installierten Zertifikate, bevor die nun aktuellen
Zertifikate ins certs-Verzeichnis kopiert werden.

Die mit exakt 8 (Hex)-Zeichen abgelegten Zertifkate stammen aus dem alten
Bundle; für viele davon sind sie auch (mit aussagekräftigen) Namen im
Mozilla-Bundle enthalten.

Im Wiki habe ich einen Artikel hinterlegt, um die ganzen Dubletten
loszuwerden.

> Somit würde ich es gerne entfernen, aber finde keinen Menüpunkt dazu.
> Falls es keinen gibt, schlage ich vor einen zu kreieren, wenn man sich in
> "Show certificate details" bewegt, mit F8-Taste.

Ich weiss nicht, ob das an der Stelle so einfach geht, da sich die Liste der
Zertifikate, die vor dem Anzeigen der Auswahlliste erzeugt wird, ändert.

Aber dazu kann Jürgen genaueres sagen.

> Nachdem in Beiträgen manche Leute "rehashen", habe ich die Doku abgesucht
> und in Abschnitt 2.6 folgendes gefunden:

Das ist unbedingt notwendig, damit ein Zertifikat?genutzt werden kann.

>> Fuer alle Zertifikate muss ein Hash-Schluessel durch Aufruf von
>> '/usr/bin/ssl/c_rehash /usr/local/ssl/certs' angelegt werden.
> Gibt es einen speziellen Grund, wieso das von Hand gemacht werden muss und
> nicht easy per Menü?

IMHO keine schlechte Idee. Jürgen, was sagst Du?

> Unter "Manage certificates" würde ich gerne das mini_httpd-Zertifikat
> erneuern, aber das scheitert:
>> Please select (1-2,6), (q)uit: 2
>>
>> Do you want to create a (n)ew certificate or select an (e)xisting one
>> (n/e)? e /var/install/bin/certs-create-tls-certs: eval: Zeile 528:
>> Syntaxfehler beim unerwarteten Wort `('
>> /var/install/bin/certs-create-tls-certs: eval: Zeile 528:
>> `cert_name_215=NetLock_Arany_(Class_Gold)_Fotanusitvany' Press ENTER to
>> continue

Das ist ein Bug; kann ich hier exakt nachvollziehen.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair