[Eisfair] Rehashen von Zertifikaten

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Aug 18 20:02:33 CEST 2017


Hallo,

Marcus Roeckrath wrote:

das unten beshriebene Lösung ist erst mit dem neuen certs-Paket 1.5.0
möglich, da dieses ein überarbeitetes /var/install/bin/certs-update-hashes
mitbringt.

Wer in Skripten Zertifikat rehashen muss, verwende dazu folgenden Code:

/usr/bin/ssl/c_rehash /usr/local/ssl/certs >/dev/null 2>&1
/var/install/config.d/certs.sh --copycrlhashes >/dev/null 2>&1

Bei Verwendung von certs < 1.5.0 sind ebenfalls diese beiden
Kommandozeilen-Befehle - dann besser ohne >/dev/null 2>&1 - zum Rehashen
der Zertifikate notwendig.

> falls jemand mal manuell die Zertifikatshashes in /var/certs/ssl/certs
> erneuern möchte, sollte nicht mehr
> 
> /usr/bin/ssl/c_rehash /var/certs/ssl/certs
> 
> benutzen, da dieses Skript vor der Neuerzeugung der Hashes alle in diesem
> Verzeichnis vorhanden Hashes - auch die CRL-Hashes - löscht.
> 
> c_rehash ist kein eisfair-Skript, sondern Teil von openssl, so dass eine
> eigenständige Änderung des Verhaltens für uns keinen Sinn macht.
> 
> Die Lösung des Problems ist aber simpel:
> 
> Verwendet
> 
> /var/install/bin/certs-update-hashes
> 
> und wählt dann die Option 1 zum Rehashen der Zertifikate.
> 
> Dieses bemüht zwar auch c_rehash, kopiert aber anschliessend auch die
> CRL-Hashes in das Zertifikate-Verzeichnis ab Version 1.5.0 des
> Certs-Paketes.
> 

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair