[Eisfair] certs: Probleme mit parallel ausgefc3bchrten at-Jobs
Marcus Roeckrath
marcus.roeckrath at gmx.de
Fr Okt 6 22:12:14 CEST 2017
Hallo Jürgen,
Juergen Edner wrote:
> Es wird üblicherweise nach der Uhrzeit der Ausführung geschaut, die
> in der Datei certs-update-crl-joblist abgespeichert werden. Fällt
> der in einer CRL enthaltene Zeitstempel mit einem bereits existierenden
> Zeitstempel überein, so wird die Zeit in 3min-Schritten erhöht um
> einen gleichzeitigen Abruf zu vermeiden.
So wie das hier vermutlich:
509 Tue Oct 10 06:19:00 2017 a root
510 Tue Oct 10 06:22:00 2017 a root
511 Tue Oct 10 06:25:00 2017 a root
517 Tue Oct 10 06:28:00 2017 a root
525 Tue Oct 10 06:31:00 2017 a root
Wird nach Erhöhung um 3 Minuten nochmal geprüft, ob es eine Kollision gibt -
ich vermute ja, sonst würde obiges ja schon nicht zustandekommen.
Mal schauen, was aus den obigen fünf Jobs am 10.10. wird.
>> Die fünf um 07:16 des 9.10. zur Ausführung anstehenden Jobs betreffen
>> folgende CRLs:
>>
>> http://crl.comodoca.com/SecureCertificateServices.crl
> -> nextUpdate=Oct 10 04:13:31 2017 GMT
>
>> http://crl.comodoca.com/AAACertificateServices.crl
> -> nextUpdate=Oct 10 04:13:31 2017 GMT
>
>> http://crl.netsolssl.com/NetworkSolutionsCertificateAuthority.crl
> -> nextUpdate=Oct 10 04:13:31 2017 GMT
>
>> http://crl.usertrust.com/UTN-USERFirst-Hardware.crl
> -> nextUpdate=Oct 10 04:13:31 2017 GMT
>
>> http://crl.comodoca.com/TrustedCertificateServices.crl
> -> nextUpdate=Oct 10 04:13:31 2017 GMT
>
> Mann, da hat sich aber in der Tat jemand Mühe gegeben exakt den
> gleichen Zeitstempel für alle CRL zu verwenden.
>
>> Damit es zur gleichzeitigen Aktualisierung kommt, müssen die also auch
>> das gleiche Ablaufdatum haben.
>
> Dies ist in der Tat korrekt, aber wie ich bereits schrieb wird dies
> beim Anlegen der at-Jobs geprüft und korrigiert. D.h. wenn ich die
> oben aufgeführten CRL in die Datei certs-update-crl-list eintrage
> und dann "certs-update-crl --createjobs" aufrufe werden at-Jobs
> zu folgenden Zeiten angelegt:
>
> 3|2017-10-10 06:16|2017-10-06
> 06:13|http://crl.comodoca.com/SecureCertificateServices.crl
> 4|2017-10-10 06:19|2017-10-06
> 06:13|http://crl.comodoca.com/AAACertificateServices.crl
> 5|2017-10-10 06:22|2017-10-06
> 06:13|http://crl.netsolssl.com/NetworkSolutionsCertificateAuthority.crl
> 6|2017-10-10 06:25|2017-10-06
> 06:13|http://crl.usertrust.com/UTN-USERFirst-Hardware.crl
> 7|2017-10-10 06:28|2017-10-06
> 06:13|http://crl.comodoca.com/TrustedCertificateServices.crl
Nach der Bereinigung bei mir zwischen 06:16 und 06:31, waren nämlich sechs
und nicht fünf:
505|2017-10-10 06:16|2017-10-06 06:13
http://crl.comodoca.com/COMODOCertificationAuthority.crl
509|2017-10-10 06:19|2017-10-06 06:13
http://crl.comodoca.com/AAACertificateServices.crl
510|2017-10-10 06:22|2017-10-06 06:13
http://crl.comodoca.com/SecureCertificateServices.crl
511|2017-10-10 06:25|2017-10-06 06:13
http://crl.comodoca.com/TrustedCertificateServices.crl
517|2017-10-10 06:28|2017-10-06 06:13
http://crl.netsolssl.com/NetworkSolutionsCertificateAuthority.crl
525|2017-10-10 06:31|2017-10-06 06:13
http://crl.usertrust.com/UTN-USERFirst-Hardware.crl
>> Ich habe keine doppelten Einträge, sondern gleichzeitige
>> CRL-Aktualisierungen verschiedenen CRLs, die aufgrund des nicht für
>> parallelen Ausführung ausgelegten Skriptes zu dieser Merkwürdigkeit
>> führen.
>
> Ich versuche es einmal anders zu erklären. Du brauchst einen PKW
> nicht mit Stoßstangen ausstatten, wenn Du sicher stellst dass die
> PKW im Abstand von 3min auf der gleichen Straße fahren.
Ich verstehe "doppelt" hier etwas anders. :-) Nämlich dopplete Jobs für ein-
und dieselbe URL.
Aber ich sehe schon, wir meinen das gleiche.
Am 10.10. sehen wir weiter, ob die 5 Jobs dann weiterhin im 3 Minuten-Raster
existieren.
> Läuft Dein Server zu Hause eigentlich durch oder startest Du ihn nur
> bei Bedarf?
Nur bei schwerem Gewitter oder Urlaub ist der aus, sonst 24/7.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair