[Eisfair] Probleme mit apache und den Zertifikaten
Marcus Roeckrath
marcus.roeckrath at gmx.de
Do Sep 21 14:59:13 CEST 2017
Hallo Stefan,
Stefan Puschek wrote:
> ich hatte vorher 7964 Anfragen nach crl.pem innerhalb von exakt 10
> Stunden (gezählte Zeilen im log); das finde ich schon auffällig, vor
> allem da mein Indianer gar kein https nutzt...
Hat damit auch nichts zu tun.
>>> laut certs-update-crl.log
>>> ...
>>> Sep 20 20:37:00 barbrady certs-update-crl[20071]:
>>> /var/install/bin/certs-update-
>>> crl --quiet --single http://barbrady.southpark.lan/certs/crl.pem
>>> Sep 20 20:37:00 barbrady certs-update-crl[20071]: - downloading
>>> 'http://barbrady
>>> .southpark.lan/certs/crl.pem' ...
>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - file
>>> 'http://barbrady.southp
>>> ark.lan/certs/crl.pem' download failed!
>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - CRL file 'crl.pem'
>>> doesn't e
>>> xist, force download!
>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - job '161542'
>>> (2017-09-19 20:
>>> 40->2017-09-20 20:40) created.
>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: url:
>>> http://barbrady.southpa
>>> rk.lan/certs/crl.pem
>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: finished.
>>> ...
Das sind die at-Jobs zur Aktualisierung der CRL.
Der für Deine lokale CA zuständige ruft das crl per http, also vom Apachen
ab.
Ich hatte bei Jürgen schonmal angeregt, ob man nicht den Download des
lokalen CRL ausfiltert, waren aber der Meinung, dass der Aufwand das nicht
rechtfertigt und es auch normalerweise nicht weh tut.
Mach mal bitte:
cd /var/certs/ssl
grep barbrady certs-update-crl-joblist
grep barbrady certs-update-crl-list
> Was mich so irritiert: das ganze Zertifikats-"gedöns" brauche ich doch
> eigentlich nur für das Mail-Paket. Warum wird der Indianer nach der CRL
> gefragt? Was wäre, wenn ich gar keinen Indianer am laufen hätte?
Du hast eine CA und dazu gehört nun mal eine CRL.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair