[Eisfair] Probleme mit apache und den Zertifikaten

Stefan Puschek stefan.puschek at t-online.de
Do Sep 21 15:40:49 CEST 2017 

Hallo Marcus,
>> ich hatte vorher 7964 Anfragen nach crl.pem innerhalb von exakt 10
>> Stunden (gezählte Zeilen im log); das finde ich schon auffällig, vor
>> allem da mein Indianer gar kein https nutzt...
> 
> Hat damit auch nichts zu tun.
> 
>>>> laut certs-update-crl.log
>>>> ...
>>>> Sep 20 20:37:00 barbrady certs-update-crl[20071]:
>>>> /var/install/bin/certs-update-
>>>> crl --quiet --single http://barbrady.southpark.lan/certs/crl.pem
>>>> Sep 20 20:37:00 barbrady certs-update-crl[20071]: - downloading
>>>> 'http://barbrady
>>>> .southpark.lan/certs/crl.pem' ...
>>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - file
>>>> 'http://barbrady.southp
>>>> ark.lan/certs/crl.pem' download failed!
>>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - CRL file 'crl.pem'
>>>> doesn't e
>>>> xist, force download!
>>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - job '161542'
>>>> (2017-09-19 20:
>>>> 40->2017-09-20 20:40) created.
>>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]:   url:
>>>> http://barbrady.southpa
>>>> rk.lan/certs/crl.pem
>>>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: finished.
>>>> ...
> 
> Das sind die at-Jobs zur Aktualisierung der CRL.
> 
> Der für Deine lokale CA zuständige ruft das crl per http, also vom Apachen
> ab.

und wenn ich gar keinen apachen am laufen hätte?

> Ich hatte bei Jürgen schonmal angeregt, ob man nicht den Download des
> lokalen CRL ausfiltert, waren aber der Meinung, dass der Aufwand das nicht
> rechtfertigt und es auch normalerweise nicht weh tut.
> 
> Mach mal bitte:
> 
> cd /var/certs/ssl
> grep barbrady certs-update-crl-joblist
> grep barbrady certs-update-crl-list

barbrady # cd /var/certs/ssl
barbrady # grep barbrady certs-update-crl-joblist
161513|2017-09-20 20:10|2017-08-10 
17:01|http://barbrady.southpark.lan/certs/crl.pem
161521|2017-09-20 20:13||http://barbrady.southpark.lan/certs/crl.pem
161523|2017-09-20 20:16||http://barbrady.southpark.lan/certs/crl.pem
161524|2017-09-20 20:17|2017-08-10 
17:01|http://barbrady.southpark.lan/certs/crl.pem
161528|2017-09-20 20:19||http://barbrady.southpark.lan/certs/crl.pem
161529|2017-09-20 20:20||http://barbrady.southpark.lan/certs/crl.pem
161530|2017-09-20 20:22||http://barbrady.southpark.lan/certs/crl.pem
161531|2017-09-20 20:23||http://barbrady.southpark.lan/certs/crl.pem
161532|2017-09-20 20:25||http://barbrady.southpark.lan/certs/crl.pem
161533|2017-09-20 20:26||http://barbrady.southpark.lan/certs/crl.pem
161534|2017-09-20 20:28||http://barbrady.southpark.lan/certs/crl.pem
161535|2017-09-20 20:29||http://barbrady.southpark.lan/certs/crl.pem
161536|2017-09-20 20:31||http://barbrady.southpark.lan/certs/crl.pem
161537|2017-09-20 20:32||http://barbrady.southpark.lan/certs/crl.pem
161538|2017-09-20 20:34||http://barbrady.southpark.lan/certs/crl.pem
161539|2017-09-20 20:35||http://barbrady.southpark.lan/certs/crl.pem
161540|2017-09-20 20:37||http://barbrady.southpark.lan/certs/crl.pem
161541|2017-09-20 20:38||http://barbrady.southpark.lan/certs/crl.pem
161542|2017-09-20 20:40||http://barbrady.southpark.lan/certs/crl.pem
161543|2017-09-20 20:41||http://barbrady.southpark.lan/certs/crl.pem
161544|2017-09-20 20:43||http://barbrady.southpark.lan/certs/crl.pem
161545|2017-09-20 20:44||http://barbrady.southpark.lan/certs/crl.pem
161546|2017-09-20 20:46||http://barbrady.southpark.lan/certs/crl.pem
161547|2017-09-20 20:47||http://barbrady.southpark.lan/certs/crl.pem
161548|2017-09-21 12:23||http://barbrady.southpark.lan/certs/crl.pem
161549|2017-09-21 12:23||http://barbrady.southpark.lan/certs/crl.pem
161550|2017-09-21 12:26||http://barbrady.southpark.lan/certs/crl.pem
161551|2017-09-21 12:29||http://barbrady.southpark.lan/certs/crl.pem
161552|2017-09-21 12:32||http://barbrady.southpark.lan/certs/crl.pem
161553|2017-09-21 12:35||http://barbrady.southpark.lan/certs/crl.pem
161554|2017-09-21 12:38||http://barbrady.southpark.lan/certs/crl.pem
161555|2017-09-21 12:41||http://barbrady.southpark.lan/certs/crl.pem
161556|2017-09-21 12:44||http://barbrady.southpark.lan/certs/crl.pem
161557|2017-09-21 12:47||http://barbrady.southpark.lan/certs/crl.pem
161558|2017-09-21 12:50||http://barbrady.southpark.lan/certs/crl.pem
161559|2017-09-21 12:53||http://barbrady.southpark.lan/certs/crl.pem
161560|2017-09-21 12:56||http://barbrady.southpark.lan/certs/crl.pem
161561|2017-09-21 12:59||http://barbrady.southpark.lan/certs/crl.pem
161562|2017-09-21 13:02||http://barbrady.southpark.lan/certs/crl.pem
161563|2017-09-21 13:05||http://barbrady.southpark.lan/certs/crl.pem
161564|2017-09-21 13:08||http://barbrady.southpark.lan/certs/crl.pem
161565|2017-09-21 13:11||http://barbrady.southpark.lan/certs/crl.pem
161566|2017-09-21 13:14||http://barbrady.southpark.lan/certs/crl.pem
161567|2017-09-21 13:17||http://barbrady.southpark.lan/certs/crl.pem
161568|2017-09-21 13:20||http://barbrady.southpark.lan/certs/crl.pem
161569|2017-09-21 13:23||http://barbrady.southpark.lan/certs/crl.pem
161570|2017-09-21 13:26||http://barbrady.southpark.lan/certs/crl.pem
161571|2017-09-21 13:29||http://barbrady.southpark.lan/certs/crl.pem
161572|2017-09-21 13:32||http://barbrady.southpark.lan/certs/crl.pem
161573|2017-09-21 13:35||http://barbrady.southpark.lan/certs/crl.pem
161574|2017-09-21 13:38||http://barbrady.southpark.lan/certs/crl.pem
161575|2017-09-21 13:41||http://barbrady.southpark.lan/certs/crl.pem
161576|2017-09-21 13:44||http://barbrady.southpark.lan/certs/crl.pem
161577|2017-09-21 13:47||http://barbrady.southpark.lan/certs/crl.pem
161578|2017-09-21 13:50||http://barbrady.southpark.lan/certs/crl.pem
161579|2017-09-21 13:53||http://barbrady.southpark.lan/certs/crl.pem
161580|2017-09-21 13:56||http://barbrady.southpark.lan/certs/crl.pem
161581|2017-09-21 13:59||http://barbrady.southpark.lan/certs/crl.pem
161582|2017-09-21 14:02||http://barbrady.southpark.lan/certs/crl.pem
161583|2017-09-21 14:05||http://barbrady.southpark.lan/certs/crl.pem
161584|2017-09-21 14:08||http://barbrady.southpark.lan/certs/crl.pem
161585|2017-09-21 14:11||http://barbrady.southpark.lan/certs/crl.pem
161586|2017-09-21 14:14||http://barbrady.southpark.lan/certs/crl.pem
161587|2017-09-21 14:17||http://barbrady.southpark.lan/certs/crl.pem
161588|2017-09-21 14:20||http://barbrady.southpark.lan/certs/crl.pem
161589|2017-09-21 14:23||http://barbrady.southpark.lan/certs/crl.pem
161590|2017-09-21 14:26||http://barbrady.southpark.lan/certs/crl.pem
161591|2017-09-21 14:29||http://barbrady.southpark.lan/certs/crl.pem
161592|2017-09-21 14:32||http://barbrady.southpark.lan/certs/crl.pem
161593|2017-09-21 14:35||http://barbrady.southpark.lan/certs/crl.pem
161594|2017-09-21 14:38||http://barbrady.southpark.lan/certs/crl.pem
161595|2017-09-21 14:41||http://barbrady.southpark.lan/certs/crl.pem
161596|2017-09-21 14:44||http://barbrady.southpark.lan/certs/crl.pem
161597|2017-09-21 14:47||http://barbrady.southpark.lan/certs/crl.pem
161598|2017-09-21 14:50||http://barbrady.southpark.lan/certs/crl.pem
161599|2017-09-21 14:53||http://barbrady.southpark.lan/certs/crl.pem
161600|2017-09-21 14:56||http://barbrady.southpark.lan/certs/crl.pem
161601|2017-09-21 14:59||http://barbrady.southpark.lan/certs/crl.pem
161602|2017-09-21 15:02||http://barbrady.southpark.lan/certs/crl.pem
161603|2017-09-21 15:05||http://barbrady.southpark.lan/certs/crl.pem
161604|2017-09-21 15:08||http://barbrady.southpark.lan/certs/crl.pem
161605|2017-09-21 15:11||http://barbrady.southpark.lan/certs/crl.pem
161606|2017-09-21 15:14|2017-08-10 
17:01|http://barbrady.southpark.lan/certs/crl.pem
161607|2017-09-21 15:09|2017-08-10 
17:01|http://barbrady.southpark.lan/certs/crl.pem
161608|2017-09-21 15:12|2017-08-10 
17:01|http://barbrady.southpark.lan/certs/crl.pem
161609|2017-09-21 15:17||http://barbrady.southpark.lan/certs/crl.pem
161610|2017-09-21 15:15||http://barbrady.southpark.lan/certs/crl.pem
161611|2017-09-21 15:20||http://barbrady.southpark.lan/certs/crl.pem
161612|2017-09-21 15:18||http://barbrady.southpark.lan/certs/crl.pem
161613|2017-09-21 15:23||http://barbrady.southpark.lan/certs/crl.pem
161614|2017-09-21 15:21||http://barbrady.southpark.lan/certs/crl.pem
161615|2017-09-21 15:26||http://barbrady.southpark.lan/certs/crl.pem
161616|2017-09-21 15:24||http://barbrady.southpark.lan/certs/crl.pem
161617|2017-09-21 15:29||http://barbrady.southpark.lan/certs/crl.pem
161618|2017-09-21 15:27||http://barbrady.southpark.lan/certs/crl.pem
161619|2017-09-21 15:32||http://barbrady.southpark.lan/certs/crl.pem
161620|2017-09-21 15:30||http://barbrady.southpark.lan/certs/crl.pem
161621|2017-09-21 15:35||http://barbrady.southpark.lan/certs/crl.pem
161622|2017-09-21 15:33||http://barbrady.southpark.lan/certs/crl.pem
161623|2017-09-21 15:38||http://barbrady.southpark.lan/certs/crl.pem
161624|2017-09-21 15:36||http://barbrady.southpark.lan/certs/crl.pem
161625|2017-09-21 15:41||http://barbrady.southpark.lan/certs/crl.pem
161626|2017-09-21 15:39||http://barbrady.southpark.lan/certs/crl.pem
161627|2017-09-21 15:44||http://barbrady.southpark.lan/certs/crl.pem
barbrady # grep barbrady certs-update-crl-list
http://barbrady.southpark.lan/certs/crl.pem|crl.pem
barbrady #

jetzt weiss ich, warum er gestern abend gegen 20 Uhr _minutenlang_ 
at-jobs gelöscht hat - das waren also noch _sehr_ viel mehr...

>> Was mich so irritiert: das ganze Zertifikats-"gedöns" brauche ich doch
>> eigentlich nur für das Mail-Paket. Warum wird der Indianer nach der CRL
>> gefragt? Was wäre, wenn ich gar keinen Indianer am laufen hätte?
> 
> Du hast eine CA und dazu gehört nun mal eine CRL.

Aber warum wird über den apachen darauf zugegriffen, wenn ich die CA 
doch nur für mein exim-Zertifikat brauche?

Andere Frage: wie kann ich den Spuk abstellen; müssten das gleiche 
Problem nicht auch andere Leute haben?

Groetjes
Stefan

Mehr Informationen über die Mailingliste Eisfair