[Eisfair_dev] certs v1.4.5 stable

Fr Mär 4 15:03:41 CET 2016

Hallo Stefan,

> vor einer dreiviertel Stunde installiert. Bis vor wenigen Minuten war
> die loadaverage des Systems auf über 50 gestiegen/verblieben und es
> waren viele openssl und rehash-Prozesse am Laufen oder wurden laufend
neu gestartet:
> 
>> root at eis2 2.6.9:/ ps aux | grep openssl
>> root      6791  0.0  3.3  38224 33872 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      6901  0.0  4.4  50168 45644 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      6911  0.0  4.4  50168 45648 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      6978  0.0  4.0  46208 41140 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      7099  0.0  3.0  37100 31628 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      7109  0.0  2.9  36044 30580 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      7178  0.0  2.8  34064 28728 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root      7381  0.0  0.1   5080  1684 ?        RN   14:20   0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in www.trustcenter.de-tcclass4.crl.pem
>> root      7386  0.0  0.1   6564  1344 pts/1    SN+  14:20   0:00 /bin/sh /bin/grep openssl
>> root at eis2 2.6.9:/ ps aux | grep rehash
>> root      7615  0.0  0.1   6564  1352 pts/1    SN+  14:20   0:00 /bin/sh /bin/grep rehash
>> root     26116  0.0  0.1   7268  1172 ?        DN   13:36   0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root     26124  0.0  0.1   7268  1260 ?        DN   13:36   0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root     26149  0.0  0.1   7268  1352 ?        DN   13:36   0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root     26166  0.0  0.1   7268  1276 ?        DN   13:36   0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root     26181  0.0  0.1   7268  1364 ?        DN   13:36   0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root     26227  0.0  0.1   7268  1108 ?        DN   13:36   0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl

an der Grundfunktion des Paketes hat sich schon seit längerer Zeit
nichts geändert, was Du auch der changes.txt entnehmen kannst. Das
von Dir beschriebene Problem habe ich bis dato noch nie beobachten
können, auch wurde es meines Wissens noch nie in der Art von anderen
Anwendern gemeldet.
Ist es möglich, dass der betroffene Rechner ein Verbindungsproblem
ins Internet hatte? Generell ist besonders der Aktualisierungsprozess
der CRL sehr langwierig und kann bei einigen Zertifikaten durchaus
20min dauern. Mich überrascht besonders, dass es scheinbar mit einer
CRL Probleme gibt.
Auch wundert mich, dass der c_rehash-Prozesse mehrfach ausgeführt wird
und scheinbar hängt. Das Skript ist sehr einfach gestrickt und läuft
schnell durch. Eine Erklärungen habe ich dafür ebenso nicht. Den
Parameter CERTS_CRL_CRON_SCHEDULE hast Du doch sicherlich nicht
verändert, korrekt?

> Nun sind 22 emails eingetrudelt:
> Betreff:
> Output from your job ## , mit ##=random{1-50}
> Inhalt:
> cp: der Aufruf von stat f�r �/usr/local/ssl/certs-update-crl-joblist� ist nicht m�glich: Datei oder
> Verzeichnis nicht gefunden
> 
> Die Datei certs-update-crl-joblist existiert jedoch (momentan):
> -rw-r--r-- 1 root root 3920  4. Mär 13:38 /usr/local/ssl/certs-update-crl-joblist

Wenn so viele Prozesse gleichzeitig versuchen eine Datei zu verändern,
kommt es durchaus zu einem Zugriffsproblem kommen.

> ist da jetzt etwas kaputt oder noch zu erledigen?

Du kannst ja testweise einmal folgende Befehl absetzen und schauen was
er auswirfst: /var/install/bin/certs-update-crl --checkall

Falls Du den CRL-Update-Prozess manuell noch einmal anstoßen willst,
kannst Du folgenden Befehl verwenden. Beachte jedoch, dass dies schon
einige Zeit dauern kann: /var/install/bin/certs-update-crl -all

Gruß Jürgen
-- 
Mail: juergen at eisfair.org