[Eisfair_dev] certs v1.4.5 stable
Juergen Edner
juergen at eisfair.org
Fr Mär 4 15:03:41 CET 2016
Hallo Stefan,
> vor einer dreiviertel Stunde installiert. Bis vor wenigen Minuten war
> die loadaverage des Systems auf über 50 gestiegen/verblieben und es
> waren viele openssl und rehash-Prozesse am Laufen oder wurden laufend
neu gestartet:
>
>> root at eis2 2.6.9:/ ps aux | grep openssl
>> root 6791 0.0 3.3 38224 33872 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 6901 0.0 4.4 50168 45644 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 6911 0.0 4.4 50168 45648 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 6978 0.0 4.0 46208 41140 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 7099 0.0 3.0 37100 31628 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 7109 0.0 2.9 36044 30580 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 7178 0.0 2.8 34064 28728 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in crl.oces.certifikat.dk-oces.crl.pem
>> root 7381 0.0 0.1 5080 1684 ? RN 14:20 0:00 /usr/bin/openssl crl -hash -fingerprint -noout -in www.trustcenter.de-tcclass4.crl.pem
>> root 7386 0.0 0.1 6564 1344 pts/1 SN+ 14:20 0:00 /bin/sh /bin/grep openssl
>> root at eis2 2.6.9:/ ps aux | grep rehash
>> root 7615 0.0 0.1 6564 1352 pts/1 SN+ 14:20 0:00 /bin/sh /bin/grep rehash
>> root 26116 0.0 0.1 7268 1172 ? DN 13:36 0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root 26124 0.0 0.1 7268 1260 ? DN 13:36 0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root 26149 0.0 0.1 7268 1352 ? DN 13:36 0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root 26166 0.0 0.1 7268 1276 ? DN 13:36 0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root 26181 0.0 0.1 7268 1364 ? DN 13:36 0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
>> root 26227 0.0 0.1 7268 1108 ? DN 13:36 0:00 /usr/bin/perl /usr/bin/ssl/c_rehash /usr/local/ssl/crl
an der Grundfunktion des Paketes hat sich schon seit längerer Zeit
nichts geändert, was Du auch der changes.txt entnehmen kannst. Das
von Dir beschriebene Problem habe ich bis dato noch nie beobachten
können, auch wurde es meines Wissens noch nie in der Art von anderen
Anwendern gemeldet.
Ist es möglich, dass der betroffene Rechner ein Verbindungsproblem
ins Internet hatte? Generell ist besonders der Aktualisierungsprozess
der CRL sehr langwierig und kann bei einigen Zertifikaten durchaus
20min dauern. Mich überrascht besonders, dass es scheinbar mit einer
CRL Probleme gibt.
Auch wundert mich, dass der c_rehash-Prozesse mehrfach ausgeführt wird
und scheinbar hängt. Das Skript ist sehr einfach gestrickt und läuft
schnell durch. Eine Erklärungen habe ich dafür ebenso nicht. Den
Parameter CERTS_CRL_CRON_SCHEDULE hast Du doch sicherlich nicht
verändert, korrekt?
> Nun sind 22 emails eingetrudelt:
> Betreff:
> Output from your job ## , mit ##=random{1-50}
> Inhalt:
> cp: der Aufruf von stat f�r �/usr/local/ssl/certs-update-crl-joblist� ist nicht m�glich: Datei oder
> Verzeichnis nicht gefunden
>
> Die Datei certs-update-crl-joblist existiert jedoch (momentan):
> -rw-r--r-- 1 root root 3920 4. Mär 13:38 /usr/local/ssl/certs-update-crl-joblist
Wenn so viele Prozesse gleichzeitig versuchen eine Datei zu verändern,
kommt es durchaus zu einem Zugriffsproblem kommen.
> ist da jetzt etwas kaputt oder noch zu erledigen?
Du kannst ja testweise einmal folgende Befehl absetzen und schauen was
er auswirfst: /var/install/bin/certs-update-crl --checkall
Falls Du den CRL-Update-Prozess manuell noch einmal anstoßen willst,
kannst Du folgenden Befehl verwenden. Beachte jedoch, dass dies schon
einige Zeit dauern kann: /var/install/bin/certs-update-crl -all
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair_dev