[Eisfair] certs: gnutls und /etc/ssl/certs/ca-certificates.crt

[Holger Bruenjes]

Hallo Sebastian

Am 11/10/2021 um 12.51 schrieb Sebastian Ertz:

> einen Link von /var/lib/ca-cerificates/pem nach openssl oder direkt nach
> /etc/ssl/certs hat keine Verbesserung gebracht.
> 
> Im Quelltext von inadyn
> (https://github.com/troglobit/inadyn/blob/master/src/gnutls.c) wird erst
> versucht mittels gnutls_certificate_set_x509_system_trust(xcred); die
> Zertifikate zu laden.

> Leider weiß ich nicht wie gnutls kompiliert wurde

hatte ich doch geschrieben

--with-default-trust-store-dir=%{_localstatedir}/lib/ca-certificates/pem 


nur der entsprechende link wurde bisher nicht gesetzt, darum m mein 
Vorschlag als Versuch


> und ob dort /etc/ssl/certs/ als Default-CA-Dir eingetragen ist, bzw. das
> gnutls Default ein Verzeichnis nutzen soll. Danach wird versucht
> gnutls_certificate_set_x509_trust_file(xcred,
> "/etc/ssl/certs/ca-certificates.crt", GNUTLS_X509_FMT_PEM); zu laden und
> dies schlägt fehl.

lt. inadyn

inadyn-2.8.1> grep -R 'CAFILE' *
configure.ac:CAFILE1="/etc/ssl/certs/ca-certificates.crt"
configure.ac:CAFILE2="/etc/pki/tls/certs/ca-bundle.trust.crt"
configure.ac:   CAFILE2="/usr/local/etc/openssl/cert.pem"


dann wuerd ich aber lieber configure.ac patchen und autoreconf -f 
ausfuehren

Holger

> 
> Folgender patch hilf bei inadyn:
> --- a/src/gnutls.c
> +++ b/src/gnutls.c
> @@ -132,6 +132,8 @@
>   	num = gnutls_certificate_set_x509_system_trust(xcred);
>   #endif
>   	if (num <= 0)
> +		num = gnutls_certificate_set_x509_trust_dir(xcred, "/etc/ssl/certs",
> GNUTLS_X509_FMT_PEM);
> +	if (num <= 0)
>   		num = gnutls_certificate_set_x509_trust_file(xcred, CAFILE1,
> GNUTLS_X509_FMT_PEM);
>   	if (num <= 0)
>   		num = gnutls_certificate_set_x509_trust_file(xcred, CAFILE2,
> GNUTLS_X509_FMT_PEM);