[Eisfair] Certs: "rehash: warning: skipping ....pem, it does not contain , exactly one certificate or CRL"

Rolf Bensch azubi at bensch-net.de
Do Mai 19 09:28:00 CEST 2022 

Hallo Markus,

Am 19.05.22 um 06:14 schrieb Marcus Röckrath:
> Hallo Rolf,
> 
> Rolf Bensch wrote:
> 
>> gemäß Wiki-Beitrag bereinige ich aktuell die Zertifkate.
>> "var/install/bin/certs-update-crl --deletejobs" liefert hier Unmengen
>> Ausgaben dieser Art:
>>
>> - job '33142' (2021-06-16 15:45) doesn't exist!
>> - job '33143' (2021-06-16 15:20) doesn't exist!
>> - job '33144' (2021-06-16 15:48) doesn't exist!
>> - job '33145' (2021-06-16 15:23) doesn't exist!
>> - job '33146' (2021-06-16 15:26) doesn't exist!
>> - job '33147' (2021-06-16 15:51) doesn't exist!
>> - job '33148' (2021-06-16 15:29) doesn't exist!
>>
>> Ist das die Ursache? Wesahlb werden hier alte Jobs nicht korrekt entsorgt?
> 
> Das tritt nach meiner Erfahrung insbesondere dann gehäuft auf, wenn man
> viele - z. B. das ganze Bundle - Zertifikate auf dem System hat.
> 
> Wie und wann das genau auftritt, hatte ich bislang auch nicht klar
> feststellen können.

die AT-Jobs wurde über Nacht bereinigt. Jetzt habe ich noch die Anzahl 
Zertifikate auf 15 reduziert, alle Zertifikatsketten sind (wieder) in 
Ordnung. "Update revocation List(s)" läuft auch sauber durch. Damit das 
nicht noch einmal vorkommt, werde ich hier wohl einen Cron-Job zur 
Bereinigung der CRLs anlegen.

Bei "Update certs(crl hashes" erhalte ich derzeit eine Ausgabe, die mir 
bis jetzt noch nicht untergekommen ist:

   Create/update certificate hashes

    1 - certificate folder
    2 - certificate revocation list folder
    3 - certificate and revocation list folder

   which hashes should be updated, (1-3) (q)uit [q]? 1

   rehash: warning: skipping imapd.pem,it does not contain exactly one
   certificate or CRL
   rehash: warning: skipping mini_httpd.pem,it does not contain exactly
   one certificate or CRL
   rehash: warning: skipping ca-bundle.crt,it does not contain exactly
   one certificate or CRL
   rehash: warning: skipping exim.pem,it does not contain exactly one
   certificate or CRL
   rehash: warning: skipping groener.spdns.org.pem,it does not contain
   exactly one certificate or CRL
   rehash: warning: skipping apache.pem,it does not contain exactly one
   certificate or CRL
   rehash: warning: skipping ipop3d.pem,it does not contain exactly one
   certificate or CRL
   rehash: warning: skipping duplicate certificate in
   USERTrustRSAAAACA.pem
   rehash: warning: skipping duplicate certificate in
   USERTrustRSAAAACA.pem

   Press ENTER to continue

im Certs-Verzeichnis liegen m.E. keine Duplikate, Beispiel:

   ibs-server (certs) # ls -l /var/certs/ssl/certs/*USERTrust*
   -rw-r--r-- 1 root root 1968 Feb  2  2021 /var/certs/ssl/certs
   /USERTrustRSAAAACA.pem

Was ist jetzt hier der Hintergrund?

Grüße

Rolf

Mehr Informationen über die Mailingliste Eisfair