[Eisfair] Certs: "rehash: warning: skipping ....pem, it does not contain , exactly one certificate or CRL"
Rolf Bensch
azubi at bensch-net.de
Do Mai 19 09:38:25 CEST 2022
Hallo Markus,
Am 19.05.22 um 09:28 schrieb Rolf Bensch:
>
> Hallo Markus,
>
> Am 19.05.22 um 06:14 schrieb Marcus Röckrath:
>> Hallo Rolf,
>>
>> Rolf Bensch wrote:
>>
>>> gemäß Wiki-Beitrag bereinige ich aktuell die Zertifkate.
>>> "var/install/bin/certs-update-crl --deletejobs" liefert hier Unmengen
>>> Ausgaben dieser Art:
>>>
>>> - job '33142' (2021-06-16 15:45) doesn't exist!
>>> - job '33143' (2021-06-16 15:20) doesn't exist!
>>> - job '33144' (2021-06-16 15:48) doesn't exist!
>>> - job '33145' (2021-06-16 15:23) doesn't exist!
>>> - job '33146' (2021-06-16 15:26) doesn't exist!
>>> - job '33147' (2021-06-16 15:51) doesn't exist!
>>> - job '33148' (2021-06-16 15:29) doesn't exist!
>>>
>>> Ist das die Ursache? Wesahlb werden hier alte Jobs nicht korrekt
>>> entsorgt?
>>
>> Das tritt nach meiner Erfahrung insbesondere dann gehäuft auf, wenn man
>> viele - z. B. das ganze Bundle - Zertifikate auf dem System hat.
>>
>> Wie und wann das genau auftritt, hatte ich bislang auch nicht klar
>> feststellen können.
>
> die AT-Jobs wurde über Nacht bereinigt. Jetzt habe ich noch die Anzahl
> Zertifikate auf 15 reduziert, alle Zertifikatsketten sind (wieder) in
> Ordnung. "Update revocation List(s)" läuft auch sauber durch. Damit das
> nicht noch einmal vorkommt, werde ich hier wohl einen Cron-Job zur
> Bereinigung der CRLs anlegen.
>
> Bei "Update certs(crl hashes" erhalte ich derzeit eine Ausgabe, die mir
> bis jetzt noch nicht untergekommen ist:
>
> Create/update certificate hashes
>
> 1 - certificate folder
> 2 - certificate revocation list folder
> 3 - certificate and revocation list folder
>
> which hashes should be updated, (1-3) (q)uit [q]? 1
>
> rehash: warning: skipping imapd.pem,it does not contain exactly one
> certificate or CRL
> rehash: warning: skipping mini_httpd.pem,it does not contain exactly
> one certificate or CRL
> rehash: warning: skipping ca-bundle.crt,it does not contain exactly
> one certificate or CRL
> rehash: warning: skipping exim.pem,it does not contain exactly one
> certificate or CRL
> rehash: warning: skipping groener.spdns.org.pem,it does not contain
> exactly one certificate or CRL
> rehash: warning: skipping apache.pem,it does not contain exactly one
> certificate or CRL
> rehash: warning: skipping ipop3d.pem,it does not contain exactly one
> certificate or CRL
> rehash: warning: skipping duplicate certificate in
> USERTrustRSAAAACA.pem
> rehash: warning: skipping duplicate certificate in
> USERTrustRSAAAACA.pem
>
> Press ENTER to continue
>
> im Certs-Verzeichnis liegen m.E. keine Duplikate, Beispiel:
>
> ibs-server (certs) # ls -l /var/certs/ssl/certs/*USERTrust*
> -rw-r--r-- 1 root root 1968 Feb 2 2021 /var/certs/ssl/certs
> /USERTrustRSAAAACA.pem
>
> Was ist jetzt hier der Hintergrund?
>
> Grüße
>
> Rolf
Das Problem um USERTrust* habe ich zwischenzeitlich gefunden:
lrwxrwxrwx 1 root root 41 May 8 02:37 fc5a8f99.0 ->
usertrust_rsa_certification_authority.pem
Suche nach Duplikaten:
Check if duplicate certificates exist
Certificate directory: /usr/local/ssl/certs
updating hashes ...
searching duplicate certificate files ...
no duplicate certificate fles found.
Press ENTER to continue
Der Rest bleibt also fraglich
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair