[Eisfair] [eisfair1] certs diverse Probleme/Fragen
Marcus Roeckrath
marcus.roeckrath at gmx.de
So Mai 11 09:13:53 CEST 2014
Hallo Stefan,
Stefan Welte wrote:
> vom Mailpaket erhalte ich seit geraumer Zeit Meldung, daß einige
> Zertifikate abgelaufen sind. U.a. ist es das Zertifikat "48ef30f1.pem":
>> la /var/certs/ssl/certs/48ef30f1.pem -rw-r--r-- 1 root root 3525 22. Apr
>> 2011 /var/certs/ssl/certs/48ef30f1.pem
Lösche es einfach und dann rehashen, dann verschwinden auch die Hashlinks
auf das Zertifikat.
> Nach einem "Download ca certificate bundle"-Aufruf ist nicht aktualisiert.
Der Punkt löscht keine Zertifikate (außer die von einem vorhergehenden
Aufruf dieses Punktes installierten Zertifikate, bevor die nun aktuellen
Zertifikate ins certs-Verzeichnis kopiert werden.
Die mit exakt 8 (Hex)-Zeichen abgelegten Zertifkate stammen aus dem alten
Bundle; für viele davon sind sie auch (mit aussagekräftigen) Namen im
Mozilla-Bundle enthalten.
Im Wiki habe ich einen Artikel hinterlegt, um die ganzen Dubletten
loszuwerden.
> Somit würde ich es gerne entfernen, aber finde keinen Menüpunkt dazu.
> Falls es keinen gibt, schlage ich vor einen zu kreieren, wenn man sich in
> "Show certificate details" bewegt, mit F8-Taste.
Ich weiss nicht, ob das an der Stelle so einfach geht, da sich die Liste der
Zertifikate, die vor dem Anzeigen der Auswahlliste erzeugt wird, ändert.
Aber dazu kann Jürgen genaueres sagen.
> Nachdem in Beiträgen manche Leute "rehashen", habe ich die Doku abgesucht
> und in Abschnitt 2.6 folgendes gefunden:
Das ist unbedingt notwendig, damit ein Zertifikat?genutzt werden kann.
>> Fuer alle Zertifikate muss ein Hash-Schluessel durch Aufruf von
>> '/usr/bin/ssl/c_rehash /usr/local/ssl/certs' angelegt werden.
> Gibt es einen speziellen Grund, wieso das von Hand gemacht werden muss und
> nicht easy per Menü?
IMHO keine schlechte Idee. Jürgen, was sagst Du?
> Unter "Manage certificates" würde ich gerne das mini_httpd-Zertifikat
> erneuern, aber das scheitert:
>> Please select (1-2,6), (q)uit: 2
>>
>> Do you want to create a (n)ew certificate or select an (e)xisting one
>> (n/e)? e /var/install/bin/certs-create-tls-certs: eval: Zeile 528:
>> Syntaxfehler beim unerwarteten Wort `('
>> /var/install/bin/certs-create-tls-certs: eval: Zeile 528:
>> `cert_name_215=NetLock_Arany_(Class_Gold)_Fotanusitvany' Press ENTER to
>> continue
Das ist ein Bug; kann ich hier exakt nachvollziehen.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair