[Eisfair] Rehashen von Zertifikaten
Marcus Roeckrath
marcus.roeckrath at gmx.de
Fr Aug 18 20:02:33 CEST 2017
Hallo,
Marcus Roeckrath wrote:
das unten beshriebene Lösung ist erst mit dem neuen certs-Paket 1.5.0
möglich, da dieses ein überarbeitetes /var/install/bin/certs-update-hashes
mitbringt.
Wer in Skripten Zertifikat rehashen muss, verwende dazu folgenden Code:
/usr/bin/ssl/c_rehash /usr/local/ssl/certs >/dev/null 2>&1
/var/install/config.d/certs.sh --copycrlhashes >/dev/null 2>&1
Bei Verwendung von certs < 1.5.0 sind ebenfalls diese beiden
Kommandozeilen-Befehle - dann besser ohne >/dev/null 2>&1 - zum Rehashen
der Zertifikate notwendig.
> falls jemand mal manuell die Zertifikatshashes in /var/certs/ssl/certs
> erneuern möchte, sollte nicht mehr
>
> /usr/bin/ssl/c_rehash /var/certs/ssl/certs
>
> benutzen, da dieses Skript vor der Neuerzeugung der Hashes alle in diesem
> Verzeichnis vorhanden Hashes - auch die CRL-Hashes - löscht.
>
> c_rehash ist kein eisfair-Skript, sondern Teil von openssl, so dass eine
> eigenständige Änderung des Verhaltens für uns keinen Sinn macht.
>
> Die Lösung des Problems ist aber simpel:
>
> Verwendet
>
> /var/install/bin/certs-update-hashes
>
> und wählt dann die Option 1 zum Rehashen der Zertifikate.
>
> Dieses bemüht zwar auch c_rehash, kopiert aber anschliessend auch die
> CRL-Hashes in das Zertifikate-Verzeichnis ab Version 1.5.0 des
> Certs-Paketes.
>
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair