Re: [Sysadmins] p9: alterator-ca

[Vladimir Karpinsky]

Да, уже на форуме подсказали.

Добавил функцию ssl_fatal в cert-sh-functions.
После этого получил:
ca-sko: CA not initialized

Изучаю ca-sko:

1. Подгружаются 2 файла с функциями:
cert-sh-functions
ca-sh-functions

2. Там, где вылезает этот фатал:
case "$cmd" in
...
        *)
                ca_check_CAdir >/dev/null 2>&1 &&
                        ca_check_CAkey >/dev/null 2>&1 &&
                        ca_check_CA >/dev/null 2>&1 ||
                        ssl_fatal "CA not initialized"

Первые 2 функции-проверки проходят успешно, проблема в 3-й:
ca_check_CA()
{
        [ -f "$CA_SKO_CADIR/cacert.pem" ] || return 1

        subject="$(ca_get_cert_attr "$CA_SKO_CADIR/cacert.pem" subject)"
        ca_subject="$(ca_get_subject)"

        [ "$subject" = "$ca_subject" ]
}

А в subject'ах проблема:
subject C = RU, O = XXXX, OU = XXXX Certification Authority, CN = XXX
Root Certification Authority
ca_subject /C=RU/O=XXXX/OU=XXXX Certification Authority/CN=XXXX Root 
Certification Authority

Потому, что в ca_get_subject() вывод:

printf "/C=%s/O=%s/OU=%s Certification Authority/CN=%s Root Certification 
Authority" "$C" "$O" "$O" "$O"

т.е. получаем строку:

/C=RU/O=XX/OU=XX Certification Authority/CN=XX Root Certification Authority

а в ca_get_cert_attr:

"$OPENSSL" x509 -in "$file" -noout "-$param" "$@" 2>/dev/null | cut -d= -f 
2- | sed 's,\(^[[:blank:]]\+\|[[:blank:]]\+$\),,g'

И на выходе:

C = RU, O = XX, OU = XX Certification Authority, CN = XX Root Certification 
Authority

Понятно, что эти строки не совпадают.

Если привести их к единому знаменателю, то ошибки нет.

Самое забавное, что сравнение с прошлогодней резервной копией не выявляет 
каких-то различий в упомянутых файлах, но ошибка раньше не вылезала.

Ну и вопрос в плане борьбы с безграмотностью: "А зачем надо ежедневно 
обновлять ca-root.pem?"

12.09.2019 18:17, Sergey пишет:
On Wednesday 11 September 2019, Vladimir Karpinsky wrote:

После обновления от cron'а стали приходить письма следующего содержания:
/usr/sbin/ca-sko: line 205: ssl_fatal: command not found

https://bugzilla.altlinux.org/37212


--
    VK.
_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins