25027 2011-02-04 17:12:13 +0300 add generation /etc/pki/java/cacerts 2018-01-10 20:55:45 +0300 1 1 4 Development Sisyphus ca-certificates unstable all Linux CLOSED FIXED P3 normal --- 17934 25026 1 viy legion egori lakostis lav ldv legion rauty sem qa-sisyphus oldest_to_newest 117964 0 viy 2011-02-04 17:12:13 +0300 в федорином ca-sertificates есть генерация сертификатов для java в файл /etc/pki/java/cacerts. Добавление этой возможности в нащ ca-sertificates закрыло бы #17934, #25026. Если у вас нет сейчас времени на этот баг, можете добавить меня в acl. 117973 1 ldv 2011-02-04 20:28:03 +0300 В каком формате нужен /etc/pki/java/cacerts? 117974 2 viy 2011-02-04 20:37:53 +0300 (В ответ на комментарий №1) > В каком формате нужен /etc/pki/java/cacerts? создаваемый с помощью keytool(1) 117975 3 ldv 2011-02-04 20:42:11 +0300 (In reply to comment #2) > (В ответ на комментарий №1) > > В каком формате нужен /etc/pki/java/cacerts? > > создаваемый с помощью keytool(1) Этого я не умею, потребуется содействие. Вообще, внедрение /etc/pki/ таким образом, практически с бухты-барахты, мне не нравится. 117976 4 viy 2011-02-04 20:45:00 +0300 я осенью было прикручивал генерацию caserts в наш ca-certificates.git, http://git.altlinux.org/people/viy/packages/?p=ca-certificates.git;a=shortlog;h=refs/heads/java-caserts остановился, так как надо было глубже изучить тему, чтобы разобрался в логике, по каким критериям отбирались сертификаты для включения в caserts. мне тогда не понравилось, что подозрительно много они выбрасывают. 117977 5 viy 2011-02-04 20:46:16 +0300 > мне тогда не понравилось, что подозрительно много они выбрасывают. они - в смысле в федоре. 117978 6 viy 2011-02-04 20:50:43 +0300 (В ответ на комментарий №5) > > мне тогда не понравилось, что подозрительно много они выбрасывают. > они - в смысле в федоре. т.е. я без проблем могу подкрутить код генерации из Федоры, но я не совсем понял их критерии отбора (а отбирать нужно, так как ca-bundle.crt избыточен). 117979 7 viy 2011-02-04 20:57:55 +0300 с таким патчем на дубликаты будут только warnings --- a/java/generate-cacerts.pl +++ b/java/generate-cacerts.pl @@ -284,8 +284,11 @@ foreach $cert (@certs) if ($write_current_cert == 1) { $pem_file_count++; - sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL) - || die("could not write file $cert_alias.pem"); + unless (sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL)) { + #die("could not write file $cert_alias.pem"); + warn("rewriting file $cert_alias.pem"); + sysopen(PEM, "$cert_alias.pem.$pem_file_count", O_WRONLY|O_C + }; print PEM $cert; print " => written $cert_alias.pem\n"; } 154980 8 lav 2016-02-14 01:54:24 +0300 В итоге у нас $ rpm -ql ca-certificates-java /etc/pki/java /etc/pki/java/cacerts 166951 9 viy 2017-11-04 16:08:02 +0300 устарел 166957 10 lakostis 2017-11-04 19:52:49 +0300 (In reply to comment #9) > устарел Что значит "устарел"? В java перестали пользоваться ca certificates? 166958 11 viy 2017-11-04 19:56:08 +0300 пакет ca-certificates-java в Сизифе 166960 12 lakostis 2017-11-04 20:38:10 +0300 (In reply to comment #11) > пакет ca-certificates-java в Сизифе И откуда он собирается? У него такие же источники как и у ca-certificates? Если верить данным https://packages.altlinux.org/en/Sisyphus/srpms/ca-certificates-java/spec последний раз пакет был собран _6 лет_ назад, что, мягко говоря, уже устарело и непригодно к использованию. 166961 13 viy 2017-11-04 20:46:53 +0300 да, действительно. %changelog * Thu Sep 15 2011 Igor Vlasenko <viy at altlinux.ru> 0.01-alt1 - temporary hack til the bug 25027 will be fixed сорри. 168422 14 repository-robot 2018-01-10 20:55:45 +0300 ca-trust-0.1.1-alt2 -> sisyphus: * Wed Jan 10 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt2 - Package ca-bundle.crt symlink. * Tue Jan 09 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt1 - Package java/README file. - Require p11-kit bundle instead of ca-certificates. - Simplify update-ca-trust a bit. - Fix README files. * Thu Dec 28 2017 Mikhail Efremov <sem@altlinux> 0.1-alt1 - Initial build (closes: #25027).