ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | add generation /etc/pki/java/cacerts | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | viy <viy> |
| Component: | ca-certificates | Assignee: | Alexey Gladkov <legion> |
| Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P3 | CC: | egori, lakostis, lav, ldv, legion, rauty, sem |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
| Bug Depends on: | |||
| Bug Blocks: | 17934, 25026 | ||
|
Description
viy
2011-02-04 17:12:13 MSK
В каком формате нужен /etc/pki/java/cacerts? (В ответ на комментарий №1)
> В каком формате нужен /etc/pki/java/cacerts?
создаваемый с помощью keytool(1)
(In reply to comment #2) > (В ответ на комментарий №1) > > В каком формате нужен /etc/pki/java/cacerts? > > создаваемый с помощью keytool(1) Этого я не умею, потребуется содействие. Вообще, внедрение /etc/pki/ таким образом, практически с бухты-барахты, мне не нравится. я осенью было прикручивал генерацию caserts в наш ca-certificates.git, http://git.altlinux.org/people/viy/packages/?p=ca-certificates.git;a=shortlog;h=refs/heads/java-caserts остановился, так как надо было глубже изучить тему, чтобы разобрался в логике, по каким критериям отбирались сертификаты для включения в caserts. мне тогда не понравилось, что подозрительно много они выбрасывают. > мне тогда не понравилось, что подозрительно много они выбрасывают.
они - в смысле в федоре.
(В ответ на комментарий №5)
> > мне тогда не понравилось, что подозрительно много они выбрасывают.
> они - в смысле в федоре.
т.е. я без проблем могу подкрутить код генерации из Федоры,
но я не совсем понял их критерии отбора
(а отбирать нужно, так как ca-bundle.crt избыточен).
с таким патчем на дубликаты будут только warnings
--- a/java/generate-cacerts.pl
+++ b/java/generate-cacerts.pl
@@ -284,8 +284,11 @@ foreach $cert (@certs)
if ($write_current_cert == 1)
{
$pem_file_count++;
- sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL)
- || die("could not write file $cert_alias.pem");
+ unless (sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL)) {
+ #die("could not write file $cert_alias.pem");
+ warn("rewriting file $cert_alias.pem");
+ sysopen(PEM, "$cert_alias.pem.$pem_file_count", O_WRONLY|O_C
+ };
print PEM $cert;
print " => written $cert_alias.pem\n";
}
В итоге у нас $ rpm -ql ca-certificates-java /etc/pki/java /etc/pki/java/cacerts устарел (In reply to comment #9) > устарел Что значит "устарел"? В java перестали пользоваться ca certificates? пакет ca-certificates-java в Сизифе (In reply to comment #11) > пакет ca-certificates-java в Сизифе И откуда он собирается? У него такие же источники как и у ca-certificates? Если верить данным https://packages.altlinux.org/en/Sisyphus/srpms/ca-certificates-java/spec последний раз пакет был собран _6 лет_ назад, что, мягко говоря, уже устарело и непригодно к использованию. да, действительно. %changelog * Thu Sep 15 2011 Igor Vlasenko <viy at altlinux.ru> 0.01-alt1 - temporary hack til the bug 25027 will be fixed сорри. ca-trust-0.1.1-alt2 -> sisyphus: * Wed Jan 10 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt2 - Package ca-bundle.crt symlink. * Tue Jan 09 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt1 - Package java/README file. - Require p11-kit bundle instead of ca-certificates. - Simplify update-ca-trust a bit. - Fix README files. * Thu Dec 28 2017 Mikhail Efremov <sem@altlinux> 0.1-alt1 - Initial build (closes: #25027). |
