в федорином ca-sertificates есть генерация сертификатов для java в файл /etc/pki/java/cacerts. Добавление этой возможности в нащ ca-sertificates закрыло бы #17934, #25026. Если у вас нет сейчас времени на этот баг, можете добавить меня в acl.
В каком формате нужен /etc/pki/java/cacerts?
(В ответ на комментарий №1) > В каком формате нужен /etc/pki/java/cacerts? создаваемый с помощью keytool(1)
(In reply to comment #2) > (В ответ на комментарий №1) > > В каком формате нужен /etc/pki/java/cacerts? > > создаваемый с помощью keytool(1) Этого я не умею, потребуется содействие. Вообще, внедрение /etc/pki/ таким образом, практически с бухты-барахты, мне не нравится.
я осенью было прикручивал генерацию caserts в наш ca-certificates.git, http://git.altlinux.org/people/viy/packages/?p=ca-certificates.git;a=shortlog;h=refs/heads/java-caserts остановился, так как надо было глубже изучить тему, чтобы разобрался в логике, по каким критериям отбирались сертификаты для включения в caserts. мне тогда не понравилось, что подозрительно много они выбрасывают.
> мне тогда не понравилось, что подозрительно много они выбрасывают. они - в смысле в федоре.
(В ответ на комментарий №5) > > мне тогда не понравилось, что подозрительно много они выбрасывают. > они - в смысле в федоре. т.е. я без проблем могу подкрутить код генерации из Федоры, но я не совсем понял их критерии отбора (а отбирать нужно, так как ca-bundle.crt избыточен).
с таким патчем на дубликаты будут только warnings --- a/java/generate-cacerts.pl +++ b/java/generate-cacerts.pl @@ -284,8 +284,11 @@ foreach $cert (@certs) if ($write_current_cert == 1) { $pem_file_count++; - sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL) - || die("could not write file $cert_alias.pem"); + unless (sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL)) { + #die("could not write file $cert_alias.pem"); + warn("rewriting file $cert_alias.pem"); + sysopen(PEM, "$cert_alias.pem.$pem_file_count", O_WRONLY|O_C + }; print PEM $cert; print " => written $cert_alias.pem\n"; }
В итоге у нас $ rpm -ql ca-certificates-java /etc/pki/java /etc/pki/java/cacerts
устарел
(In reply to comment #9) > устарел Что значит "устарел"? В java перестали пользоваться ca certificates?
пакет ca-certificates-java в Сизифе
(In reply to comment #11) > пакет ca-certificates-java в Сизифе И откуда он собирается? У него такие же источники как и у ca-certificates? Если верить данным https://packages.altlinux.org/en/Sisyphus/srpms/ca-certificates-java/spec последний раз пакет был собран _6 лет_ назад, что, мягко говоря, уже устарело и непригодно к использованию.
да, действительно. %changelog * Thu Sep 15 2011 Igor Vlasenko <viy at altlinux.ru> 0.01-alt1 - temporary hack til the bug 25027 will be fixed сорри.
ca-trust-0.1.1-alt2 -> sisyphus: * Wed Jan 10 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt2 - Package ca-bundle.crt symlink. * Tue Jan 09 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt1 - Package java/README file. - Require p11-kit bundle instead of ca-certificates. - Simplify update-ca-trust a bit. - Fix README files. * Thu Dec 28 2017 Mikhail Efremov <sem@altlinux> 0.1-alt1 - Initial build (closes: #25027).
