Bug 25027 - add generation /etc/pki/java/cacerts
Summary: add generation /etc/pki/java/cacerts
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: ca-certificates (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Alexey Gladkov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks: 17934 25026
  Show dependency tree
 
Reported: 2011-02-04 17:12 MSK by viy
Modified: 2018-01-10 20:55 MSK (History)
5 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description viy 2011-02-04 17:12:13 MSK
в федорином ca-sertificates есть генерация сертификатов для java в файл
/etc/pki/java/cacerts.
Добавление этой возможности в нащ ca-sertificates закрыло бы 
#17934, #25026.

Если у вас нет сейчас времени на этот баг, можете добавить меня в acl.
Comment 1 Dmitry V. Levin 2011-02-04 20:28:03 MSK
В каком формате нужен /etc/pki/java/cacerts?
Comment 2 viy 2011-02-04 20:37:53 MSK
(В ответ на комментарий №1)
> В каком формате нужен /etc/pki/java/cacerts?

создаваемый с помощью keytool(1)
Comment 3 Dmitry V. Levin 2011-02-04 20:42:11 MSK
(In reply to comment #2)
> (В ответ на комментарий №1)
> > В каком формате нужен /etc/pki/java/cacerts?
> 
> создаваемый с помощью keytool(1)

Этого я не умею, потребуется содействие.

Вообще, внедрение /etc/pki/ таким образом, практически с бухты-барахты, мне не нравится.
Comment 4 viy 2011-02-04 20:45:00 MSK
я осенью было прикручивал генерацию caserts в наш ca-certificates.git,
http://git.altlinux.org/people/viy/packages/?p=ca-certificates.git;a=shortlog;h=refs/heads/java-caserts
остановился, так как надо было глубже изучить тему, чтобы
разобрался в логике, по каким критериям отбирались сертификаты
для включения в caserts.
мне тогда не понравилось, что подозрительно много они выбрасывают.
Comment 5 viy 2011-02-04 20:46:16 MSK
> мне тогда не понравилось, что подозрительно много они выбрасывают.
они - в смысле в федоре.
Comment 6 viy 2011-02-04 20:50:43 MSK
(В ответ на комментарий №5)
> > мне тогда не понравилось, что подозрительно много они выбрасывают.
> они - в смысле в федоре.

т.е. я без проблем могу подкрутить код генерации из Федоры,
но я не совсем понял их критерии отбора 
(а отбирать нужно, так как ca-bundle.crt избыточен).
Comment 7 viy 2011-02-04 20:57:55 MSK
с таким патчем на дубликаты будут только warnings
--- a/java/generate-cacerts.pl
+++ b/java/generate-cacerts.pl
@@ -284,8 +284,11 @@ foreach $cert (@certs)
         if ($write_current_cert == 1)
         {
             $pem_file_count++;
-            sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL)
-                || die("could not write file $cert_alias.pem");
+            unless (sysopen(PEM, "$cert_alias.pem", O_WRONLY|O_CREAT|O_EXCL)) {
+                   #die("could not write file $cert_alias.pem");
+                   warn("rewriting file $cert_alias.pem");
+                   sysopen(PEM, "$cert_alias.pem.$pem_file_count", O_WRONLY|O_C
+           };
             print PEM $cert;
             print " => written $cert_alias.pem\n";
         }
Comment 8 Vitaly Lipatov 2016-02-14 01:54:24 MSK
В итоге у нас
$ rpm -ql ca-certificates-java
/etc/pki/java
/etc/pki/java/cacerts
Comment 9 viy 2017-11-04 16:08:02 MSK
устарел
Comment 10 Konstantin A Lepikhov (L.A. Kostis) 2017-11-04 19:52:49 MSK
(In reply to comment #9)
> устарел

Что значит "устарел"? В java перестали пользоваться ca certificates?
Comment 11 viy 2017-11-04 19:56:08 MSK
пакет ca-certificates-java в Сизифе
Comment 12 Konstantin A Lepikhov (L.A. Kostis) 2017-11-04 20:38:10 MSK
(In reply to comment #11)
> пакет ca-certificates-java в Сизифе

И откуда он собирается? У него такие же источники как и у ca-certificates?

Если верить данным https://packages.altlinux.org/en/Sisyphus/srpms/ca-certificates-java/spec

последний раз пакет был собран _6 лет_ назад, что, мягко говоря, уже устарело и непригодно к использованию.
Comment 13 viy 2017-11-04 20:46:53 MSK
да, действительно.

%changelog
* Thu Sep 15 2011 Igor Vlasenko <viy at altlinux.ru> 0.01-alt1
- temporary hack til the bug 25027 will be fixed

сорри.
Comment 14 Repository Robot 2018-01-10 20:55:45 MSK
ca-trust-0.1.1-alt2 -> sisyphus:

* Wed Jan 10 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt2
- Package ca-bundle.crt symlink.

* Tue Jan 09 2018 Mikhail Efremov <sem@altlinux> 0.1.1-alt1
- Package java/README file.
- Require p11-kit bundle instead of ca-certificates.
- Simplify update-ca-trust a bit.
- Fix README files.

* Thu Dec 28 2017 Mikhail Efremov <sem@altlinux> 0.1-alt1
- Initial build (closes: #25027).