problem s fetch a SSL/TLS certifikaty
Miroslav Lachman
000.fbsd at quip.cz
Fri Oct 1 00:45:48 CEST 2021
On 01/10/2021 00:18, Dan Lukes wrote:
> Trochu jsem se v tom ztratil. Ten cert.pem je na SSL serveru nebo na
> klientovi ? Fetch je urcite klient a spravne rve, ze certifikat v chainu
> je expirovany (sel by ale spoustet s parametrem, ze to nema kontrolovat).
Asi jsem to spatne popsal, fetch probiha na tom samem stroji, na kterem
bezi i ten webserver, taha se tim server-status stranka z webserveru a
na zaklade vystupu se generuji nejake statistiky. (ano, slo by to bez
HTTPS, ale protoze to do ted s HTTPS fungovalo, tak jsem chtel resit,
proc to ted nejde...)
> Klicovy soubor ca_root_nss je /usr/local/share/certs/ca-root-nss.crt
Ano, ten mam symlinkovany do /usr/local/etc/ssl/cert.pem
> Rozdilne verze FreeBSD znamenaji rozdilne verze systemoveho openssl a to
> muze znamenat odchylky v popsanem algoritmu. Namatkou me napada
> (neoveroval jsem ale zda se chovani openssl v danem aspektu skutecne
> mezi verzemi zmenilo):
> Rekl bych, ze potrebujes upravit /usr/local/etc/ssl/cert.pem
Zkousel jsem tam zakomentovat ten expirovany, zkousel jsem tam i pridat
to, co je soucasti fullchain na webserveru, ale podle toho pospisu, co
jsem pridal do predchozi zpravy, bych proste musel zmenit ten chain na
webserveru a pak prestanou fungovat stary Android klienti.
> Coz nemusi nutne znamenat, ze tam das aktualni certifikat. Pokud
> mezilehle certifikaty posila server, je lepsi je na klientovi ze souboru
> nevkladat.
Tohle jeste prozkoumam.
Diky
Mirek
More information about the Users-l
mailing list