problem s fetch a SSL/TLS certifikaty

[Miroslav Lachman]

On 01/10/2021 12:18, Cejka Rudolf wrote:
> Miroslav Lachman wrote (2021/10/01):
>>> Klicovy soubor ca_root_nss je /usr/local/share/certs/ca-root-nss.crt
>> Ano, ten mam symlinkovany do /usr/local/etc/ssl/cert.pem
> 
> Ahoj, jako hack pro staré openssl, které do chainu vkládá i prošlé
> certifikáty, mažu symlink /etc/ssl/cert.pem (nebo reinstaluju port
> ca_root_nss bez ETCSYMLINK) a systémové
> /usr/share/certs/trusted/DST_Root_CA_X3.pem a /etc/ssl/certs/2e5ac55d.0
> a mám pokoj. Na /usr/local/etc/ssl/cert.pem jsem zatím sahat nemusel.


Ahoj a diky za podstatne info. Uz se mi to podarilo rozchodit.
Cestu /usr/share/certs/trusted ani /etc/ssl/cert na FreeBSD 11.4 nemam, 
ale ten symlink /etc/ssl/cert.pem tam byl a to asi delalo ty potize.
Takze symlink jsem zrusil, do /usr/local/etc/ssl/cert.pem zkopiroval to, 
co bylo v /usr/local/share/certs/ca-root-nss.crt a v tom cert.pem pak 
zakomentoval stary certifikat DST Root CA X3.

V ten okamzik zacal fungovat fetch, ale jak me pak jeste jeden klient 
upozornil, nefunguje curl. Curl si totiz bere rovnou 
/usr/local/share/certs/ca-root-nss.crt (co jsem se o tom docelt, tak 
kdyz se pri buildu nenastavi --with-ca-bundle=, pouzije se nejaky 
autoconfigure. Nezkoumal jsem, jak presne je to v portech, ale proste 
curl nebere /usr/local/etc/ssl/cert.pem

Takze aby fungoval i curl, zkopiroval jsem ten svuj upraveny 
/usr/local/etc/ssl/cert.pem i do /usr/local/share/certs/ca-root-nss.crt 
(takze pkg check bude hlasit checksum mismatch, ale to uz me netrapi)

Mirek