|
Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://theory.sinp.msu.ru/pipermail/ru-ngi/2014q2/001374.html
Дата изменения: Mon Jun 30 01:36:40 2014 Дата индексирования: Sun Apr 10 17:58:51 2016 Кодировка: |
Sun, Jun 29, 2014 at 07:50:21PM +0400, Vladimir Tikhomirov wrote:
> На одном из серверов (работает под SLC5/gLite) наблюдаеются проблемы по
> обновлению certificate revocation lists (CRL) при работе крона fetch-crl
> или ручном запуске, типа :
> fetch-crl[8215]: 20140629T185302+0400 verify failed for CRL issued by 'HKU
> Grid CA (4798da47)' (), downloaded from
> http://ca.grid.hku.hk/crl/cacrl.pem in file HKU.crl_url
> fetch-crl[8215]: 20140629T185304+0400 verify failed for CRL issued by
> 'INFN CA (2f3fadf6)' (), downloaded from
> http://security.fi.infn.it/CA/INFNCA_crl.der in file INFN-CA-2006.crl_url
> fetch-crl[8215]: 20140629T185310+0400 verify failed for CRL issued by
> 'MD-Grid CA (9ff26ea4)' (), downloaded from
> http://ca.grid.md/files/crl-v2.der in file MD-Grid.crl_url
>
> - всего для около двух десятков сертификатов. По большей части они мне не
> нужны, но вот INFN - нужен. Во всяких Wiki и Troubleshooting Guides
> говорится, что результат работы fetch-crl нужно проверять, но я нигде не
> могу найти - а что делать-то в случае подобных ошибок, как исправить
> ситуацию? Буду благодарен, если кто-то поделится знаниями по этому
> вопросу.
Проверять -- можно, например так:
{{{
$ curl -ks http://ca.grid.md/files/crl-v2.der | openssl crl -verify -CApath /etc/grid-security/certificates -inform DER -noout
verify OK
}}}
или прямо с указанием конкретного CA:
{{{
$ curl -ks http://ca.grid.md/files/crl-v2.der | openssl crl -verify -CAfile /etc/grid-security/certificates/MD-Grid.pem -inform DER -noout
verify OK
}}}
Если у вас, скажем, нет файла *.0 с правильным хешем, то первый метод
не сработает, а второй -- должен (если, конечно, всё хорошо с CRL).
В вашем случае пустые скобки после имени CA в сообщении об ошибке
говорят про то, что `openssl crl -verify ... 2>&1` не возвратил
ничего хорошего вообще. В связи с этим интересно, что скажет любая
из вышеуказанных команд вообще.
Если есть проблемы с протухшим CRL, то можно на соответствующий NGI
открыть билет, вставив в его Cc содержимое поля email из соответствующего
файла *.info в каталоге /etc/grid-security/certificates.
--
Eygene Ryabinkin, National Research Centre "Kurchatov Institute"
Always code as if the guy who ends up maintaining your code will be
a violent psychopath who knows where you live.