Certificate Chains aktualisieren

  • Hi,


    aktuell laeuft Liveconfig in Version 1.5.1-r1754. Ich wuerde gerne ein Certificate Chain aktualisieren. Die Aenderung wird angenommen und ist daraufhin auch per "CA anzeigen" sichtbar, jedoch schlaegt sich die Aktualisierung nicht im Dateisystem nieder. Beobachte ich /etc/ssl/certs/*-ca.crt, so erfahren die Dateien keine Aenderung.


    In aller "Verzweifelung" habe ich schonmal einen Thawte Chain gegen den von Geotrust getauscht. Mein eigentliches Ziel ist die Reihenfolge von den zwei Zertifikaten im Thawte Chain zu drehen, um Anwendungen zufrieden zu stellen, die gegen eine TLS-Implementierung gebaut wurden und nicht auf OpenSSL setzen.


    off-topic: Dieses Problem wird damit geloest.


    Code
    git clone https://gitserver/git/test.git
    Cloning into 'test'...
    error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none while accessing https://gitserver/git/test.git/info/refs
    fatal: HTTP request failed
  • Hallo,


    so wie es aussieht werden nach Änderungen an den SSL-Zertifikaten die entsprechenden Dateien nicht automatisch auf dem Server aktualisiert (werden wir mal im Code prüfen).
    Kurzfristiges Workaround: öffnen Sie einfach die Domaineinstellungen der mit SSL konfigurierten (Sub-)Domain und klicken dort einfach noch mal auf "speichern" (ohne irgendeine Einstellung zu ändern). Dabei wird automatisch die SSL-Zertifikatsdatei neu geschrieben.


    Der o.g. Fehler hängt aber vielleicht nicht mit der Reihenfolge im CA-Cert zusammen, sondern eher an fehlenden CA-Zertifikaten auf dem "Client"-Server (also dort wo Sie den git-Befehl eingeben). Führen Sie dort bitte einfach mal "aptitude install ca-certificates" aus.


    Viele Grüße


    -Klaus Keppler

  • Sollte man glauben, ja. ;) Aber leider hat GnuTLS ein Problem mit Intermediate certificate chain files, was zu so manchem Kopfzerbrechen fuehren kann. Hier ein Beispiel:



    funktioniert also. Dann einmal drehen:



    Git verweigert an diese Stelle seinen Dienst. Der GnuTLS-Client beendet an dieser Stelle auch die Verbindung. Anfangs hatte ich Angst, dass LiveConfig automatisch die Zertifikate sortiert - dies ist gluecklicherweise nicht der Fall.


    Gruss ksmx

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!