On 01/10/2021 00:18, Dan Lukes wrote:
Trochu jsem se v tom ztratil. Ten cert.pem je na SSL serveru nebo na klientovi ? Fetch je urcite klient a spravne rve, ze certifikat v chainu je expirovany (sel by ale spoustet s parametrem, ze to nema kontrolovat).
Asi jsem to spatne popsal, fetch probiha na tom samem stroji, na kterem bezi i ten webserver, taha se tim server-status stranka z webserveru a na zaklade vystupu se generuji nejake statistiky. (ano, slo by to bez HTTPS, ale protoze to do ted s HTTPS fungovalo, tak jsem chtel resit, proc to ted nejde...)
Klicovy soubor ca_root_nss je /usr/local/share/certs/ca-root-nss.crt
Ano, ten mam symlinkovany do /usr/local/etc/ssl/cert.pem
Rozdilne verze FreeBSD znamenaji rozdilne verze systemoveho openssl a to muze znamenat odchylky v popsanem algoritmu. Namatkou me napada (neoveroval jsem ale zda se chovani openssl v danem aspektu skutecne mezi verzemi zmenilo):
Rekl bych, ze potrebujes upravit /usr/local/etc/ssl/cert.pem
Zkousel jsem tam zakomentovat ten expirovany, zkousel jsem tam i pridat to, co je soucasti fullchain na webserveru, ale podle toho pospisu, co jsem pridal do predchozi zpravy, bych proste musel zmenit ten chain na webserveru a pak prestanou fungovat stary Android klienti.
Coz nemusi nutne znamenat, ze tam das aktualni certifikat. Pokud mezilehle certifikaty posila server, je lepsi je na klientovi ze souboru nevkladat.
Tohle jeste prozkoumam. Diky Mirek -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
