[devel] RFC: ca-certificates a la Fedora

[Mikhail Efremov]

On Sat, 23 Dec 2017 02:07:02 +0100 Alexey Gladkov wrote:
> On Sat, Dec 23, 2017 at 03:58:56AM +0300, Dmitry V. Levin wrote:
> > > Что делать, если тест провален ? Похоже это будет blocker для nss
> > > чему конечно я не рад :(  
> > 
> > Если тест провален, то есть два варианта: выключить тест или
> > исправить проблему.  А вот если теста нет, то как мы узнаем, что
> > эта связка вообще работает?  
> 
> Согласен.
> 
> > Если не хочется засорения сборочных зависимостей nss, могу
> > предложить другой вариант: запаковать в составе nss подпакет
> > что-нибудь-test, который в %post будет запускать скрипт,
> > выполняющий аналогичный тест.  
> 
> 2sem: Вы сможете сделать такой скрипт, тогда я добавлю его в пакет ?

Да, сделаю. Надо только написать в описании пакета, что он существует
только для install-test в сборочнице и его не нужно ставить в реальную
систему. Мне не слишком нравится, что в Сизифе будет такие пакеты, но
альтернатива - делать такую проверку в %check и libnss, и p11-kit. В
результате чего у них будут сборочные зависимости друг на друга, что
еще хуже.
Сам скрипт будет тривиальным, можно даже не проверять, что список
сертификатов чему-то соответствует, достаточно того, что он вообще есть:
чтобы заставить certutil вывести список CA-сертификатов даже из
libnssckbi.so - тоже приходится делать симлинк в /etc/pki/nssdb.
Вообще то, что certutil работает именно так, для меня выглядит дико. Но
может я просто не умею ею пользоваться.
Может есть какой-то другой, более надежный, но тоже простой способ
проверить использование libnssckbi.so/p11-kit-trust.so? Но я не нашел.

-- 
WBR, Mikhail Efremov