[devel] RFC: ca-certificates a la Fedora
Dmitry V. Levin
ldv на altlinux.org
Пт Дек 29 18:53:38 MSK 2017
On Fri, Dec 29, 2017 at 06:38:37PM +0300, Mikhail Efremov wrote:
> On Fri, 22 Dec 2017 02:21:33 +0300 Mikhail Efremov wrote:
> > On Thu, 21 Dec 2017 18:48:16 +0300 Mikhail Efremov wrote:
> > > Hello!
> > >
> > > Я сейчас готовлю ca-certificates (сегодня сделаю тестовое задание)
> > > с
> >
> > #197295
>
> Таск обновлен:
> update-ca-trust вынесен в отдельный пакет ca-trust, в ca-certificates
> остался только бандл в формате p11-kit. Кроме того update-ca-trust
> теперь просто запускает хуки /usr/libexec/ca-trust/update.d/*.hook,
> которые и выполняют всю работу. Подпакет ca-trust-java заменяет
> ca-certificates-java с его сертификатами 2011 года.
Наконец-то!
> В p11-kit-trust запакована альтернатива для libnssckbi.so с весом 30,
> соответственно в libnss должна быть альтернатива с весом меньше.
> Подпакет p11-kit-checkinstall в %post выполняет проверку на
> совместимость libnssckbi.so и p11-kit-trust.so, сравниваются списки
> названий выводимых сертификатов. Но ошибка в %post не мешает установить
> пакет, так что узнать о проблеме можно только из лога.
При ошибке в %post пакет устанавливается, но rpm должен завершаться
с ненулевым статусом, означающим, что что-то пошло не так.
По крайней мере, старый добрый rpm вёл себя именно так.
> Там надо что-то писать если проверка успешна, кстати?
Зачем?
> В пакете libnss-checkinstall нужно будет просто поставить зависимость
> на p11-kit-checkinstall.
> Я расшарил таск, там еще должны быть как минимум libnss с альтернативой
> и ca-gost-certificates*.
Обновление пакета filesystem тоже туда добавить, или отправить отдельно?
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 801 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20171229/95c1b752/attachment.bin>
Подробная информация о списке рассылки Devel