[devel] RFC: ca-certificates a la Fedora

[Dmitry V. Levin]

On Fri, Dec 29, 2017 at 06:38:37PM +0300, Mikhail Efremov wrote:
> On Fri, 22 Dec 2017 02:21:33 +0300 Mikhail Efremov wrote:
> > On Thu, 21 Dec 2017 18:48:16 +0300 Mikhail Efremov wrote:
> > > Hello!
> > > 
> > > Я сейчас готовлю ca-certificates (сегодня сделаю тестовое задание)
> > > с  
> > 
> > #197295
> 
> Таск обновлен:
> update-ca-trust вынесен в отдельный пакет ca-trust, в ca-certificates
> остался только бандл в формате p11-kit. Кроме того update-ca-trust
> теперь просто запускает хуки /usr/libexec/ca-trust/update.d/*.hook,
> которые и выполняют всю работу. Подпакет ca-trust-java заменяет
> ca-certificates-java с его сертификатами 2011 года.

Наконец-то!

> В p11-kit-trust запакована альтернатива для libnssckbi.so с весом 30,
> соответственно в libnss должна быть альтернатива с весом меньше.
> Подпакет p11-kit-checkinstall в %post выполняет проверку на
> совместимость libnssckbi.so и p11-kit-trust.so, сравниваются списки
> названий выводимых сертификатов. Но ошибка в %post не мешает установить
> пакет, так что узнать о проблеме можно только из лога.

При ошибке в %post пакет устанавливается, но rpm должен завершаться
с ненулевым статусом, означающим, что что-то пошло не так.

По крайней мере, старый добрый rpm вёл себя именно так.

> Там надо что-то писать если проверка успешна, кстати?

Зачем?

> В пакете libnss-checkinstall нужно будет просто поставить зависимость
> на p11-kit-checkinstall.
> Я расшарил таск, там еще должны быть как минимум libnss с альтернативой
> и ca-gost-certificates*.

Обновление пакета filesystem тоже туда добавить, или отправить отдельно?


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 801 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20171229/95c1b752/attachment.bin>