[devel] RFC: ca-certificates a la Fedora

Dmitry V. Levin ldv на altlinux.org
Пт Дек 29 19:08:26 MSK 2017 

On Fri, Dec 29, 2017 at 06:53:38PM +0300, Dmitry V. Levin wrote:
> On Fri, Dec 29, 2017 at 06:38:37PM +0300, Mikhail Efremov wrote:
> > On Fri, 22 Dec 2017 02:21:33 +0300 Mikhail Efremov wrote:
> > > On Thu, 21 Dec 2017 18:48:16 +0300 Mikhail Efremov wrote:
> > > > Hello!
> > > > 
> > > > Я сейчас готовлю ca-certificates (сегодня сделаю тестовое задание)
> > > > с  
> > > 
> > > #197295
> > 
> > Таск обновлен:
> > update-ca-trust вынесен в отдельный пакет ca-trust, в ca-certificates
> > остался только бандл в формате p11-kit. Кроме того update-ca-trust
> > теперь просто запускает хуки /usr/libexec/ca-trust/update.d/*.hook,
> > которые и выполняют всю работу. Подпакет ca-trust-java заменяет
> > ca-certificates-java с его сертификатами 2011 года.
> 
> Наконец-то!
> 
> > В p11-kit-trust запакована альтернатива для libnssckbi.so с весом 30,
> > соответственно в libnss должна быть альтернатива с весом меньше.
> > Подпакет p11-kit-checkinstall в %post выполняет проверку на
> > совместимость libnssckbi.so и p11-kit-trust.so, сравниваются списки
> > названий выводимых сертификатов. Но ошибка в %post не мешает установить
> > пакет, так что узнать о проблеме можно только из лога.
> 
> При ошибке в %post пакет устанавливается, но rpm должен завершаться
> с ненулевым статусом, означающим, что что-то пошло не так.
> 
> По крайней мере, старый добрый rpm вёл себя именно так.
> 
> > Там надо что-то писать если проверка успешна, кстати?
> 
> Зачем?
> 
> > В пакете libnss-checkinstall нужно будет просто поставить зависимость
> > на p11-kit-checkinstall.
> > Я расшарил таск, там еще должны быть как минимум libnss с альтернативой
> > и ca-gost-certificates*.
> 
> Обновление пакета filesystem тоже туда добавить, или отправить отдельно?

При добавлении каталогов /etc/pki и /usr/share/pki в пакет filesystem
все остальные пакеты должны перестать это делать, иначе sisyphus_check
найдёт в них filesystem intersections.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 801 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20171229/fc17e638/attachment.bin>

Подробная информация о списке рассылки Devel