[devel] RFC: ca-certificates a la Fedora

[Mikhail Efremov]

On Fri, 29 Dec 2017 19:08:26 +0300 Dmitry V. Levin wrote:
> On Fri, Dec 29, 2017 at 06:53:38PM +0300, Dmitry V. Levin wrote:
> > On Fri, Dec 29, 2017 at 06:38:37PM +0300, Mikhail Efremov wrote:  
> > > В p11-kit-trust запакована альтернатива для libnssckbi.so с весом
> > > 30, соответственно в libnss должна быть альтернатива с весом
> > > меньше. Подпакет p11-kit-checkinstall в %post выполняет проверку
> > > на совместимость libnssckbi.so и p11-kit-trust.so, сравниваются
> > > списки названий выводимых сертификатов. Но ошибка в %post не
> > > мешает установить пакет, так что узнать о проблеме можно только
> > > из лога.  
> > 
> > При ошибке в %post пакет устанавливается, но rpm должен завершаться
> > с ненулевым статусом, означающим, что что-то пошло не так.
> > 
> > По крайней мере, старый добрый rpm вёл себя именно так.

А, я не посмотрел с каким статусом завершился rpm.
   
> > > Там надо что-то писать если проверка успешна, кстати?  
> > 
> > Зачем?

Ну, я и не стал. Но мало ли, может грепать удобно.

> > > В пакете libnss-checkinstall нужно будет просто поставить
> > > зависимость на p11-kit-checkinstall.
> > > Я расшарил таск, там еще должны быть как минимум libnss с
> > > альтернативой и ca-gost-certificates*.  
> > 
> > Обновление пакета filesystem тоже туда добавить, или отправить
> > отдельно?  
> 
> При добавлении каталогов /etc/pki и /usr/share/pki в пакет filesystem
> все остальные пакеты должны перестать это делать, иначе sisyphus_check
> найдёт в них filesystem intersections.

В ca-trust они не пакуются, /etc/pki принадлежит libnss. Можно
действительно filesystem в тот же таск для ясности.

-- 
WBR, Mikhail Efremov