[devel] RFC: ca-certificates a la Fedora
Mikhail Efremov
sem на altlinux.org
Пт Дек 29 19:29:02 MSK 2017
On Fri, 29 Dec 2017 19:08:26 +0300 Dmitry V. Levin wrote:
> On Fri, Dec 29, 2017 at 06:53:38PM +0300, Dmitry V. Levin wrote:
> > On Fri, Dec 29, 2017 at 06:38:37PM +0300, Mikhail Efremov wrote:
> > > В p11-kit-trust запакована альтернатива для libnssckbi.so с весом
> > > 30, соответственно в libnss должна быть альтернатива с весом
> > > меньше. Подпакет p11-kit-checkinstall в %post выполняет проверку
> > > на совместимость libnssckbi.so и p11-kit-trust.so, сравниваются
> > > списки названий выводимых сертификатов. Но ошибка в %post не
> > > мешает установить пакет, так что узнать о проблеме можно только
> > > из лога.
> >
> > При ошибке в %post пакет устанавливается, но rpm должен завершаться
> > с ненулевым статусом, означающим, что что-то пошло не так.
> >
> > По крайней мере, старый добрый rpm вёл себя именно так.
А, я не посмотрел с каким статусом завершился rpm.
> > > Там надо что-то писать если проверка успешна, кстати?
> >
> > Зачем?
Ну, я и не стал. Но мало ли, может грепать удобно.
> > > В пакете libnss-checkinstall нужно будет просто поставить
> > > зависимость на p11-kit-checkinstall.
> > > Я расшарил таск, там еще должны быть как минимум libnss с
> > > альтернативой и ca-gost-certificates*.
> >
> > Обновление пакета filesystem тоже туда добавить, или отправить
> > отдельно?
>
> При добавлении каталогов /etc/pki и /usr/share/pki в пакет filesystem
> все остальные пакеты должны перестать это делать, иначе sisyphus_check
> найдёт в них filesystem intersections.
В ca-trust они не пакуются, /etc/pki принадлежит libnss. Можно
действительно filesystem в тот же таск для ясности.
--
WBR, Mikhail Efremov
Подробная информация о списке рассылки Devel