max93
Well-Known Member
Hallo!
Ist es Absicht, dass pkg unter FreeBSD 9.3 jetzt nicht mehr funktioniert, wenn man ein eigenes Package Repository mit poudriere unterhält und per https darauf zugreift?
Ich erhalte seit dem Update auf FreeBSD 9.3 jetzt immer SSL-Fehler "Certificate verification failed" (wobei ich mir einbilde, dass es mit irgendeiner pkg Version zwischen 1.4.9 und 1.4.12 so funktioniert hat, wie ich es erwarten würde). Der https-Host verwendet ein Zertifikat, das mit meiner eigenen CA unterzeichnet ist. Ich habe jetzt auch einen Verteil-Mechanismus, der mir nach einem Update vom Port ca_root_nss die eigenen CAs an das File anhängt und diese neue Version auf alle Hosts verteilt.
Mir ist schon klar, dass fetch seit 10.1 bzw. 9.3 standardmäßig das Zertifikat überprüft - und das finde ich auch gut so! In der Manpage steht dazu, dass ohne Angabe von --ca-path oder --ca-file /etc/ssl/cert.pem verwendet wird. Der Link ist auf allen meinen Hosts auch da, aber pkg interessiert das offenbar nicht... Ich setze jetzt vor dem Aufruf von pkg die ENV-Variable SSL_CA_CERT_FILE=/etc/ssl/cert.pem als workaround. Aber meiner Meinung nach sollte man das entweder in der pkg.conf setzen können, oder pkg macht es einfach so, wie es in der manpage von fetch(1) bzw. fetch(3) drinsteht.
Sind das noch "Startschwierigkeiten", soll ich das irgendwo reporten? Wenn ja, dann eher im FreeBSD-Bugzilla oder beim pkg Github-Projekt?
Danke!
Markus
Ist es Absicht, dass pkg unter FreeBSD 9.3 jetzt nicht mehr funktioniert, wenn man ein eigenes Package Repository mit poudriere unterhält und per https darauf zugreift?
Ich erhalte seit dem Update auf FreeBSD 9.3 jetzt immer SSL-Fehler "Certificate verification failed" (wobei ich mir einbilde, dass es mit irgendeiner pkg Version zwischen 1.4.9 und 1.4.12 so funktioniert hat, wie ich es erwarten würde). Der https-Host verwendet ein Zertifikat, das mit meiner eigenen CA unterzeichnet ist. Ich habe jetzt auch einen Verteil-Mechanismus, der mir nach einem Update vom Port ca_root_nss die eigenen CAs an das File anhängt und diese neue Version auf alle Hosts verteilt.
Mir ist schon klar, dass fetch seit 10.1 bzw. 9.3 standardmäßig das Zertifikat überprüft - und das finde ich auch gut so! In der Manpage steht dazu, dass ohne Angabe von --ca-path oder --ca-file /etc/ssl/cert.pem verwendet wird. Der Link ist auf allen meinen Hosts auch da, aber pkg interessiert das offenbar nicht... Ich setze jetzt vor dem Aufruf von pkg die ENV-Variable SSL_CA_CERT_FILE=/etc/ssl/cert.pem als workaround. Aber meiner Meinung nach sollte man das entweder in der pkg.conf setzen können, oder pkg macht es einfach so, wie es in der manpage von fetch(1) bzw. fetch(3) drinsteht.
Sind das noch "Startschwierigkeiten", soll ich das irgendwo reporten? Wenn ja, dann eher im FreeBSD-Bugzilla oder beim pkg Github-Projekt?
Danke!
Markus