[ca-certificates-utils] Recommandation incorrect (Résolu)

[Backtoback]

Bonsoir à tous,

Je viens de mettre à jour mon système et la mise à jour de ca-certificates-utils recommande certaines actions qui ne correspondent pas exactement à ma conf, je me tourne donc vers vous pour ne pas faire de bétises.

Lors de la mise à jour, voici le message indiqué :

Code : Tout sélectionner

 mise à jour de ca-certificates-utils [##################################] 100%
  The way local CA certificates are handled has changed.
  If you have any:

  1. Move /usr/local/share/ca-certificates/*.crt to
     /etc/ca-certificates/trust-source/anchors/
  2. Do the same with all manually-added /etc/ssl/certs/*.pem files
     and rename them to *.crt
  3. Instead of `update-ca-certificates`, run `trust extract-compat`

Or, si j'effectue un petit find :

Code : Tout sélectionner

sudo find / -name "ca-certificates"
/usr/share/ca-certificates
/etc/ca-certificates

Le deuxième correspond au nouveau dossier.
Je suppose que je dois bien transferer le contenu du premier dans le deuxième, mais comme les chemins de la source différent, je me demande si j'ai raison. Peut etre qu'il y a une erreur dans la consigne (pour mon cas) ou peut etre que je n'ai pas de dossier ca-certificates dans le dossier /usr/local/share/ et que je ne dois pas toucher à celui dans /usr/share

J'attends vos avis.

Merci

B2B

[Moviuro]

Je suppose que je dois bien transferer le contenu du premier dans le deuxième, mais comme les chemins de la source différent, je me demande si j'ai raison. Peut etre qu'il y a une erreur dans la consigne (pour mon cas) ou peut etre que je n'ai pas de dossier ca-certificates dans le dossier /usr/local/share/ et que je ne dois pas toucher à celui dans /usr/share

Plop,

Je pense que ça ne concerne que les certificats custom ajoutés par toi sur ta machine (en gros, si tu as des certificats SSL personnels, genre pour un site en HTTPS hébergé par toi sans l'aval d'une autorité reconnue).

Aussi, que donne : pacman -Qo /usr/share/ca-certificates ?

++

[Backtoback]

Bonsoir,

Merci pour ta réponse.
Dans ce cas la, ils sont pas stockés là mais plutot dans /etc/ssl/certs non?
Du moins c'est la que je les stocke quand j'héberge un site Web.

Merci pour ton aide

[Backtoback]

up

[benjarobin]

Up ? Sérieusement ?! de plus as tu lu la news https://archlinux.fr/news/mise-a-jour-d ... rtificates ?

[Backtoback]

Le up était juste pour le remonter à la vue des gens qui avaient participé sur le forum récemment.

Désolé si cela t'a offusqué.

Oui j'ai lu la news, au final, elle n'est que la traduction du message en anglais de mon premier post, je n'y ai pas trouvé plus d'informations.

Encore une fois, dsl pour mon message précédent, je ne voulais pas paraître déplacer.

[FoolEcho]

Si tu as stocké des certificats personnels directement dans /usr/share/ca-certificates (et non dans /usr/local), vérifie le contenu de /etc/ca-certificates/trust-source/anchors/ (car à mon avis, il n'y aucune raison pour qu'il y ait eu un quelconque transfert de ceux-ci, à la différence de ceux fournis par des paquets). Même chose pour ce qui a été rajouté manuellement pour ssl, comme indiqué... je ne vois pas ce qui n'est pas clair...

Inutile de faire des ups de moins de 24h... faut quand même laisser le temps de lire (et perso à minuit je dors normalement...)...

[Backtoback]

Oui dsl pour le up. J'ai pas trop réfléchi, cela ne se reproduira plus

Voila ce que j'ai dans /usr/share/ca-certificates/trust-source :

anchors blacklist mozilla.neutral-trust.crt mozilla.supplement.p11-kit mozilla.trust.crt

ainsi que dans /usr/share/ca-certificates/trust-source/anchors :

CAcert.org_class3.crt CAcert.org_root.crt

Globalement c'est clair, je me demandais juste, comme mon chemin vers les certificats est un peu différent, s'il était aussi concerné, ou s'il fallait s'en tenir uniquement aux certificats présents dans les chemins donnés.

Comme je l'ai dit, c'était plus une confirmation que j'attendais

[Backtoback]

Bon, histoire de pas dire que je suis juste un connard qui harcèle les modos, je vais donner la commande qui permettra de renommer tous les .pem en .crt après les avoir tous mis dans le bon dossier :

Code : Tout sélectionner

ls *.pem | sudo awk '{print "mv " $1 " " $1}' | sudo sed s%.pem%.crt%2 | sudo bash

En espérant que ca puisse aider certains.

Sinon je profite de ce malheureux contentieux pour vous remercier pour votre travail et votre aide, que ce soit les modos ou les membres.

EDIT : Suppression d'un sudo inutile

[benjarobin]

Il ne faut surtout pas le prendre comme cela. Désolé de ne pas toujours être tendre, je suis apparemment un pète sec d'après certains...
Il ne faut pas se braquer, c'était une remarque très amicale, remarque certes sèche

Sinon l'utilisation abusive de sudo c'est mal...

[Backtoback]

Lol oui c'est vrai, il n'est pas utile partout, mais bon, la ca simplifiait les choses, le premier peut etre dégagé. Les autres à voir.

Sinon tkt pas je ne l'ai pas mal pris. J'avais peur que ca t'ai particulièrement énervé
J'ai été et suis admin de forum, j'ai été modo aussi, je sais ce que c'est donc je ne l'ai pas mal pris

[FoolEcho]

Voila ce que j'ai dans /usr/share/ca-certificates/trust-source :

anchors blacklist mozilla.neutral-trust.crt mozilla.supplement.p11-kit mozilla.trust.crt

ainsi que dans /usr/share/ca-certificates/trust-source/anchors :

CAcert.org_class3.crt CAcert.org_root.crt

Globalement c'est clair, je me demandais juste, comme mon chemin vers les certificats est un peu différent, s'il était aussi concerné, ou s'il fallait s'en tenir uniquement aux certificats présents dans les chemins donnés.

Comme je l'ai dit, c'était plus une confirmation que j'attendais

Eh bien tu rapatries ceux qui sont ailleurs... (ceux que tu indiques provenant des paquets concernés)

[Backtoback]

Je te remercie j'ai intégralement déplacer le dossier dans la nouvelle source ainsi que les .pem

J'espère que ca pourra aider quelqu'un qui se poserait la mm question.

[cherish]

hi, i met the same problem.

before update the system, in /usr/local/share/ca-certificates/ i have a certificate server.crt for another server B. And i could visit this server normally with https using openssl.

after i did pacman -Syu, i did as follows:

1.Move server.crt from /usr/local/share/ca-certificates/ to /etc/ca-certificates/trust-source/anchors/
2.trust extract-compat

from the official information, the second step is
"Do the same with all manually-added /etc/ssl/certs/*.pem files and rename them to *.crt",
since i has never generated some certificates by myself, i just do the two steps as i said.

now it doesn't work when i use openssl to visit the server B. the error is " error:num=18:self signed certificate".

could anyone tell me the solution? I have been tortured by this problem for half a month. Thank you in advance!

[FoolEcho]

1.Move server.crt from /usr/local/share/ca-certificates/ to /etc/ca-certificates/trust-source/anchors/
2.trust extract-compat

Mmmm... hi.
What returned trust extract-compat and the complete log when using openssl ?

Not sure what is wrong... however, I was a bit surprised by the news... mainly 'cause a .crt is not necessary the same thing than a .pem. (often but not always, what you can check by example using file )... what happens if you keep your server.crt rather than .pem and running trust ?

[cherish]

1.Move server.crt from /usr/local/share/ca-certificates/ to /etc/ca-certificates/trust-source/anchors/
2.trust extract-compat

Mmmm... hi.
What returned trust extract-compat and the complete log when using openssl ?

Not sure what is wrong... however, I was a bit surprised by the news... mainly 'cause a .crt is not necessary the same thing than a .pem. (often but not always, what you can check by example using file )... what happens if you keep your server.crt rather than .pem and running trust ?

thank you very much for your reply.
my case is i have two Raspbery pi A and B. i wanted A to connect B by https. before, i generated a serverB.crt in server B and then copied it to server A. it can work perfectly.

now i did as above after i did pacman -Syu.
i copied all the files in /usr/share/ca-certification/trust-source/ to /etc/ca-certificates/trust-source/
i copied all /etc/ssl/certs/*.pem files and rename them to *.crt
then i did trust extract-compat

now i still can't find corresponding serverB.pem in /etc/ssl/certs/ which is supposed to be in this folder if correctly.

[FoolEcho]

i copied all /etc/ssl/certs/*.pem files and rename them to *.crt

This step is only for the certificates manually added.
It differs from what you said before... what have you really done ?
(you should remove them since they are symbolic links and reinstall any ca-certificates packages you have)
(it won't help for your issue however... ... you should try again to add your certificate )