problem s fetch a SSL/TLS certifikaty

[Miroslav Lachman]

On 01/10/2021 00:18, Dan Lukes wrote:

> Trochu jsem se v tom ztratil. Ten cert.pem je na SSL serveru nebo na 
> klientovi ? Fetch je urcite klient a spravne rve, ze certifikat v chainu 
> je expirovany (sel by ale spoustet s parametrem, ze to nema kontrolovat).

Asi jsem to spatne popsal, fetch probiha na tom samem stroji, na kterem 
bezi i ten webserver, taha se tim server-status stranka z webserveru a 
na zaklade vystupu se generuji nejake statistiky. (ano, slo by to bez 
HTTPS, ale protoze to do ted s HTTPS fungovalo, tak jsem chtel resit, 
proc to ted nejde...)

> Klicovy soubor ca_root_nss je /usr/local/share/certs/ca-root-nss.crt

Ano, ten mam symlinkovany do /usr/local/etc/ssl/cert.pem

> Rozdilne verze FreeBSD znamenaji rozdilne verze systemoveho openssl a to 
> muze znamenat odchylky v popsanem algoritmu. Namatkou me napada 
> (neoveroval jsem ale zda se chovani openssl v danem aspektu skutecne 
> mezi verzemi zmenilo):

> Rekl bych, ze potrebujes upravit /usr/local/etc/ssl/cert.pem

Zkousel jsem tam zakomentovat ten expirovany, zkousel jsem tam i pridat 
to, co je soucasti fullchain na webserveru, ale podle toho pospisu, co 
jsem pridal do predchozi zpravy, bych proste musel zmenit ten chain na 
webserveru a pak prestanou fungovat stary Android klienti.

> Coz nemusi nutne znamenat, ze tam das aktualni certifikat. Pokud 
> mezilehle certifikaty posila server, je lepsi je na klientovi ze souboru 
> nevkladat.

Tohle jeste prozkoumam.

Diky

Mirek