Hi, ich habe einen Service -mit einem Zertifikat meiner lokalen CA- auf einem Rechner laufen und möchte von einem anderen Rechner per wget darauf zugreifen. Das klappt von diversen Hosts prima. Nur bei einer Susi hakt es. Wohin muss ich das Zertifikat der lokalen CA auf dem Zielrechner kopieren damit wget das automatisch (also ohne explizite Angabe des Pfades oder gar des Zertifikates) nutzt? Aktuell liegt es in /etc/ssl/certs. update-ca-alternatives und c_rehash bringen keinen Erfolg. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 23 Sep 2020 08:52:33 +0200 Bernd Nachtigall <bnacht@web.de> wrote:
Wohin muss ich das Zertifikat der lokalen CA auf dem Zielrechner kopieren damit wget das automatisch (also ohne explizite Angabe des Pfades oder gar des Zertifikates) nutzt?
Aktuell liegt es in /etc/ssl/certs. update-ca-alternatives und c_rehash bringen keinen Erfolg.
Wie das aktuell bei opensuse vorkonfiguriert ist, weiß ich nicht, aber es gibt eine Option ca-directory, die wget mitgegeben werden kann. Kann aber wohl auch in der /etc/wgetrc (ca_directory?) hinterlegt werden. Eigentlich nimmt wget den CA-Pfad von openssl, wenn nichts weiter angegeben wird, aber wenn in /etc/wgetrc (oder im user-spezifischen Pendant) die oben genannte Option drinsteht, hat diese Vorrang. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Bernd Nachtigall schrieb:
Wohin muss ich das Zertifikat der lokalen CA auf dem Zielrechner kopieren damit wget das automatisch (also ohne explizite Angabe des Pfades oder gar des Zertifikates) nutzt?
Aktuell liegt es in /etc/ssl/certs. update-ca-alternatives und c_rehash bringen keinen Erfolg.
Das Zertifikat auf /var/lib/ca-certificates/pem schreiben und "c_rehash ." machen führen bei mir normalerweise zum Erfolg. :-) Allerdings sollte /etc/ssl/certs ein Softlink auf /var/lib/ca-certificates/pem sein (zumindest ist es bei mir so), so dass Dein Vorgehen eigentlich auch hätte funktionieren müssen. Fehlt eventuell noch ein Intermediate? -- Manfred Härtel, DB3HM mailto:Manfred.Haertel@rz-online.de http://rz-home.de/mhaertel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 23. September 2020, 08:52:33 CEST schrieb Bernd Nachtigall:
(...). Wohin muss ich das Zertifikat der lokalen CA auf dem Zielrechner kopieren damit wget das automatisch (also ohne explizite Angabe des Pfades oder gar des Zertifikates) nutzt? (...).
Ich hab meins nach /etc/pki/trust/anchors/ gepackt. Siehe auch man update-ca-certificates Gruß Jan -- By perseverance, the snail reached the ark. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 23.09.20 um 08:52 schrieb Bernd Nachtigall:
Hi,
ich habe einen Service -mit einem Zertifikat meiner lokalen CA- auf einem Rechner laufen und möchte von einem anderen Rechner per wget darauf zugreifen. Das klappt von diversen Hosts prima. Nur bei einer Susi hakt es.
Wohin muss ich das Zertifikat der lokalen CA auf dem Zielrechner kopieren damit wget das automatisch (also ohne explizite Angabe des Pfades oder gar des Zertifikates) nutzt?
Aktuell liegt es in /etc/ssl/certs. update-ca-alternatives und c_rehash bringen keinen Erfolg.
Danke für eure Tipps! Nur für die Akten (und die, die hier evtl. mal was suchen): Seit einiger Zeit werden von einigen Applikationen Zertifikate die keinen FQDN als 'Alternative Subject Name' eingetragen haben (sondern nur den FQDN im CN stehen haben), nicht mehr anerkannt. Bei nachdem ich das Zertifikat korrigiert hatte, lief es es sollte. Schönen Sonntag Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Bernd Nachtigall
-
Jan Ritzerfeld
-
Manfred Haertel, DB3HM
-
Tobias Crefeld