Перегенерация кореневого сертификата
Подходит время на expire кореневого сертификата. Как можно безболезненно перегенерировать новый? Дело в том, что клиентов много, и всем заново генерировать новые - не выход. Сертификат используется для доступа к сайту. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fbe1cbe.1080...@lissyara.su
Re: Перегенерация кореневого сертификата
On Thu, May 24, 2012 at 02:34:22PM +0300, skeletor wrote: > Подходит время на expire кореневого сертификата. Как можно > безболезненно перегенерировать новый? openssl req -key root.key -out newroot.csr openssl ca -in newroot.csr ... И, помнится, это был не единственный способ с openssl. Перед этим очистить базу сертификатов от старого корневого, чтобы обойти защиту от дублирования. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/2012052415.gx7...@protva.ru
Re: Перегенерация кореневого сертификата
Eugene Berdnikov -> debian-russian@lists.debian.org @ Thu, 24 May 2012 16:22:25 +0400: >> Подходит время на expire кореневого сертификата. Как можно >> безболезненно перегенерировать новый? EB> openssl req -key root.key -out newroot.csr EB> openssl ca -in newroot.csr ... EB> И, помнится, это был не единственный способ с openssl. EB> Перед этим очистить базу сертификатов от старого корневого, EB> чтобы обойти защиту от дублирования. Надо сказать, по клиентам все равно раскидан старый, который благополучно заэкспайрится. По крайней мере новый надо будет на них раскидывать. Ну и, в общем, надо проверить, будут ли подписи, сделанные на старом, проверяться на новом. Теоретически да, а практически я не помню, будет ли у нового в точности такой же идентификатор. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87sjep912d@wizzle.ran.pp.ru
Re: Сетевуха работает только в promisc режиме
23.05.2012 23:12, Eugene Berdnikov пишет: > On Wed, May 23, 2012 at 07:48:36PM +0400, "Артём Н." wrote: >> Логи приложил. Первый (log0), когда сеть не поднялась после hibernation. >> Второй (log1), я перезагрузился (nm был включен, networking выключен), >> сеть не работала. Установил адаптер в promisc и запустил networking. >> Без этого: >> "~# sh ss.sh >> 1: lo: mtu 16436 qdisc noqueue state UNKNOWN >> link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 >> inet 127.0.0.1/8 brd 127.255.255.255 scope host lo >> inet6 ::1/128 scope host >>valid_lft forever preferred_lft forever >> 2: eth0: mtu 1500 qdisc pfifo_fast state UP >> qlen 1000 >> link/ether aa:00:04:00:0a:04 brd ff:ff:ff:ff:ff:ff >> inet6 fe80::a800:4ff:fe00:a04/64 scope link >>valid_lft forever preferred_lft forever >> RTNETLINK answers: Network is unreachable >> connect: Network is unreachable >> RTNETLINK answers: Network is unreachable >> connect: Network is unreachable" > > Это совсем нерабочая конфигурация: даже ip-адреса на eth0 нет... Это было до запуска скрипта networking (точнее, после запуска, при отключенном promisc). Во втором логе я привёл уже "рабочую". > По логам: тяжёлый случай. Первой рекомендацией будет поставить ядро 3.2.0 > из дистрибутива. Слишком много странностей, нужно сократить круг поиска. > Второй будет поставить в машину дополнительную сетевушку и попробовать её. > > Наконец, предлагаю ещё раз получить нерабочее состояние системы и > запустить немного изменённый скрипт. > > ip addr list > ip route list > ip link set dev eth0 promisc off > ip route flush cache > ip nei flush dev eth0 > ip -s nei list > ip -s -t mon all > ipmon.log & > tcpdump -nUlep -i eth0 -w dump.pcap arp or icmp & > sleep 1 > ip route get 192.168.1.1 > date +%T.%N > ping -n -c2 192.168.1.1 > ip -s nei list > sleep 1 > date +%T.%N > ping -n -c2 192.168.1.2 > ip link set dev eth0 promisc on > ip route flush cache > ip nei flush dev eth0 > ip route list > ip -s nei list > ip route get 192.168.1.1 > date +%T.%N > ping -n -c2 192.168.1.1 > ip -s nei list > sleep 1 > ip link set dev eth0 promisc off > killall tcpdump > killall ip > Пришлите выдачу этого скрипта, а также образовавшиеся файлики > ipmon.log и dump.pcap. В пятницу-субботу сделаю (сейчас просто не до этого). А имеется ли техническая возможность повредить сетевуху, при перепрошивке BIOS flashrom-ом? Или это может быть глючный новый BIOS? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fbe56e8.7000...@yandex.ru
Re: Сетевуха работает только в promisc режиме
On Thu, May 24, 2012 at 07:42:32PM +0400, "Артём Н." wrote: > А имеется ли техническая возможность повредить сетевуху, при перепрошивке BIOS > flashrom-ом? Или это может быть глючный новый BIOS? Думаю, интегрированное оборудование повредить вполне возможно. Я не удивлюсь, если eeprom той интегрированной карточки -- это не отдельная микросхема, а часть eeprom'а материнской платы, который хранит в себе BIOS. Судя по тем макам, которые сохранились в кэше udev'а, изначально чип был произведён ASUStek'ом (охотно верю), потом поле вендора сменилось на "SercoNet Ltd, ISRAEL" (как-то стрёмно), а сейчас там значится aa:00:04 -- это покойник, Digital Equipment Corporation, который давно изернетин не производит, тем более риалтековских. То, что ethtool не идентифицирует чип, тоже очень подозрительно. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120524163732.gt3...@sie.protva.ru
