Univention Bugzilla – Bug 25788
ssl/validity/days überdenken
Last modified: 2012-12-12 21:08:51 CET
Die folgende Ausgabe: root@server:# ucr info ssl/validity/days ssl/validity/days: 18747 Number of days which the root certificate is valid Categories: system-ssl legt die Vermutung nahe, dass es sich bei dem Wert der Variablen um die Anzahl der Tage handelt, die das Zertifikat noch gültig ist. Diese Variable wird jeden Morgen durch einen Cronjob gesetzt, der diesen Wert ausrechnet. Ausserdem wird die Variable verwendet um z.B. per Nagios das Ablaufdatum zu überwachen und im UDM/UMC eine entsprechende Warnung anzuzeigen. Da kann angenommen werden, dass einfach die Variable ausgelesen wird. Leider stimmt das nicht. Der Wert der Variablen ist die Anzahl der Tage, seit 1.1.1970 bis zum Ablaufdatum des Zertifikats. Alle Routinen die diese Variable verwenden rechnen die echten Tage bis zum Ablauf selber aus, der Cronjob schreibt jeden Morgen denselben Wert in die Variablen. Das ist eher unübersichtlich. Könnte nicht entweder ganz auf die Variable verzichtet werden, sodass die Tools das Ablaufdatum selber aus dem Zertifikat holen und berechnen, oder in die Variable einmal jeden Morgen die Tage bis zum Ablauf geschrieben werden, damit der Wert einfach direkt verwendet werden kann, der Cronjob läuft ja sowieso? Solange weiter die Tage, seit 1.1.1970 bis zum Ablaufdatum in der Variablen stehen sollte auf jeden Fall die Beschreibung korrigiert werden.
Wenn beim Überdenken entschieden wird, ssl/validity/days beizubehalten, sollte nach dem Abschluss der Installation ggf. ein "univention-ssl-validity" ausgeführt und nicht erst bis zum nächsten cron.daily gewartet werden. Die Nagios-Meldung "UNKNOWN: unable to determine expire date - baseconfig variable ssl/validity/days is not set" hat mich zunächst etwas irritiert.
*** Bug 23044 has been marked as a duplicate of this bug. ***
Wenn das angepasst wird, sollte wenn möglich auch bug27002 umgesetzt werden.
UCS 3.1 will be the next release.
Die Beschreibung der neuen Variablen wurden angepasst. Number of days from the unix epoch (1970-01-01T00:00:00Z ISO 8601) to the expiry of the host certificate. /usr/sbin/univention-certificate-check-validity wird nun beim Join eines Rechners (am Ende von 20univention-join.inst) ausgeführt.
Changelog fehlt. Entweder an diesem Changelog Eintrag oder für Bug #27002 sollte stehen, dass die Variable umbenannt wurde.
Der Rest ist OK, im Join Skript (20univention-join.inst) werden die Werte gesetzt. Gut wäre wenn in der Beschreibung steht, dass die Werte automatisch vom System gesetzt werden.
Changelog angepasst.
Variablen-Beschreibung angepasst.
OK
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".