Zertifikatsduplikate entfernen
Wer die "lästigen" Dubletten im certs-Verzeichnis loswerden möchte, dem möchte ich im folgenden eine Schritt-für-Schritt-Anleitung anbieten.
Eine WICHTIGE Anmerkung vorweg:
Es gibt in /usr/local/ssl/certs eventuell Zertifikatsduplikate die NICHT gelöscht werden dürfen; es handelt sich um die lokalen Zertifikate des eigenen Servers, z. B.
apache.pem
exim.pem
ipop3d.pem
imapd.pem
pure-ftpd.pem
eventuell weitere, die oft als Kopie eines vorhandenen Serverzertifikats oder als Link darauf angelegt wurden, statt für jeden lokalen Dienst ein eigenes Zertifikat anzulegen.
Und natürlich auch nicht das lokale ca.pem.
Bevor man sich ans Werk begibt, erstmal in Ruhe durchlesen.
Nun gehts los:
1. Update auf diese neue Version des certs-Paketes (>= 1.3.3)
2. Download des Mozilla-CA-Bundles über den Menüpunkt "Download ca certificate bundle" im certs-Menü.
3. Vorsichtige Naturen machen nun eine Kopie des Verzeichnisses /usr/local/ssl/certs.
4.
cd /root
/usr/bin/c_rehash /usr/local/ssl/certs 2> certdupes
Die Datei /root/certdupes enthält nun die Namen der Zertifikate, die nicht rehasht wurden, weil ein gleiches Zertifikat anderen Namens schon gehasht wurde, z.B.:
WARNING: Skipping duplicate certificate thawte.pem
WARNING: Skipping duplicate certificate thawte.pem
WARNING: Skipping duplicate certificate 12fa5cd4.pem
WARNING: Skipping duplicate certificate 12fa5cd4.pem
Jedes Duplikat taucht hierbei zweimal in der Liste auf.
Von diesen Zertifikaten löschen wir in einem ersten Schritt nur die Zertifikate, die genau 8 Zeichen vor dem "." haben und diese Zeichen sind 0-9 und a-f, also im obigen Beispiel 12fa5cd4.pem aus dem Verzeichnis /usr/local/ssl/certs.
thawte.pem passt nicht auf das Namensschema wird also nicht gelöscht, allerdings wird es noch ein weiteres Zertifikat gleichen Inhalts geben, dass wir möglicherweise loswerden wollen (Schritt 5).
Anstatt die Duplikate einzeln manuell zu löschen, können wir die Duplikatsliste certdupes auch in ein bash-Skript verwandeln, welches uns die Löscharbeit abnimmt:
Wir editieren nun die Datei certdupes:
Als erste Zeile "#!/bin/sh" einfügen (ohne Anführungsstriche).
Alle Zeilen löschen, deren Zertifikate erhalten bleiben sollen.
"WARNING: Skipping duplicate certificate " durch "rm /usr/local/ssl/certs/" ersetzen z. B. durch "Search and Replace" im mceditor. (wiederum ohne Anführungsstriche, aber zwingend das Leerzeichen hinter certificate, aber kein Leerzeichen am Ende des Ersetzungsstrings), so dass eine Löschzeile nun so aussieht:
rm /usr/local/ssl/certs/12fa5cd4.pem
Für Freunde der Kommandozeile hier nun ein sed-Kommando, um das "Search and Replace" durchzuführen:
sed -i 's#WARNING: Skipping duplicate certificate #rm /usr/local/ssl/certs/#' certdupes
Anschließend machen wir das Script ausführbar und starten es:
chmod 0755 ./certdupes
./certdupes
Anschließend rehashen wir erst mal wieder und löschen certdupes:
/var/install/bin/certs-update-hashes (Option 1 wählen)
rm certdupes
5.
Nun sind noch die übrigen Duplikate an der Reihe, die zwar im Schritt 3 auch als Duplikate erkannt wurden, von denen wir aber das andere Gegenstück entfernen wollen.
Bei diesem Schritt kann es beim Mailversand und Mailabholung zu temporären Problemen kommen, da kurzzeitig die Hash-Links auf nicht mehr existierende Zertifikate verweisen können - einfach ignorieren.
cd /root
Folgender Code in eine Datei (z. B. finddupes) im Verzeichnis des Users root speichern und mit chmod 0755 ausführbar machen:
#!/bin/sh
files=`ls /usr/local/ssl/certs/*.pem`
for f in $files ; do
mdsum=`openssl x509 -in $f -noout -fingerprint -md5`
echo "${mdsum} : ${f}"
done
Nun folgende Befehlszeile ausführen:
./finddupes | sort > certdupes
certdupes enthält nun z. B.:
MD5 Fingerprint=18:98:C0:D6:E9:3A:FC:F9:B0:F5:0C:F7:4B:01:44:17 : /usr/local/ssl/certs/certSIGN_ROOT_CA.pem
MD5 Fingerprint=1B:2E:00:CA:26:06:90:3D:AD:FE:6F:15:68:D3:6B:B3 : /usr/local/ssl/certs/e1fa5d90.pem
MD5 Fingerprint=1B:2E:00:CA:26:06:90:3D:AD:FE:6F:15:68:D3:6B:B3 : /usr/local/ssl/certs/ePKI_Root_Certification_Authority.pem
MD5 Fingerprint=1D:35:54:04:85:78:B0:3F:42:42:4D:BF:20:73:0A:3F : /usr/local/ssl/certs/AddTrust_External_Root.pem
MD5 Fingerprint=AA:8E:5D:D9:F8:DB:0A:58:B7:8D:26:87:6C:82:35:55 : /usr/local/ssl/certs/1af45ce.pem
MD5 Fingerprint=AA:8E:5D:D9:F8:DB:0A:58:B7:8D:26:87:6C:82:35:55 : /usr/local/ssl/certs/Juur-SK.pem
MD5 Fingerprint=AA:8E:5D:D9:F8:DB:0A:58:B7:8D:26:87:6C:82:35:55 : /usr/local/ssl/certs/Juur.pem
MD5 Fingerprint=AA:C6:43:2C:5E:2D:CD:C4:34:C0:50:4F:11:02:4F:B6 : /usr/local/ssl/certs/D-TRUST_Root_Class_3_CA_2_EV_2009.pem
Hier suchen wir nun die Zertifikate, die den gleichen Fingerprint aufweisen; wegen des sort-Befehls stehen die immer untereinander.
Von den Zertifikaten gleichen Fingerprints brauchen wir nur jeweils eines.
Wenn eines davon einen aussagekräftigen Namen das andere aber wieder nur aus genau 8 Zeichen (0-9, a-f) besteht, ist die Sache klar:
e1fa5d90.pem
ePKI_Root_Certification_Authority.pem
Hier wird e1fa5d90.pem aus /usr/local/ssl/certs gelöscht.
Bei den drei gleichen Zertifikaten
1af45ce.pem
Juur-SK.pem
Juur.pem
kann 1af45ce.pem aus /usr/local/ssl/certs gelöscht werden.
Zwischen Juur-SK-pem und Juur.pem entscheiden wir uns nun anhand der Dateiliste des Mozillabundles (/usr/local/ssl/mozillabundle.txt).
Die Datei Juur-SK.pem taucht in der Bundleliste auf und bleibt stehen, Juur.pem wird gelöscht.
Gibt es keinen der Namen in der Mozilla-Bundleliste entscheidet man sich nach persönlichen Geschmack für oder gegen einen Dateinamen. Es handelt sich hierbei um Zertifikate, die selbst mal downgeloadet wurden oder aus dem alten ca-Bundle stammen. Aber auch von diesen reicht eines.
Nun wieder rehashen und certdupes entfernen:
/var/install/bin/certs-update-hashes (Option 1 wählen)
rm certdupes
6. Im certs-Menu rufen wir nun noch den Punkt "Update revocation list(s)" auf (der braucht schon eine Weile - Ruhe bewahren).