?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


Неочевидный косяк в EasyRSA
Cat-light
klink0v

Вместе с OpenVPN поставляется комплект shell-скриптов под названием "EasyRSA". Это такая простенькая кустарно-примитивная PKI, но со своей задачей вполне справляется. Сертификатики выпускает, отзывает, инвентаризирует. Но есть там некоторые "приколы", совершенно на первый взгляд неочевидные.

Список всех выпущенных сертификатов хранится в файле "index.txt" (так называемая TXT_DB) в нижеследующем формате.

Столбцы таблицы разделены символом "\t" (табуляция). Смысл каждого столбца (слева направо).


  1. Литера-признак. "V" - "valid", "R" - revoked, "E" - expired.

  2. Дата-время "протухания" сертификата в UTC.

  3. Дата-время, когда сертификат был отозван (если был). В моём примере отсутствует.

  4. Серийный номер сертификата в шеснадцатеричной системе счисления (HEX).

  5. Не используется (зарезервировано). Там всегда значится слово "unknown".

  6. Поле "Subject" сертификата.

Обычно оно вполне неплохо работает. Но есть нюансы. Например, если какой-то из сертификатов в некоторый момент времени "протух" естественным путём, и мы хотим выпустить ему на замену точно такой же, но с новым сроком годности, у нас возникнут проблемы. Потому что в наборе скриптов не предусмотрено логики, которая отслеживала бы истечение сроков и изменяла бы литеру-признак с "V" на "E". В результате при попытке сгенерировать сертификат OpenSSL абсолютно неинформативно выругается нам типа "error creating name index:(2,8,16)". Где первое число в скобках - код ошибки, второе и третье - номера "проблемных" строчек в index.txt, начиная с нуля.

Поправить можно очень просто: вручную пройти по табличке в файле "index.txt", найти там все протухшие сертификаты и заменить для них "V" на "E" в первом столбце. После этого никаких вопросов с перегенерацией не возникает.

Кстати, если кто-нибудь знает нормальную вменяемую PKI, пожалуйста поделитесь своими соображениями. Лично я пробовал в свое время PyCA и OpenXPKI. Ни та, ни другая не понавились по разным причинам.


Шиза с USB
Death
klink0v

Чё-то у меня начала с компом происходить странная ерунда. Подключаю к нему телефон. Он постоянно то отваливается, то снова поднимает линк. Пробую другой телефон. Аналогично. Пробую другой провод. То же самое. Перезагружаю всё на свете, вплоть до физического вытаскивания аккумуляторов и выключения из питания 220 Вольт. Не помогает. Пробую разные USB-порты. Эффекта нет.

Отчаявшись, беру третий USB-провод. Заработало. Сделал всё что хотел, отключил. Но что смущает.


  1. Раньше с этими же самими проводами всё работало без проблем.

  2. Такой глюкодром наблюдается не только с телефонами, но и с переносным жестким диском, хоть и сильно реже.

  3. В офисе у меня ничего подобного никогда не было. Только дома.

  4. Какое-то время тому назад (когда солнце было ярче и трава зеленее) никаких неприятностей не было и дома тоже. То есть всё всегда отрабатывало чётко и без вопросов.

  5. Что-то похожее я замечаю в дружественной организации, которую взял к себе на обслуживание. Там тоже одна специфическая железка работает исключительно с одним-единственным USB-удлинителем. Если её включить в любой другой разъём на любом другом устройстве, она начинает подобным образом "козлить".

Вот что это? Деградация проводов? Физический износ разъёмов? Высыхание конденсаторов где-нибудь на материнской плате? Проблемы с электропитанием? Какие-то программные сбои а-ля баг в firmware? Или что-то ещё?

Кто так пишет законы?!
Lozhkin
klink0v

Простая ситуация. Нужно уточнить размер госпошлины за совершение некоторого действия. В таком-то случае он прописан в одном кодексе и считается по одной формуле, а в сяком-то случае он встречается в другом кодексе и считается совсем по другой формуле. А чтобы выяснить какой же именно у тебя случай: такой или сякой, нужно перелопатить чёртову кучу различных законов и в конце концов найти ответ в третьем кодексе. Агррр!

Но это было бы ещё полбеды. У нас законы и поправки к ним выпускают со скоростью поноса. В результате твои прошлогодние сведения о законах стали уже неактуальны. И оказывается, в третий кодекс с нового года были внесены изменения, которые изменяют твой случай с "такого" на "сякой".

У меня нет слов, один мат. Ну неужели нельзя писать законы так, чтобы в них мог вкурить обычный человек? И чтобы не надо было содержать огромную армию тунеядцев и прихлебателей юристов и нотариусов для того, чтобы можно было совершать обычные гражданско-правовые сделки. Блин, ненавижу!

Давно бы уже пора eбнyть по Тбилиси сжечь все эти кодексы к xyям и написать вместо них один большой, нормальный, простой и понятный. Чтобы было всё логично и имела место нормальная древовидная структура ссылок без "воды" и ничего не значащих "бла-бла-бла". Не так давно переписывали гражданский кодекс. Но чё-то как-то херово переписали. Лучше не стало, только сильнее всех запутали.