O Solaris não atualizará porque a incorporação de ddt está usando um certificado auto-assinado

3

Estou tentando atualizar meu sistema Solaris 11.3 x86. O software hasSun / Oracle do sistema, incluindo o Sun Developer Studio e o servidor Sun SSH. Ele não tem outros softwares, e eu não tenho nada em /usr/local .

Estou percebendo esse erro:

$ sudo pkg update
Creating Plan (Package planning:  1/10): -
pkg update: Chain was rooted in an untrusted self-signed certificate.
The package involved is pkg://solaris/consolidation/ddt/[email protected],0.5.11-11.4.0.0.1.11.0:20180718T212443Z

De acordo com o Embalagem e entrega de software com o sistema de embalagem de imagem | Certificado auto-assinado não confiável , os documentos dizem que é devido ao uso de um certificado OpenSSL auto-assinado. Outra página semelhante é Como solucionar problemas de pacotes assinados , mas ele refaz a página anterior e não adiciona nada novo . Os documentos do Oracle sobre a atualização de um pacote estão em Atualização de um pacote , mas não parecem fornecer as informações que eu preciso.

O artigo da Sun não contém instruções passo a passo para esclarecer o problema. Estou tentando fazer com que o Solaris confie no certificado Sun, mas não posso ir além dos erros de uso:

$ sudo pkg set-publisher --approve-ca-cert  solaris/consolidation/ddt/ddt-incorporation
pkg set-publisher: requires a publisher name
Usage:
    pkg set-publisher [-Ped] [-k ssl_key] [-c ssl_cert]
        [-g origin_to_add|--add-origin=origin_to_add ...]
        [-G origin_to_remove|--remove-origin=origin_to_remove ...]
    ....

E:

$ sudo pkg set-publisher --approve-ca-cert  solaris/consolidation/ddt/ddt-incorporation sun
pkg set-publisher: Could not find /export/home/jwalton/solaris/consolidation/ddt/ddt-incorporation

Eu tentei outras combinações, como prefixar pkg:// e usar o nome completo, mas os problemas persistem.

Como obtenho além desse erro?

    
por jww 29.08.2018 / 05:27

4 respostas

3

Não é auto-assinado, mas não é assinado por uma autoridade de certificação que a versão do Solaris 11.3 GA conhece. O suporte para a nova autoridade de certificação é uma das razões pelas quais você precisa primeiro atualizar para o Solaris 11.3 SRU 23 ou posterior antes de poder atualizar para o Solaris 11.4, conforme documentado em as instruções de atualização .

    
por 29.08.2018 / 23:51
2

Acho que sei exatamente o que você está tentando fazer, mas você também falhará na próxima etapa, que é onde eu estou indo.

pkg (1) guarda uma cópia da cadeia de certificados em / var / pkg / publisher / (nome do publicador) / certs, assim você terá o certificado de assinatura e raiz em / var / pkg / publisher / solaris / certs . Copie o certificado raiz para o diretório do certificado de CA em / etc / certs / CA / e, em seguida, o pkg (1) confiará na cadeia de certificados.

No meu caso, é tão fácil quanto

cp /var/pkg/publisher/solaris/certs/370b6b4fba7b0ad472465ffe9377f8f6040b2cfd /etc/certs/CA/temp-solaris-object-signing.pem
svcadm restart system/ca-certificates

O próximo obstáculo que você encontrará é que pkg: //solaris/system/[email protected],5.11-11.4.0.0.1.15.0 tem uma dependência de imagem-raiz de origem em pkg: / system / core- [email protected] (consulte link para detalhes sobre dependências do pkg). Provavelmente há uma boa razão para isso ...

EDIT: o resto do que você provavelmente está tentando fazer é ...

Se você optar por ignorar essa bandeira vermelha gigante e não se importar com o fato de seu sistema Solaris 11.3 se tornar insuportável (provavelmente porque você não tem um contrato de suporte para baixar o 11.3SRU23), você pode fazer algo como:

pkgrecv -s /path/to/solaris11_4 -d /var/tmp/sol114 --raw pkg://solaris/system/[email protected],5.11-11.4.0.0.1.15.0:20180817T002753Z
vi /var/tmp/sol114/system%2Fcore-os/11.4%2C5.11-11.4.0.0.1.15.0%3A20180817T002753Z/manifest*

Remover a dependência:

depend fmri=pkg:/system/[email protected] root-image=true type=origin

Publique de volta ao seu repositório local:

pkgsend publish -s /path/to/solaris11_4 -d /var/tmp/sol114/system%2Fcore-os/11.4%2C5.11-11.4.0.0.1.15.0%3A20180817T0023Z/ /var/tmp/sol114/system%2Fcore-os/11.4%2C5.11-11.4.0.0.1.15.0%3A20180817T002753Z/manifest
pkgrepo -s /path/to/solaris11_4 rebuild

Em seguida, execute a atualização.

Você precisa garantir que / var / tmp esteja completamente vazio antes de atualizar porque parece criar um novo conjunto de dados ZFS para / var / tmp durante a atualização, caso contrário, parece funcionar bem com alguns erros corrigíveis. YMMV, eu testei isso em um antigo sistema SPARC T4-2 (não x86), então eu não sei se há outras peculiaridades em torno de atualizações do GRUB, etc.

    
por 12.09.2018 / 09:16
0

O comando a seguir instalará o 11.3 sru21 que instalará a nova autoridade de certificação. DDT-incorporação é um pacote de diagnóstico que tem explorador, etc.

pkg update --reject ddt-incorporação --aceite [email protected]

Mais tarde, você poderá instalar o pacote individual, se necessário, ou a atualização subsequente do pacote não falhará. pkg instala ddt-incorporação

    
por 14.11.2018 / 18:58
-1
pkg uninstall consolidation/ddt/ddt-incorporation support/explorer
    
por 29.08.2018 / 11:25