Arch Linux User Repository

@0x3axyz всегда пожалуйста, это опыт полезный для всех нас.

@plazotronik Провел исследование)
Добавил зависимость ca-certificates-utils, как в других пакетах с сертификатами (пр.:ca-certificates-mozilla)
Данный пакет содержит хук /usr/share/libalpm/hooks/40-update-ca-trust.hook, который отслеживает папку usr/share/ca-certificates/trust-source/* и запускает update-ca-trust.
В дополнительном запуске update-ca-trust не вижу смысла.
PS: следовать руководству для Red Hat Enterprise Linux при построении пакета для Archlinux так себе идея. PS2: @plazotronik, спасибо, что дергаешь меня, сам бы не скоро стал бы выяснять, как это автоприменение сертификатов работает

инструкции и руководства написаны не "от балды", а значит в этом есть смысл. сейчас работает (2/2) Rebuilding certificate stores..., а потом может просто перестать.

Изменил пути согласно руководству https://www.gosuslugi.ru/crt

@plazotronik

why not use "pem" *.crt?

В изначальном руководстве были *.cer-файлы в формате DER. Потом они чудесным образом превратились в формат PEM по тем же путям. Теперь пути обновились, а файлы остались теми же.

and please add to PKGBUILD before block "package()"

Хоть в руководстве и написано запустить update-ca-trust, но я не вижу смысла.
При установке/обновлении/удалении происходит (2/2) Rebuilding certificate stores..., этого не достаточно?
Я делал этот пакет глядя на другие пакеты с сертификатами, не увидел использования update-ca-trust.
Есть примеры когда без update-ca-trust сертификаты не подтянуться?

why not use "pem" *.crt?

wget  https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt
wget  https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt

and please add to PKGBUILD before block "package()"

cat > $pkgname.install << EOF
post_install() {
update-ca-trust
}
post_upgrade() {
update-ca-trust
}
EOF
install=$pkgname.install

and if you want to remove old cert - add this to block EOF

pre_install() {
rm -f /usr/share/ca-certificates/trust-source/anchors/russian_trusted_root_ca.cer
rm -f /usr/share/ca-certificates/trust-source/anchors/russian_trusted_sub_ca.cer
}
pre_upgrade() {
rm -f /usr/share/ca-certificates/trust-source/anchors/russian_trusted_root_ca.cer
rm -f /usr/share/ca-certificates/trust-source/anchors/russian_trusted_sub_ca.cer
}

or only in build dir

pre_install() {
rm -f "${pkgdir}/usr/share/ca-certificates/trust-source/anchors/russian_trusted_root_ca.cer"
rm -f "${pkgdir}/usr/share/ca-certificates/trust-source/anchors/russian_trusted_sub_ca.cer"
}
pre_upgrade() {
rm -f "${pkgdir}/usr/share/ca-certificates/trust-source/anchors/russian_trusted_root_ca.cer"
rm -f "${pkgdir}/usr/share/ca-certificates/trust-source/anchors/russian_trusted_sub_ca.cer"
}

сделано. Возможно надо будет удалить уже скаченные версии сертификатов в папке сборки.

Есть какой-то флаг повторного скачивания при сборке, если существующий файл не проходит проверку(обновился)?

пакет не собирается, нужно обновить хэш второго сертификата

сделано

Please, add sub certificate on url https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer to package too.