<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Oct 10, 2021, 10:38 Timo Aaltonen <<a href="mailto:tjaalton@debian.org">tjaalton@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 10.10.2021 18.41, Spencer Olson wrote:<br>
> Did some more investigation.  I downloaded the packages that are being <br>
> used on centos stream 8.  First I tried my test code with their version <br>
> of libssl3.so preloaded:  it failed in the same way as all the others <br>
> failed--not surprisingly since its version is much later than the 3.39 <br>
> version where this changed.<br>
> <br>
> Then, I downloaded and took a look at "dogtag-submit" from the CentOS <br>
> Stream 8 (RedHat) certmonger package.  As far as I can tell, their <br>
> version of "dogtag-submit" is *not* linked against libcurl-nss.so at all <br>
> like the version on debian sid.  Instead, all their certmonger helper <br>
> programs are linked against the OpenSSL version (libcurl.so.4).<br>
> <br>
> So, I think that we should just link these against the openssl version, <br>
> as the RedHat packages do and get things to work again.<br>
<br>
Hmm, thanks.. indeed certmonger is still built against libcurl4-nss-dev, <br>
I've changed it to openssl now and see how it goes against gitlab CI..<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div><div dir="auto">Maybe the CI will finish before I can get back to my testing.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
> This raises two other issues:<br>
> - is there truly a bug in the ssl portion of the nss library?  If so, <br>
> this should probably be brought to the attention.<br>
> - perhaps the libcurl package ought to be reconfigured such that one can <br>
> install the dev packages simultaneously.  Right now, libcurl-nss also <br>
> makes a symlink "libcurl.so" that makes it conflict with the <br>
> libcurl-openssl package to which the "libcurl.so.x.x" lib belongs to.  I <br>
> think that the libcurl-gnutls package might do the same thing.<br>
> <br>
> My next step will be do rebuild freeipa and certmonger with the <br>
> libcurl-openssl-dev package in place instead of the libcurl-nss-dev and <br>
> then try reinstalling.<br>
<br>
No need to rebuild freeipa.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Yep, you are right.  I thought I had seen that freeipa had installed some executables with linkage to libcurl-nss in /use/lib/certmonger, but i was mistaken.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>