
Hi Rob<br><br>I'm taking over the answer, since Emilien (the coder) is on vacation...<br>Though he kindly took 5 mn to give me the rationales needed.<br><br><div class="gmail_quote">2012/8/10 Rob Crittenden <span dir="ltr"><<a href="mailto:rcrit@greyoak.com" target="_blank">rcrit@greyoak.com</a>></span><br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>FredericBohe@Eaton.com wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hello all,<br>

<br>

In order to prepare the merge of the NSS branch to the trunk, I have validated the code in this branch by passing this validation document written by Emilien Kia :<br>

<br>

<a href="http://www.networkupstools.org/tmp/NUT-NSS_Mini_DVT_Plan-final.pdf" target="_blank">http://www.networkupstools.<u></u>org/tmp/NUT-NSS_Mini_DVT_Plan-<u></u>final.pdf</a><br>

<br>

The testing has been done on rev 3685 of the ssl-nss-port branch.<br>

As you can read, I have found no issue.<br>

<br>

Let me know if you have any comments on this.<br>

</blockquote>

<br></div>

What is the value of creating two CA's? If you have one infrastructure, why not have one CA and issue all certificates from that one CA?<br></blockquote><div> <br>there are 2 CA for testing purposes of cascaded certificates and CA.<br>

Refer to tests 3.3.3.1 to 3.3.3.4 for the end results, you will see that CA2 cause failures (as expected).<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


You should also check for the existence of NSPR in NUT_CHECK_LIBNSS, especially since you've hardcoded those libraries as a fallback.<br></blockquote><div><br>valid, I've added it to the TODO list, for post merge.<br>


 </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

It isn't clear, can you have an NSS database with no password set?<br></blockquote><div><br>not sure.<br>As per Emilien's comment, this passwd may be used to encrypt the DB.<br>Thus, no passwd would either mean that the DB is not accessible (if password is mandatory) or not encrypted.<br>


</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

In server/netssl.c::nss_error you use a buffer of size SMALLBUF and in ssl_error 256. Why the difference?<br></blockquote><div> <br>error on the coder side. I've also added it to the TODO list, for post merge.<br>though I'm not yet sure which one is the more suitable (not looked at the code).<br>

<br>

</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

The NSS code looks good to me.<br></blockquote><div><br>thanks, I like to have tons of eyes looking <br>


</div></div><br>@Rob & Michal: side question, what's the NSS status in RedHat? Do you see anything more we can do in NUT to improve the upcoming NSS / NUT integration?<br><br>cheers,<br>Arnaud<br>