<div dir="auto">Great!<div dir="auto"><br></div><div dir="auto">Will you upload or do you want me to do that?<br><br><div data-smartmail="gmail_signature" dir="auto">Sent from a phone</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">Den 4 jan 2017 11:28 skrev "Joachim Falk" <<a href="mailto:joachim.falk@gmx.de">joachim.falk@gmx.de</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Ola,<br>
<br>
Am 03.01.2017 um 23:36 schrieb Ola Lundqvist:<br>
> Hi Joachim<br>
><br>
> On 3 January 2017 at 18:02, Joachim Falk <<a href="mailto:joachim.falk@gmx.de">joachim.falk@gmx.de</a>> wrote:<br>
>> Hi Ola,<br>
>><br>
>> Am 03.01.2017 um 17:46 schrieb Ola Lundqvist:<br>
>>> Hi Joachim<br>
>>><br>
>>> The new cfg file. Are admins supposed to be able to edit it?<br>
>> I don't think so. At least in the package ssl-cert -- that<br>
>> I used as inspiration -- they are also under /usr/share/ssl-cert.<br>
>> Thus, they are not supposed to be admin editable. The ssl-cert<br>
>> package is used to create the ssl-cert-snakeoil.key self signed<br>
>> certificate. I have opted for a somewhat more modern crypto algo,<br>
>> i.e., ECDSA with NIST curve secp384r1 and SHA256 hash.<br>
>><br>
>> If the user wants their own certificate, instead of the on demand<br>
>> auto generated one, they can specify them via -X509Cert and -X509Key<br>
>> or replaces the auto generated files in ~/.vnc. They will not be<br>
>> overwritten once generated.<br>
> Thank you for explaining this a little more.<br>
><br>
> Do I understand that it works like this:<br>
> 1) tigervncserver will be able to automatically create SSL certs (self<br>
> signed) based on the files in /usr/share/tigervnc.<br>
> 2) The created cert will be placed in the user home directory.<br>
> 3) The SSL config files are just used for the auto-generation of certificates.<br>
exactly.<br>
<br>
> With this approach I think you are right that they do not need to be<br>
> admin editable. However I still think it may be better to put them in<br>
> /etc/tigervnc.<br>
><br>
> The reason is that an admin may want to have some other default<br>
> security setting for the automatically generated certificates. For<br>
> example other default crypto algorithm, key size or whatever. If we<br>
> put them in /usr the admin can not edit it, because on upgrade it will<br>
> be overwritten.<br>
However, editing ssleay.cnf by the admin is insufficient to exactly<br>
influence the generated certificate. Hence, there is now a new<br>
option $sslAutoGenCertCommand in /etc/vnc.conf to configure the<br>
parameters for the used openssl command. I also added an explanation<br>
there how the whole auto-generation works.<br>
<br>
><br>
> This means that I would actually vote for putting these two config<br>
> files in /etc anyway, even though they do not strictly need to be<br>
> there.<br>
They are now in /etc/tigervnc.<br>
<br>
> At the same time I think we should remove the word "example" from the<br>
> config file. :-)<br>
There is now a nice explanation text at the beginning of the<br>
/etc/tigervnc/ssleay.cnf.<br>
<br>
><br>
> Best regards<br>
><br>
> // Ola<br>
<br>
Regards,<br>
Joachim Falk<br>
<br>
</blockquote></div></div>