
<div dir="ltr">Hi,<br>Please find attached fix. I made the test action generic so that I can work with old SSL versions.<div><br></div><div>Regards</div><div>Umar Hayat</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 23, 2020 at 5:13 AM Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp">ishii@sraoss.co.jp</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Umar Hayat,<br>

<br>

Unfortunately still build farm is failing.<br>

<br>

=========================================================================<br>

* master  PostgreSQL 11  CentOS6<br>

testing 024.cert_auth...failed.<br>

<br>

* master  PostgreSQL 12  CentOS6<br>

testing 024.cert_auth...failed.<br>

<br>

* master  PostgreSQL 9.6  CentOS6<br>

testing 024.cert_auth...failed.<br>

<br>

* master  PostgreSQL 9.5  CentOS6<br>

testing 024.cert_auth...failed.<br>

=========================================================================<br>

<br>

Subject: Re: [pgpool-hackers: 3551] Re: [PATCH] Feature: Support for CRL (Certificate Revocation List)<br>

Date: Thu, 19 Mar 2020 15:25:03 +0500<br>

Message-ID: &lt;<a href="mailto:CACnGOt0xTAmyFy9azF44Z_2smdgwzKxjzFNkhY7mvp64CgPSKg@mail.gmail.com" target="_blank">CACnGOt0xTAmyFy9azF44Z_2smdgwzKxjzFNkhY7mvp64CgPSKg@mail.gmail.com</a>&gt;<br>

<br>

&gt; I saw the logs and it is generating 512bit key for certificate on CentOS6<br>

&gt; and as result there is this error *&quot;digest too big for rsa key&quot;.* On<br>

&gt; CentOS7 and Debian Openssl 1.1.1 generates 2048bit keys by default. AFAIK<br>

&gt; 512 keys is not supported with TLSv1.2.<br>

&gt; In patch attached, I updated defaults bits value to 2048, Hope this would<br>

&gt; fix the problem. Also printed openssl version to check what version is used<br>

&gt; on BF, and would help in future to debug.<br>

&gt; I will keep an eye on BF for tomorrows build to see results.<br>

&gt; <br>

&gt; Regards<br>

&gt; Umar Hayat<br>

&gt; <br>

&gt; On Thu, Mar 19, 2020 at 6:59 AM Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a>&gt; wrote:<br>

&gt; <br>

&gt;&gt; After pushing this, build farm is conituouly failing with<br>

&gt;&gt; 024.cert_auth on CentOS6. CentOS7 and 8 seem OK. For now, build farm<br>

&gt;&gt; log and pgpool.log attached. (Full information can be otained from<br>

&gt;&gt; <a href="https://pgpool.net/buildfarm/" rel="noreferrer" target="_blank">https://pgpool.net/buildfarm/</a>).<br>

&gt;&gt;<br>

&gt;&gt; From: Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt; Subject: [pgpool-hackers: 3551] Re: [PATCH] Feature: Support for CRL<br>

&gt;&gt; (Certificate Revocation List)<br>

&gt;&gt; Date: Sat, 14 Mar 2020 12:20:20 +0900 (JST)<br>

&gt;&gt; Message-ID: &lt;<a href="mailto:20200314.122020.1318630628622464420.t-ishii@sraoss.co.jp" target="_blank">20200314.122020.1318630628622464420.t-ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt;<br>

&gt;&gt; &gt; Hi Usama,<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt; Thank you for the confirmantion. I have pushed Umar&#39;s patch. I have<br>

&gt;&gt; &gt; made a small modification to the doc:<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt; +      Specifies the name of the file containing the SSL server<br>

&gt;&gt; &gt; +      certificate revocation list (CRL). The default is empty,<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt; to:<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt;       Specifies the path to the file containing the SSL server<br>

&gt;&gt; &gt;       certificate revocation list (CRL).<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt; because ssl_crl_file should be a full path to the CRL file, rather<br>

&gt;&gt; &gt; than just a file name.<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt; Also I have added a Japanese doc.<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt; Umar Hayat,<br>

&gt;&gt; &gt; Thank you for your contribution!<br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt; Hi Ishii-San<br>

&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt; The patch is good now and does what it is intended for.<br>

&gt;&gt; &gt;&gt; We can commit it to the master branch.<br>

&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt; Thanks<br>

&gt;&gt; &gt;&gt; Best regards<br>

&gt;&gt; &gt;&gt; Muhammad Usama<br>

&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt; On Wed, Mar 11, 2020 at 4:30 PM Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt; wrote:<br>

&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; Hi Umar,<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; Now the regression test passed!<br>

&gt;&gt; &gt;&gt;&gt; Thank you for the update.<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; Usama,<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; Do you agree to commit this patch?<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; Best regards,<br>

&gt;&gt; &gt;&gt;&gt; --<br>

&gt;&gt; &gt;&gt;&gt; Tatsuo Ishii<br>

&gt;&gt; &gt;&gt;&gt; SRA OSS, Inc. Japan<br>

&gt;&gt; &gt;&gt;&gt; English: <a href="http://www.sraoss.co.jp/index_en.php" rel="noreferrer" target="_blank">http://www.sraoss.co.jp/index_en.php</a><br>

&gt;&gt; &gt;&gt;&gt; Japanese:<a href="http://www.sraoss.co.jp" rel="noreferrer" target="_blank">http://www.sraoss.co.jp</a><br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt; Hi Ishii,<br>

&gt;&gt; &gt;&gt;&gt; &gt; I guess I have to learn pgpool regression structure a bit more and It<br>

&gt;&gt; &gt;&gt;&gt; came<br>

&gt;&gt; &gt;&gt;&gt; &gt; out not a good idea updating and existing test :-)<br>

&gt;&gt; &gt;&gt;&gt; &gt; I was updating the &#39;ssl_crl_file&#39; in pgpool.conf after calling<br>

&gt;&gt; &gt;&gt;&gt; &#39;./startall&#39;<br>

&gt;&gt; &gt;&gt;&gt; &gt; , which I suppose would not load the update configuration.<br>

&gt;&gt; &gt;&gt;&gt; &gt; In latest patch I moved that update operation before &#39;./startall&#39; and<br>

&gt;&gt; &gt;&gt;&gt; added<br>

&gt;&gt; &gt;&gt;&gt; &gt; extra check to validate that pgpool configuration is correctly<br>

&gt;&gt; updated.<br>

&gt;&gt; &gt;&gt;&gt; &gt; I hope this patch would fix the issue. Please find attached.<br>

&gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt; Regards<br>

&gt;&gt; &gt;&gt;&gt; &gt; Umar Hayat<br>

&gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt; On Wed, Mar 11, 2020 at 3:04 AM Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt; wrote:<br>

&gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; Unfortunately the regression test failed again.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; $ ./regress.sh 024<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; creating pgpool-II temporary installation ...<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; moving pgpool_setup to temporary installation path ...<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; moving watchdog_setup to temporary installation path ...<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; using pgpool-II at<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; /home/t-ishii/work/Pgpool-II/current/pgpool2/src/test/regression/temp/installed<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; *************************<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; REGRESSION MODE          : install<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; PGPOOL-II                :<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; /home/t-ishii/work/Pgpool-II/current/pgpool2/src/test/regression/temp/installed<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; PostgreSQL bin           : /usr/local/pgsql/bin<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; PostgreSQL Major version : 12<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; pgbench                  : /usr/local/pgsql/bin/pgbench<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; PostgreSQL jdbc          :<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; /usr/local/pgsql/share/postgresql-9.2-1003.jdbc4.jar<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; *************************<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; testing 024.cert_auth...failed.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; out of 1 ok:0 failed:1 timeout:0<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; regression log attached.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Thanks Usama for feedback. updated patch with suggested changed<br>

&gt;&gt; &gt;&gt;&gt; attached.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Please see comments inline.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Ishii,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; IMO, tests were failing because some certificates generation and<br>

&gt;&gt; &gt;&gt;&gt; signing<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; was using global configuration. Previously, I only provided<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; minimum configuration for CRL generation.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Now I provided minimum custom configuration for Cert generation<br>

&gt;&gt; and<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; Signing<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; too. I hope now that last tests should be passing now.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Regards<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Umar Hayat<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; On Wed, Mar 4, 2020 at 7:19 PM Muhammad Usama &lt;<a href="mailto:m.usama@gmail.com" target="_blank">m.usama@gmail.com</a>&gt;<br>

&gt;&gt; &gt;&gt;&gt; wrote:<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Hi<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; I have looked into the patch and here are my two cents.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; 1- Does the &quot;Certificate Revocation List (CRL)&quot; have any effect<br>

&gt;&gt; if<br>

&gt;&gt; &gt;&gt;&gt; we do<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; not configure CA certificates?<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Meaning what would be the behavior of the system if someone<br>

&gt;&gt; specifies<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; &quot;ssl_crl_file&quot; but leave out the ssl_ca_cert config?<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; If CA is not configure then certification validation will fail<br>

&gt;&gt; while<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; validating certification.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; 2- In the patch you are loading the Certificate Revocation List<br>

&gt;&gt; after<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; configuring<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; SSL library to ask for client certificates<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; i.e after calling SSL_CTX_set_verify and<br>

&gt;&gt; SSL_CTX_set_client_CA_list<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; functions<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Although I am not able to find any related SSL documentation on<br>

&gt;&gt; the<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; subject and not sure if it can cause any problem. But in the<br>

&gt;&gt; normal<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; sequence, we always load<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; the CA and other certificated before SSL_CTX_set_verify and<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; SSL_CTX_set_client_CA_list functions.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; So I guess the safe bet is to move the loading of Certificate<br>

&gt;&gt; &gt;&gt;&gt; Revocation<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; List before<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; SSL_CTX_set_verify.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; I wasn&#39;t sure either that would matter as we are just registering<br>

&gt;&gt; &gt;&gt;&gt; event<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; at<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; that state, but as suggest i reorder the code as you suggested (<br>

&gt;&gt; as<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt; Postgres does too )<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; 3- The comment /* OpenSSL 0.96 does not support<br>

&gt;&gt; &gt;&gt;&gt; X509_V_FLAG_CRL_CHECK */<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; mentions<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; OpenSSL version as 0.96, which is wrong and should be 0.9.6<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Comment fixed.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; 4- In the test case you are only exporting PGSSLCERT and PGSSLKEY<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; environment variables<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; that means the test case will try to pick up the root certificate<br>

&gt;&gt; &gt;&gt;&gt; from<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; the<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; default location<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; and on the systems where the root certificate would not be found<br>

&gt;&gt; &gt;&gt;&gt; there,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; the test case will fail.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; So I think you need to modify the test case and use PGSSLROOTCERT<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; environment variable to<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; explicitly specify the root certificate as well.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;  PGSSLROOTCERT defined.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; These comments are on top of Ishii-San&#39;s review comments.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Thanks<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Best Regards<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; Muhammad Usama<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt; On Wed, Mar 4, 2020 at 12:11 PM Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a><br>

&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; wrote:<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; Hi Umar,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; Any update on this?<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; From: Tatsuo Ishii &lt;<a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; Subject: [pgpool-hackers: 3523] Re: [PATCH] Feature: Support<br>

&gt;&gt; for CRL<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; (Certificate Revocation List)<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; Date: Fri, 28 Feb 2020 14:27:55 +0900 (JST)<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; Message-ID: &lt;<br>

&gt;&gt; &gt;&gt;&gt; <a href="mailto:20200228.142755.205379439290164558.t-ishii@sraoss.co.jp" target="_blank">20200228.142755.205379439290164558.t-ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; Here are comments on your patch.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; - There are some extra trailing spaces.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; $ git apply ~/crl_support_with_testcase.diff<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; /home/t-ishii/crl_support_with_testcase.diff:42: trailing<br>

&gt;&gt; &gt;&gt;&gt; whitespace.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;       Specifies the name of the file containing the SSL server<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; /home/t-ishii/crl_support_with_testcase.diff:43: trailing<br>

&gt;&gt; &gt;&gt;&gt; whitespace.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;       certificate revocation list (CRL). The default is empty,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; /home/t-ishii/crl_support_with_testcase.diff:199: new blank<br>

&gt;&gt; line<br>

&gt;&gt; &gt;&gt;&gt; at<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; EOF.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; +<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; warning: 3 lines add whitespace errors.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; - The pached source code compililes without any error.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; - the regression test (024.cert_auth) failed.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; ./regress.sh 024<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; creating pgpool-II temporary installation ...<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; moving pgpool_setup to temporary installation path ...<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; moving watchdog_setup to temporary installation path ...<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; using pgpool-II at<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; /home/t-ishii/work/Pgpool-II/current/pgpool2/src/test/regression/temp/installed<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; *************************<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; REGRESSION MODE          : install<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; PGPOOL-II                :<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; /home/t-ishii/work/Pgpool-II/current/pgpool2/src/test/regression/temp/installed<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; PostgreSQL bin           : /usr/local/pgsql/bin<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; PostgreSQL Major version : 12<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; pgbench                  : /usr/local/pgsql/bin/pgbench<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; PostgreSQL jdbc          :<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; /usr/local/pgsql/share/postgresql-9.2-1003.jdbc4.jar<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; *************************<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; testing 024.cert_auth...failed.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; out of 1 ok:0 failed:1 timeout:0<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; This is Ubuntu 18.04.4 LTS.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; $ openssl version<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; OpenSSL 1.1.1  11 Sep 2018<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; Please find attached log file for the<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; regression test.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; Best regards,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; --<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; Tatsuo Ishii<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; SRA OSS, Inc. Japan<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; English: <a href="http://www.sraoss.co.jp/index_en.php" rel="noreferrer" target="_blank">http://www.sraoss.co.jp/index_en.php</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt; Japanese:<a href="http://www.sraoss.co.jp" rel="noreferrer" target="_blank">http://www.sraoss.co.jp</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; Hi Umar,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; I seemed to miss your last email. I will take care your patch<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; tomorrow morning.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; Best regards,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; --<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; Tatsuo Ishii<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; SRA OSS, Inc. Japan<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; English: <a href="http://www.sraoss.co.jp/index_en.php" rel="noreferrer" target="_blank">http://www.sraoss.co.jp/index_en.php</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; Japanese:<a href="http://www.sraoss.co.jp" rel="noreferrer" target="_blank">http://www.sraoss.co.jp</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; Hi Tatsuo,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; Any update for last patch?<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; I will be sending more patches in the same area of SSL (<br>

&gt;&gt; for few<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; other<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; features ) and the those patches might create conflict on<br>

&gt;&gt; merge.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; Regards,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; Umar Hayat<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; Principal Software Engineer<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; EnterpriseDB: <a href="https://www.enterprisedb.com" rel="noreferrer" target="_blank">https://www.enterprisedb.com</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt; On Wed, Feb 19, 2020 at 1:39 PM Umar Hayat &lt;<br>

&gt;&gt; &gt;&gt;&gt; <a href="mailto:m.umarkiani@gmail.com" target="_blank">m.umarkiani@gmail.com</a>&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; wrote:<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; Hi Tatsuo,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; Please find the attached updated patch with following<br>

&gt;&gt; changes:<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; 1. Updated the description of &#39;*ssl_crl_file&#39;*<br>

&gt;&gt; configuration<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; variable.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; 2. Updated test case &#39;024.cert_auth&#39; which verify valid<br>

&gt;&gt; CRL and<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; invalid<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; CRL ( CRL with revocation entry )<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; Regards,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; Umar Hayat<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt; On Thu, Feb 13, 2020 at 3:43 AM Tatsuo Ishii &lt;<br>

&gt;&gt; &gt;&gt;&gt; <a href="mailto:ishii@sraoss.co.jp" target="_blank">ishii@sraoss.co.jp</a>&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; wrote:<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; I just followed the description pattern used for other<br>

&gt;&gt; ssl<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; variables. We<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; can use PostgreSQL doc if we remove following two line<br>

&gt;&gt; from<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; that:<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; &quot;Relative paths are relative to the data<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; directory. This parameter can only be set in the<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; postgresql.conf<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; file<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; or on the server command line.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; &quot;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Sounds good to me.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; - It would be nice to include regression test patch. See<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt;&gt;   src/test/023.ssl_connection for an example.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; Sure, I will create and send test patch in<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; src/test/023.ssl_connection.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; I will try to generate CRL file for existing<br>

&gt;&gt; certification<br>

&gt;&gt; &gt;&gt;&gt; file<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; in this<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; this test. If thats not possible, then I have to<br>

&gt;&gt; generate<br>

&gt;&gt; &gt;&gt;&gt; new<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; certification<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt; and CRL file.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Thank you. Looking forward to the new patch.<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Best regards,<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; --<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Tatsuo Ishii<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; SRA OSS, Inc. Japan<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; English: <a href="http://www.sraoss.co.jp/index_en.php" rel="noreferrer" target="_blank">http://www.sraoss.co.jp/index_en.php</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Japanese:<a href="http://www.sraoss.co.jp" rel="noreferrer" target="_blank">http://www.sraoss.co.jp</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; _______________________________________________<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; pgpool-hackers mailing list<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; <a href="mailto:pgpool-hackers@pgpool.net" target="_blank">pgpool-hackers@pgpool.net</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; &gt;&gt; <a href="http://www.pgpool.net/mailman/listinfo/pgpool-hackers" rel="noreferrer" target="_blank">http://www.pgpool.net/mailman/listinfo/pgpool-hackers</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; _______________________________________________<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; pgpool-hackers mailing list<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="mailto:pgpool-hackers@pgpool.net" target="_blank">pgpool-hackers@pgpool.net</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="http://www.pgpool.net/mailman/listinfo/pgpool-hackers" rel="noreferrer" target="_blank">http://www.pgpool.net/mailman/listinfo/pgpool-hackers</a><br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt; &gt;&gt;<br>

&gt;&gt; &gt;&gt;&gt;<br>

&gt;&gt; &gt; _______________________________________________<br>

&gt;&gt; &gt; pgpool-hackers mailing list<br>

&gt;&gt; &gt; <a href="mailto:pgpool-hackers@pgpool.net" target="_blank">pgpool-hackers@pgpool.net</a><br>

&gt;&gt; &gt; <a href="http://www.pgpool.net/mailman/listinfo/pgpool-hackers" rel="noreferrer" target="_blank">http://www.pgpool.net/mailman/listinfo/pgpool-hackers</a><br>

&gt;&gt;<br>

</blockquote></div>