#Алексей Скобкин (skobkin-ru) (RSS 2.0) Comments to #1248560 (RSS 2.0) juick Login ? * Messages * Photos * Map Avatar Алексей Скобкин (skobkin-ru) Линуксоид, виндузятник, операст, кипофил, студент, лентяй, гитараст, быдлокодер, фотографер на мыльницу, недомеломан, писатель бреда в жуйк. more Subscribe * Jabber * RSS __________________________________________________________________ * *jabber *prosody *ssl *? *грустьпичаль Жуйк, что за хрень такая? Воткнул в prosody сертификат, полученный на StartSSL.com. Как я понял по примерам конфигов, нужно было указать приватный ключ и сетификат корневой (или как его). В конфиге написал: ssl = { key = "ssl/ssl.key"; certificate = "ssl/sub.class1.server.ca.pem"; } Подключаюсь, а мне Pidgin говорит: x@skobkin.ru//laptop/ubuntu/pidgin disconnected SSL Handshake Failed Что я делаю не так? P.S. Лог с ошибками: code.skobkin.ru #1248560 from /laptop/ubuntu/pidgin, 11 months ago ← All messages Replies (32) Post a reply (xmpp) * @k1lg0reTr0ut: а все же философский вопрос тебе. почему тебе еджабердэ не угадил? может ты писал об этом раньше, но я не видел. можно отдельным постом. и почему именно этот? #1248560/1 from dp, 11 months ago * @skobkin-ru: @k1lg0reTr0ut Ну, я просоди пробовал раньше. Мне она показалась легче и точно проще в настройке. Да и она не так монструозна. Но это ИМХО. И я просто хочу с ней познакомиться получше. #1248560/2 from /laptop/ubuntu/pidgin, 11 months ago, in reply to /1 * @k1lg0reTr0ut: @skobkin-ru просто надо будет мне поднимать корпоративный джаббер. и что бы транспорт в аську поддерживался, и разговоры логировались, и авторизация через AD с помощью ntlm и что бы клиент бы еще нормальный, что бы не сильно сложный для пользователей, но со всякими смайликами хуяльниками итд #1248560/3 from dp, 11 months ago, in reply to /2 * @Macron: @k1lg0reTr0ut ну тут и опенфайр сойдет :) #1248560/4 from web, 11 months ago, in reply to /3 * @Macron: а вообще непонятно, нудно будет попробовать самому. а гуглы что говорят? #1248560/5 from web, 11 months ago * @skobkin-ru: @Macron Гуглы не особо говорят. Но я гуглил из универа по жопорезу и мало. Надо еще погуглить нормально. #1248560/6 from web, 11 months ago, in reply to /5 * @vt: у libpurple есть более подробный лог подключения, не знаю только как его там в пиджине включают. В целом, проблема может быть в том, что у тебя цепочка сертификатов неполная, у старткомовского сертификата насколько помню надо в цепочке иметь корневой и промежуточный сертификат, ну и плюс свой. Попробуй добавить опцию capath и укажи системное хранилище сертификатов, /etc/ssl/certs #1248560/7 from web, 11 months ago * @vt: @vt стоп, ты вообще фигню написал. key — это твой закрытый ключ, а certificate — это твой сертификат, а не корневой сертификат CA. #1248560/8 from web, 11 months ago, in reply to /7 * @skobkin-ru: @vt Это в примере у гугла было. Да и @lord сказал, что в certificate надо совать тот. В общем, сейчас нагуглю и покажу. #1248560/9 from /home/win7/qip, 11 months ago, in reply to /8 * @vt: @skobkin-ru чего тут гуглить, вот же официальная документация — prosody.im #1248560/10 from web, 11 months ago, in reply to /9 * @skobkin-ru: @skobkin-ru waveprotocol.org Вот тут углядел, может не так понял. А в официальной доке дефолтные сертификаты localhost указаны. Я не понимаю как их соотнести с тем, что мне выдал startssl. Я вообще первый раз вижу SSL-сертификат и принцип работы не до конца понимаю. #1248560/11 from /home/win7/qip, 11 months ago, in reply to /9 * @vt: @skobkin-ru ну и? В этом примере тоже в certificate прописан СВОЙ сертификат, а не старткома! А сертификаты старткома в линуксе из коробки идут, тебе надо только указать системный capath #1248560/12 from web, 11 months ago, in reply to /11 * @skobkin-ru: @vt Сейчас поищу где оно может быть и нужно будет указывать только приватный ключ? #1248560/13 from /home/win7/qip, 11 months ago, in reply to /12 * @skobkin-ru: @skobkin-ru То есть надо поставить: capath = "/etc/ssl/certs"; И должно заработать? ща попробую. #1248560/14 from /home/win7/qip, 11 months ago, in reply to /13 * @vt: @skobkin-ru key = 'твой.key' certificate = 'твой.cer' capath = '/etc/ssl/certs' #1248560/15 from Home, 11 months ago, in reply to /13 * @skobkin-ru: @vt А что за твой.cer? Это ssl.crt, который начинается с: -----BEGIN CERTIFICATE----- да? #1248560/16 from /home/win7/qip, 11 months ago, in reply to /15 * @vt: @skobkin-ru я не знаю что у тебя лежит в файле ssl.crt, может там у тебя твой сертификат, может старкома, кто тебя знает? А так — да, оно так должно выглядеть. #1248560/17 from Home, 11 months ago, in reply to /16 * @skobkin-ru: @vt Ну, сейчас пропишу его. Если заработает, значит мой, видимо :-D Старткома, по идее лежит либо в ca.pem либо в sub.class1.server.ca.pem #1248560/18 from /home/win7/qip, 11 months ago, in reply to /17 * @skobkin-ru: @vt Так. QIP подключился, сейчас еще pidgin с ноута попробую. В любом случае огромное спасибо за подсказку! #1248560/19 from /home/win7/qip, 11 months ago, in reply to /17 * @skobkin-ru: @skobkin-ru Нет. Pidgin все равно выдает SSL handshake error. в локе появляется то же самое про Handshake error... #1248560/20 from /home/win7/qip, 11 months ago, in reply to /19 * @vt: @skobkin-ru я сейчас попробовал подключиться — тоже выдает ошибку Попробуй проверить сертификат на простом примере — madboa.com Тогда будет понятно, что за сертификаты и ключи ты подсовываешь, свои или нет #1248560/21 from Home, 11 months ago, in reply to /20 * @skobkin-ru: @vt Я так понял, надо слить файлы в один: cat ssl.key ssl.crt > ssl-test.crt и потом его проверить так, да? #1248560/22 from /home/win7/qip, 11 months ago, in reply to /21 * @vt: @skobkin-ru да #1248560/23 from Home, 11 months ago, in reply to /22 * @skobkin-ru: @vt Вот такая хрень: openssl s_server -cert ssl-test.crt -www Using default temp DH parameters Using default temp ECDH parameters error setting private key 5311:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:406: #1248560/24 from /home/win7/qip, 11 months ago, in reply to /23 * @vt: @skobkin-ru значит нифига это не твой ssl.crt был. Ты вообще, что изначально от старткома получил? Какие файлы? #1248560/25 from Home, 11 months ago, in reply to /24 * @skobkin-ru: @vt Ох... Получал по какой-то инструкции: wolandblog.com Сейчас у меня есть файлы: /etc/prosody/ssl# ls ca.pem ssl.crt ssl.key ssl-test.crt sub.class1.server.ca.pem ssl-test.crt тока что слил из двух... #1248560/26 from /home/win7/qip, 11 months ago, in reply to /25 * @vt: @skobkin-ru ты вот такую команду выполнял? openssl rsa -in jabber.key -out jabber.key #1248560/27 from Home, 11 months ago, in reply to /26 * @skobkin-ru: @skobkin-ru Сейчас зайду туда снова и попробую сертификат специально для XMPP получить. А то получал для апача. Но первый раз мог че-то упустить и стормозить. Ща посмотрим, что выйдет. #1248560/28 from /home/win7/qip, 11 months ago, in reply to /26 * @skobkin-ru: @vt Да, я расшифровал ключ. #1248560/29 from /home/win7/qip, 11 months ago, in reply to /27 * @skobkin-ru: @skobkin-ru Из заголовка пропало, что он ENCODED RSA #1248560/30 from /home/win7/qip, 11 months ago, in reply to /29 * @skobkin-ru: @vt Важно ли какой длины ключ генерирую? 2048 или 4096? по дефолту там 2048 стоит, я такой и генерил. #1248560/31 from /home/win7/qip, 11 months ago, in reply to /27 * @skobkin-ru: @vt Можно тебе напрямую в джаббер написать? #1248560/32 from /home/win7/qip, 11 months ago, in reply to /27 Messages * All * Blog * Recommendations * Photo and video Tags all ? juick_ppl linux log welcome WOT бред Видео гитара грустьпичаль игры картинки лол музыка мысли ППЦ прекрасное софт фото цитаты Я Search ____________________ > Statistics * I read (90) * My readers (122) * Messages: 3882 * Replies: 20953 Design · Contacts · Help juick.com © 2008-2011. Sponsored by: Pinout