• Messages
• Photos
• Map

Subscribe

• Jabber
• RSS

• *jabber *prosody *ssl *? *грустьпичаль

  Жуйк, что за хрень такая? Воткнул в prosody сертификат, полученный на StartSSL.com.
  Как я понял по примерам конфигов, нужно было указать приватный ключ и сетификат корневой (или как его).
  В конфиге написал:
  

  ssl = {
  key = "ssl/ssl.key";
  certificate = "ssl/sub.class1.server.ca.pem";
  }

  Подключаюсь, а мне Pidgin говорит:
  

  x@skobkin.ru//laptop/ubuntu/pidgin disconnected
  SSL Handshake Failed

  Что я делаю не так?
  P.S. Лог с ошибками:
  code.skobkin.ru

  #1248560

  from /laptop/ubuntu/pidgin, 11 months ago

← All messages

Replies (32)

Post a reply (xmpp)

• @k1lg0reTr0ut:

  а все же философский вопрос тебе. почему тебе еджабердэ не угадил? может ты писал об этом раньше, но я не видел. можно отдельным постом. и почему именно этот?

  #1248560/1

  from dp, 11 months ago
• @skobkin-ru:

  @k1lg0reTr0ut Ну, я просоди пробовал раньше. Мне она показалась легче и точно проще в настройке. Да и она не так монструозна. Но это ИМХО. И я просто хочу с ней познакомиться получше.

  #1248560/2

  from /laptop/ubuntu/pidgin, 11 months ago, in reply to /1
• @k1lg0reTr0ut:

  @skobkin-ru просто надо будет мне поднимать корпоративный джаббер. и что бы транспорт в аську поддерживался, и разговоры логировались, и авторизация через AD с помощью ntlm и что бы клиент бы еще нормальный, что бы не сильно сложный для пользователей, но со всякими смайликами хуяльниками итд

  #1248560/3

  from dp, 11 months ago, in reply to /2
• @Macron:

  @k1lg0reTr0ut ну тут и опенфайр сойдет :)

  #1248560/4

  from web, 11 months ago, in reply to /3
• @Macron:

  а вообще непонятно, нудно будет попробовать самому. а гуглы что говорят?

  #1248560/5

  from web, 11 months ago
• @skobkin-ru:

  @Macron Гуглы не особо говорят. Но я гуглил из универа по жопорезу и мало. Надо еще погуглить нормально.

  #1248560/6

  from web, 11 months ago, in reply to /5
• @vt:

  у libpurple есть более подробный лог подключения, не знаю только как его там в пиджине включают. В целом, проблема может быть в том, что у тебя цепочка сертификатов неполная, у старткомовского сертификата насколько помню надо в цепочке иметь корневой и промежуточный сертификат, ну и плюс свой. Попробуй добавить опцию capath и укажи системное хранилище сертификатов, /etc/ssl/certs

  #1248560/7

  from web, 11 months ago
• @vt:

  @vt стоп, ты вообще фигню написал. key — это твой закрытый ключ, а certificate — это твой сертификат, а не корневой сертификат CA.

  #1248560/8

  from web, 11 months ago, in reply to /7
• @skobkin-ru:

  @vt Это в примере у гугла было. Да и @lord сказал, что в certificate надо совать тот.
  В общем, сейчас нагуглю и покажу.

  #1248560/9

  from /home/win7/qip, 11 months ago, in reply to /8
• @vt:

  @skobkin-ru чего тут гуглить, вот же официальная документация — prosody.im

  #1248560/10

  from web, 11 months ago, in reply to /9
• @skobkin-ru:

  @skobkin-ru waveprotocol.org
  Вот тут углядел, может не так понял.
  А в официальной доке дефолтные сертификаты localhost указаны. Я не понимаю как их соотнести с тем, что мне выдал startssl. Я вообще первый раз вижу SSL-сертификат и принцип работы не до конца понимаю.

  #1248560/11

  from /home/win7/qip, 11 months ago, in reply to /9
• @vt:

  @skobkin-ru ну и? В этом примере тоже в certificate прописан СВОЙ сертификат, а не старткома! А сертификаты старткома в линуксе из коробки идут, тебе надо только указать системный capath

  #1248560/12

  from web, 11 months ago, in reply to /11
• @skobkin-ru:

  @vt Сейчас поищу где оно может быть и нужно будет указывать только приватный ключ?

  #1248560/13

  from /home/win7/qip, 11 months ago, in reply to /12
• @skobkin-ru:

  @skobkin-ru То есть надо поставить:
  

  capath = "/etc/ssl/certs";

  И должно заработать?
  ща попробую.

  #1248560/14

  from /home/win7/qip, 11 months ago, in reply to /13
• @vt:

  @skobkin-ru key = 'твой.key'
  certificate = 'твой.cer'
  capath = '/etc/ssl/certs'

  #1248560/15

  from Home, 11 months ago, in reply to /13
• @skobkin-ru:

  @vt А что за твой.cer?
  Это ssl.crt, который начинается с:
  

  -----BEGIN CERTIFICATE-----

  да?

  #1248560/16

  from /home/win7/qip, 11 months ago, in reply to /15
• @vt:

  @skobkin-ru я не знаю что у тебя лежит в файле ssl.crt, может там у тебя твой сертификат, может старкома, кто тебя знает? А так — да, оно так должно выглядеть.

  #1248560/17

  from Home, 11 months ago, in reply to /16
• @skobkin-ru:

  @vt Ну, сейчас пропишу его. Если заработает, значит мой, видимо :-D
  Старткома, по идее лежит либо в ca.pem либо в sub.class1.server.ca.pem

  #1248560/18

  from /home/win7/qip, 11 months ago, in reply to /17
• @skobkin-ru:

  @vt Так. QIP подключился, сейчас еще pidgin с ноута попробую. В любом случае огромное спасибо за подсказку!

  #1248560/19

  from /home/win7/qip, 11 months ago, in reply to /17
• @skobkin-ru:

  @skobkin-ru Нет. Pidgin все равно выдает SSL handshake error.
  в локе появляется то же самое про Handshake error...

  #1248560/20

  from /home/win7/qip, 11 months ago, in reply to /19
• @vt:

  @skobkin-ru я сейчас попробовал подключиться — тоже выдает ошибку
  Попробуй проверить сертификат на простом примере — madboa.com
  Тогда будет понятно, что за сертификаты и ключи ты подсовываешь, свои или нет

  #1248560/21

  from Home, 11 months ago, in reply to /20
• @skobkin-ru:

  @vt Я так понял, надо слить файлы в один:
  cat ssl.key ssl.crt > ssl-test.crt и потом его проверить так, да?

  #1248560/22

  from /home/win7/qip, 11 months ago, in reply to /21
• @vt:

  @skobkin-ru да

  #1248560/23

  from Home, 11 months ago, in reply to /22
• @skobkin-ru:

  @vt Вот такая хрень:
  openssl s_server -cert ssl-test.crt -www
  Using default temp DH parameters
  Using default temp ECDH parameters
  error setting private key
  5311:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:406:

  #1248560/24

  from /home/win7/qip, 11 months ago, in reply to /23
• @vt:

  @skobkin-ru значит нифига это не твой ssl.crt был. Ты вообще, что изначально от старткома получил? Какие файлы?

  #1248560/25

  from Home, 11 months ago, in reply to /24
• @skobkin-ru:

  @vt Ох... Получал по какой-то инструкции:
  wolandblog.com
  Сейчас у меня есть файлы:
  

  /etc/prosody/ssl# ls
  ca.pem ssl.crt ssl.key ssl-test.crt sub.class1.server.ca.pem

  ssl-test.crt тока что слил из двух...

  #1248560/26

  from /home/win7/qip, 11 months ago, in reply to /25
• @vt:

  @skobkin-ru ты вот такую команду выполнял? openssl rsa -in jabber.key -out jabber.key

  #1248560/27

  from Home, 11 months ago, in reply to /26
• @skobkin-ru:

  @skobkin-ru Сейчас зайду туда снова и попробую сертификат специально для XMPP получить. А то получал для апача. Но первый раз мог че-то упустить и стормозить. Ща посмотрим, что выйдет.

  #1248560/28

  from /home/win7/qip, 11 months ago, in reply to /26
• @skobkin-ru:

  @vt Да, я расшифровал ключ.

  #1248560/29

  from /home/win7/qip, 11 months ago, in reply to /27
• @skobkin-ru:

  @skobkin-ru Из заголовка пропало, что он ENCODED RSA

  #1248560/30

  from /home/win7/qip, 11 months ago, in reply to /29
• @skobkin-ru:

  @vt Важно ли какой длины ключ генерирую? 2048 или 4096?
  по дефолту там 2048 стоит, я такой и генерил.

  #1248560/31

  from /home/win7/qip, 11 months ago, in reply to /27
• @skobkin-ru:

  @vt Можно тебе напрямую в джаббер написать?

  #1248560/32

  from /home/win7/qip, 11 months ago, in reply to /27

Messages

• All
• Blog
• Recommendations
• Photo and video

Tags all

? juick_ppl linux log welcome WOT бред Видео гитара грустьпичаль игры картинки лол музыка мысли ППЦ прекрасное софт фото цитаты Я

Search

Statistics

• I read (90)
• My readers (122)
• Messages: 3876
• Replies: 20927