- *jabber *prosody *ssl *? *грустьпичальЖуйк, что за хрень такая? Воткнул в prosody сертификат, полученный на StartSSL.com.
Как я понял по примерам конфигов, нужно было указать приватный ключ и сетификат корневой (или как его).
В конфиге написал:
ssl = {
Подключаюсь, а мне Pidgin говорит:
key = "ssl/ssl.key";
certificate = "ssl/sub.class1.server.ca.pem";
}
x@skobkin.ru//laptop/ubuntu/pidgin disconnected
Что я делаю не так?
SSL Handshake Failed
P.S. Лог с ошибками:
code.skobkin.ru#1248560from /laptop/ubuntu/pidgin, 11 months ago
Replies (32)
- @k1lg0reTr0ut:а все же философский вопрос тебе. почему тебе еджабердэ не угадил? может ты писал об этом раньше, но я не видел. можно отдельным постом. и почему именно этот?#1248560/1from dp, 11 months ago
- @skobkin-ru:@k1lg0reTr0ut Ну, я просоди пробовал раньше. Мне она показалась легче и точно проще в настройке. Да и она не так монструозна. Но это ИМХО. И я просто хочу с ней познакомиться получше.#1248560/2from /laptop/ubuntu/pidgin, 11 months ago, in reply to /1
- @k1lg0reTr0ut:@skobkin-ru просто надо будет мне поднимать корпоративный джаббер. и что бы транспорт в аську поддерживался, и разговоры логировались, и авторизация через AD с помощью ntlm и что бы клиент бы еще нормальный, что бы не сильно сложный для пользователей, но со всякими смайликами хуяльниками итд#1248560/3from dp, 11 months ago, in reply to /2
- @Macron:а вообще непонятно, нудно будет попробовать самому. а гуглы что говорят?#1248560/5from web, 11 months ago
- @skobkin-ru:@Macron Гуглы не особо говорят. Но я гуглил из универа по жопорезу и мало. Надо еще погуглить нормально.#1248560/6from web, 11 months ago, in reply to /5
- @vt:у libpurple есть более подробный лог подключения, не знаю только как его там в пиджине включают. В целом, проблема может быть в том, что у тебя цепочка сертификатов неполная, у старткомовского сертификата насколько помню надо в цепочке иметь корневой и промежуточный сертификат, ну и плюс свой. Попробуй добавить опцию capath и укажи системное хранилище сертификатов, /etc/ssl/certs#1248560/7from web, 11 months ago
- @skobkin-ru:@vt Это в примере у гугла было. Да и @lord сказал, что в certificate надо совать тот.
В общем, сейчас нагуглю и покажу.#1248560/9from /home/win7/qip, 11 months ago, in reply to /8 - @vt:@skobkin-ru чего тут гуглить, вот же официальная документация — prosody.im#1248560/10from web, 11 months ago, in reply to /9
- @skobkin-ru:@skobkin-ru waveprotocol.org
Вот тут углядел, может не так понял.
А в официальной доке дефолтные сертификаты localhost указаны. Я не понимаю как их соотнести с тем, что мне выдал startssl. Я вообще первый раз вижу SSL-сертификат и принцип работы не до конца понимаю.#1248560/11from /home/win7/qip, 11 months ago, in reply to /9 - @vt:@skobkin-ru ну и? В этом примере тоже в certificate прописан СВОЙ сертификат, а не старткома! А сертификаты старткома в линуксе из коробки идут, тебе надо только указать системный capath#1248560/12from web, 11 months ago, in reply to /11
- @skobkin-ru:@vt Сейчас поищу где оно может быть и нужно будет указывать только приватный ключ?#1248560/13from /home/win7/qip, 11 months ago, in reply to /12
- @skobkin-ru:#1248560/14from /home/win7/qip, 11 months ago, in reply to /13
- @skobkin-ru:#1248560/16from /home/win7/qip, 11 months ago, in reply to /15
- @vt:@skobkin-ru я не знаю что у тебя лежит в файле ssl.crt, может там у тебя твой сертификат, может старкома, кто тебя знает? А так — да, оно так должно выглядеть.#1248560/17from Home, 11 months ago, in reply to /16
- @skobkin-ru:@vt Ну, сейчас пропишу его. Если заработает, значит мой, видимо :-D
Старткома, по идее лежит либо в ca.pem либо в sub.class1.server.ca.pem#1248560/18from /home/win7/qip, 11 months ago, in reply to /17 - @skobkin-ru:@vt Так. QIP подключился, сейчас еще pidgin с ноута попробую. В любом случае огромное спасибо за подсказку!#1248560/19from /home/win7/qip, 11 months ago, in reply to /17
- @skobkin-ru:@skobkin-ru Нет. Pidgin все равно выдает SSL handshake error.
в локе появляется то же самое про Handshake error...#1248560/20from /home/win7/qip, 11 months ago, in reply to /19 - @vt:@skobkin-ru я сейчас попробовал подключиться — тоже выдает ошибку
Попробуй проверить сертификат на простом примере — madboa.com
Тогда будет понятно, что за сертификаты и ключи ты подсовываешь, свои или нет#1248560/21from Home, 11 months ago, in reply to /20 - @skobkin-ru:@vt Я так понял, надо слить файлы в один:
cat ssl.key ssl.crt > ssl-test.crt и потом его проверить так, да?#1248560/22from /home/win7/qip, 11 months ago, in reply to /21 - @skobkin-ru:@vt Вот такая хрень:
openssl s_server -cert ssl-test.crt -www
Using default temp DH parameters
Using default temp ECDH parameters
error setting private key
5311:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:406:#1248560/24from /home/win7/qip, 11 months ago, in reply to /23 - @vt:@skobkin-ru значит нифига это не твой ssl.crt был. Ты вообще, что изначально от старткома получил? Какие файлы?#1248560/25from Home, 11 months ago, in reply to /24
- @skobkin-ru:@vt Ох... Получал по какой-то инструкции:
wolandblog.com
Сейчас у меня есть файлы:
/etc/prosody/ssl# ls
ssl-test.crt тока что слил из двух...
ca.pem ssl.crt ssl.key ssl-test.crt sub.class1.server.ca.pem#1248560/26from /home/win7/qip, 11 months ago, in reply to /25 - @vt:@skobkin-ru ты вот такую команду выполнял? openssl rsa -in jabber.key -out jabber.key#1248560/27from Home, 11 months ago, in reply to /26
- @skobkin-ru:@skobkin-ru Сейчас зайду туда снова и попробую сертификат специально для XMPP получить. А то получал для апача. Но первый раз мог че-то упустить и стормозить. Ща посмотрим, что выйдет.#1248560/28from /home/win7/qip, 11 months ago, in reply to /26
- @skobkin-ru:@vt Да, я расшифровал ключ.#1248560/29from /home/win7/qip, 11 months ago, in reply to /27
- @skobkin-ru:@skobkin-ru Из заголовка пропало, что он ENCODED RSA#1248560/30from /home/win7/qip, 11 months ago, in reply to /29
- @skobkin-ru:@vt Важно ли какой длины ключ генерирую? 2048 или 4096?
по дефолту там 2048 стоит, я такой и генерил.#1248560/31from /home/win7/qip, 11 months ago, in reply to /27 - @skobkin-ru:@vt Можно тебе напрямую в джаббер написать?#1248560/32from /home/win7/qip, 11 months ago, in reply to /27