jabberd2 サーバー用の TLS 証明書が動作しています

tag-icon tag-icon ssl certificate xmpp
jabberd2 サーバー用の TLS 証明書が動作しています

安全なクライアント接続で jabberd2 サーバー (V 2.40) を実行したいと考えています。
ドキュメントの指示に従い、サーバーを起動して実行しました。
https://github.com/jabberd2/jabberd2/wiki/インストールガイド-OpenSSLConfiguration

しかし、安全なクライアント接続がないようです。
証明書を要求するためのヒントに従うと、ピア証明書がありません。
Jabber サーバーから SSL 証明書チェーンを取得する

openssl s_client -connect my.jabber.server.net:5222 </dev/null

CONNECTED(00000003)
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 648 bytes and written 117 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE

実際の構成は

  <local>
         <pemfile>/etc/jabberd2/jabber.pem</pemfile>
         <verify-mode>7</verify-mode>
         <require-starttls>1</require-starttls>
         <ciphers>EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH</ciphers>
    <id register-enable='mu'>domainname.de</id>
  </local>

c2s.xmlのヒントに従って、これを次のように変更しました。

  <local>
    <id realm='domainname.de'
        pemfile='/etc/jabberd2/jabber.pem'
        ciphers='EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'
        verify-mode='7'
        require-starttls='mu'
        instructions='Geben Sie einen gueltigen Benutzernamen mit Passwort an um einzuloggen!'
    >domainname.de</id>
    <id password-change='mu' />
  </local>

そしてopensslテストは成功し、

---
No client certificate CA names sent
---
SSL handshake has read 1700 bytes and written 138 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID:
    Session-ID-ctx:
    Master-Key: 720846E32D...CA23
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1484331794
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---

しかし、今ではどのクライアントもサーバーに接続できません。pidgin
と psi でテストしましたが、どちらも SSL ハンドシェイク エラーを報告します。

サンプルの c2s.xml を読むと、次のことがわかります。

<id realm='company.int'
    pemfile='/etc/jabberd2/server.pem'
    verify-mode='7'
    cachain='/etc/jabberd2/client_ca_certs.pem'
    require-starttls='mu'
    register-enable='mu'
    instructions='Enter a username and password to register with this server.'
    register-oob='http://example.org/register'
    password-change='mu'
>example.net</id>

おそらく client_ca_certs.pem が欠落しているのでしょうか?
しかし、それを生成する方法がわかりません。

どんな助けでも大歓迎です。

答え1

-starttls xmppJabber はポート 5222 で STARTTLS プロトコル拡張を使用するため、テスト時に拡張を有効にする必要があります。

openssl s_client -connect my.jabber.server.net:5222 -starttls xmpp </dev/null

5222 仮想ホストのすべての接続オプションは、<id ... />タグの属性として直接設定されます。

有効にすると、ポート 5223 で SSL での直接 XMPP トンネリングが可能になります。タグとして設定するオプションは、 5223 ポートを設定します。これを有効にすると、次のようにオプション<local> ... <pemfile> etc...なしでテストできます。-startls

openssl s_client -connect my.jabber.server.net:5223 </dev/null

関連情報