Acabei de instalar e configurar a ejabberd/ecsimagem do docker em uma instância do Ubuntu 20.04 aws.
Tenho portas, nome de domínio e usuários configurados e funcionando.
No host (ubuntu) gerei certificados Let's Encrypt com certbot, copiei-os no contêiner docker:
certfiles:
- /home/ejabberd/conf/fullchain.pem
- /home/ejabberd/conf/privkey.pem
ca_file: "/home/ejabberd/conf/fullchain.pem"
Quero exigir que meus usuários usem apenas uma conexão segura.
Li na documentação que é melhor usar STARTTLS em vez de TLS.
O problema é que o ejabberd parece usar meus certificados apenas ao configurar o TLS.
Quando eu defino a configuração assim:
listen:
-
port: 5222
ip: "::"
module: ejabberd_c2s
max_stanza_size: 262144
shaper: c2s_shaper
access: c2s
tls: true
...
-
port: 5280
ip: "::"
module: ejabberd_http
tls: true
request_handlers:
"/admin": ejabberd_web_admin
e recarregar a configuração bin/ejabbedctl reload_config, então posso acessar https://example.com:5280/admin/usando SSL.
E quando testo o certificado opensslde outra máquina, parece funcionar porque recebo o seguinte:
openssl s_client -connect example.com:5222
CONNECTED(00000005)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = example.com
verify return:1
---
Certificate chain
0 s:CN = example.com
i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
...
Mas quando eu uso, como deveria pelo que entendi, starttlse starttls_required:
listen:
-
port: 5222
ip: "::"
module: ejabberd_c2s
max_stanza_size: 262144
shaper: c2s_shaper
access: c2s
starttls: true
starttls_required: true
Então o ejabberd não parece usar uma conexão segura na porta 5222:
openssl s_client -connect example.com:5222
CONNECTED(00000005)
140324192997824:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:332:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 315 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
Alguma ideia do que eu poderia fazer para consertar isso?
Responder1
Para tornar a conexão segura, você precisa especificar tls: trueno ouvinte. Por exemplo, na configuração abaixo ambas as portas 5222têm 5223as mesmas configurações, mas 5223também inclui tls: true. Graças a isso, seu opensslteste detectará uma conexão segura na porta, 5223mas não na 5222.
-
port: 5222
ip: "::"
module: ejabberd_c2s
max_stanza_size: 262144
shaper: c2s_shaper
access: c2s
starttls_required: true
-
port: 5223
ip: "::"
tls: true
module: ejabberd_c2s
max_stanza_size: 262144
shaper: c2s_shaper
access: c2s
starttls_required: true
Como observação lateral, se ainda estiver com problemas, tente mudar ca_filepara ca_file: "/home/ejabberd/conf/cacert.pem"assumir cacert.pemque é o arquivo criado pelo instalador ejabberd e não pelo seu LE.