Я хочу запустить сервер jabberd2 (V 2.40) с защищенными клиентскими соединениями.
Я следовал инструкциям из документации, и сервер запущен и работает:
https://github.com/jabberd2/jabberd2/wiki/InstallGuide-OpenSSLConfiguration
Но, похоже, нет безопасного клиентского соединения.
Когда я следую подсказкам для запроса сертификата, нет сертификата одноранговой сети:
Получение цепочки SSL-сертификатов с сервера Jabber
openssl s_client -connect my.jabber.server.net:5222 </dev/null
CONNECTED(00000003)
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 648 bytes and written 117 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
Фактическая конфигурация:
<local>
<pemfile>/etc/jabberd2/jabber.pem</pemfile>
<verify-mode>7</verify-mode>
<require-starttls>1</require-starttls>
<ciphers>EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH</ciphers>
<id register-enable='mu'>domainname.de</id>
</local>
Следуя подсказкам в c2s.xml я изменил это на
<local>
<id realm='domainname.de'
pemfile='/etc/jabberd2/jabber.pem'
ciphers='EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'
verify-mode='7'
require-starttls='mu'
instructions='Geben Sie einen gueltigen Benutzernamen mit Passwort an um einzuloggen!'
>domainname.de</id>
<id password-change='mu' />
</local>
Тогда тест openssl пройден успешно
---
No client certificate CA names sent
---
SSL handshake has read 1700 bytes and written 138 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID:
Session-ID-ctx:
Master-Key: 720846E32D...CA23
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1484331794
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
Но теперь НИ ОДИН клиент не подключается к серверу!
Я проверил это с помощью pidgin и psi, и оба сообщают об ошибке ssl handshake!
Читая пример c2s.xml я нахожу:
<id realm='company.int'
pemfile='/etc/jabberd2/server.pem'
verify-mode='7'
cachain='/etc/jabberd2/client_ca_certs.pem'
require-starttls='mu'
register-enable='mu'
instructions='Enter a username and password to register with this server.'
register-oob='http://example.org/register'
password-change='mu'
>example.net</id>
Так может client_ca_certs.pem отсутствует?
Но я понятия не имею, как его сгенерировать?
Любая помощь будет просто фантастической.
решение1
Jabber использует расширение протокола STARTTLS на порту 5222, поэтому вам необходимо включить расширение -starttls xmppпри тестировании:
openssl s_client -connect my.jabber.server.net:5222 -starttls xmpp </dev/null
Все параметры подключения для 5222 виртуальных хостов задаются непосредственно в виде атрибутов <id ... />тега.
Прямое туннелирование XMPP в SSL возможно на порту 5223, если включено. Параметры, которые вы настраиваете как теги, настраивают <local> ... <pemfile> etc...порт 5223. Если вы включите это, вы можете протестировать без -startlsпараметра, как вы пытались:
openssl s_client -connect my.jabber.server.net:5223 </dev/null