Gajim какую криптобиблиотеку юзает?

требуется ли чтобы CN указанный в сертфикате совпадал с доменной частью JID?

Для s2s не требуется, там даже самоподписанный пихнуть можно и проверяться ничо не будет. Клиенты проверяют каждый как сам хочет, но лучше чтоб совпадало всё.

Судя по наличию pyOpenSSL в выводе repoquery --requires gajim - то видимо OpenSSL:

repoquery --requires gajim
/bin/bash
/bin/sh
bind-utils
dbus-python
gnome-python2-gconf
libXss.so.1()(64bit)
libatk-1.0.so.0()(64bit)
libc.so.6()(64bit)
libc.so.6(GLIBC_2.2.5)(64bit)
libc.so.6(GLIBC_2.3.4)(64bit)
libc.so.6(GLIBC_2.4)(64bit)
libcairo.so.2()(64bit)
libfontconfig.so.1()(64bit)
libfreetype.so.6()(64bit)
libgdk-x11-2.0.so.0()(64bit)
libgdk_pixbuf-2.0.so.0()(64bit)
libgio-2.0.so.0()(64bit)
libglib-2.0.so.0()(64bit)
libgmodule-2.0.so.0()(64bit)
libgobject-2.0.so.0()(64bit)
libgtk-x11-2.0.so.0()(64bit)
libgtkspell.so.0()(64bit)
libpango-1.0.so.0()(64bit)
libpangocairo-1.0.so.0()(64bit)
libpangoft2-1.0.so.0()(64bit)
pygtk2-libglade
python
python-sqlite2
rtld(GNU_HASH)
/bin/sh
avahi-ui-tools
bind-utils
dbus-python
farsight2-python
gnome-python2-bonobo
gnome-python2-desktop
gnome-python2-gnome
gnupg
gstreamer-python
gtkspell
hicolor-icon-theme
libXScrnSaver
notify-python
pyOpenSSL
python-GnuPGInterface
python-crypto

Gajim версии 0.14.4 дистрибутив тоже Centos 6.6.

Странно

А время у тебя на компе правильное?

Время правильно и там и там, оба хоста синхронизируются с ntp-сервером.

Тогда просмотри все промежуточные сертификаты, вдруг какой-то устаревший засунул по ошибке

Попробовал с Pidgin 2.7.9:

The certificate is not trusted because no certificate that can verify it is currently trusted.

openssl с сервера и клиента (там где Gajim):

openssl s_client -verify 5 -host server.example.com -port 5223 -CAfile ./globalsign.crt

...
Verify return code: 0 (ok)

В globalsign.crt - корневой и промежуточный сертификаты.

а Pidgin Globalsign-у доверяет?

Аналогично ok с клиента вместе с

-CAfile /etc/ssl/certs/ca-bundle.crt
-CAfile /etc/ssl/certs/ca-bundle.trust.crt

Важное замечание, сертификат выдан на хост server.example.com, я же хочу чтобы домен был example.com

Хоти. Клиенты по какому домену лезут? Если на example.com, то ничего не получиться.

Дополнительный вопрос, по стандартам(?) требуется ли чтобы CN указанный в сертфикате совпадал с доменной частью JID?

Ну судя по RFC и еще одному драфту, XMPP должен смотреть на alternative names. Хотя клиенты могут положить на этот RFC.

В globalsign.crt - корневой и промежуточный сертификаты.

На кой промежуточные? Должно хватить корневого.

Похожая хрень, только косяки с проверкой CA. Сертификат от StartSSL.

В клиентах указан jid user@example.com, при этом вручную указано подключаться через server.example.com + на него же указывает SRV.

Решено

Для XMPP нужны особые сертификаты отличающиеся от обычных наличием дополнительных полей:

http://blog.hamzahkhan.com/2012/11/09/ssl-certificates-for-xmpp/

http://serverfault.com/questions/591844/are-xmpp-certificates-different-than-regular-ones

Косвенно подтверждается тем, что мой сертификат не взлетел и с другим сервером (пробовал на Prosody) c точно такими же симптомами.

Ясненько. Спасибо. Собственно, жду сертификатов от Let's Encrypt.