LINUX.ORG.RU
ФорумAdmin

Админы XMPP, нужна ваша помощь!


0

2

Отчаявшись уже решить проблему другими путями, прошу вашей помощи, уважаемые коллеги!
Мне нужно отладить TLS-взаимодействие по s2s своего сервера с другими серверами в интернет для того, чтобы мой сервер мог авторизовывать юзеров из других доменов и они тоже могли добавлять наших.

Задача в следующем: я добавляю JID с вашего сервера в свой ростер, и мы вместе смотрим в логах, что в этом время происходит.
Понятно, что проблема с SSL-сертификатами, но нужно выяснить, где собака порылась.
Если кто-то хотел бы помочь мне, добавьте drvtiny@jabber.ru (или, аналогично, @jabber.org), я вас авторизую и в онлайне синхронизируемся.
OK? Тогда поехали!

★★★★★

О... Я и забыл после работы отписать. Если вдруг чего - уже завтра тогда :)

YAR ★★★★★
()

Если кто ещё прочитает тему, ответьте, у вас на какой CN сгенерен сертификат:
1) На domain.org
2) На hostname.domain.org
3) На *.domain.org

И как правильнее?

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от HighwayStar

Нужен вывод команды
openssl x509 -in CERT_FILE -noout -text -purpose

Там не только Subject важен, но ещё и subjectAltName'ы

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

например

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 25 (0x19)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=RU, ST=Leningradskaya Oblast, L=Vyborg, O=Ariadna Link, ISP, OU=PKI, CN=Ariadna root CA/emailAddress=ca@vyborg.ru
        Validity
            Not Before: Sep 29 08:29:44 2009 GMT
            Not After : Sep 28 08:29:44 2014 GMT
        Subject: C=RU, ST=Leningradskaya Oblast, L=Vyborg, O=Ariadna Link, ISP, OU=PKI, CN=o.vyborg.ru/emailAddress=ca@vyborg.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:f9:e2:d6:00:97:9e:8a:9a:4c:bb:6f:30:32:f2:
                    e4:35:0d:7e:6f:4a:63:ca:e4:1b:66:c9:9c:db:34:
                    c4:00:9b:d9:2a:6c:89:b4:5d:76:fb:32:1d:c4:4f:
                    74:1d:c2:fc:59:35:ad:98:ce:13:70:83:76:71:4f:
                    aa:28:fd:31:a7:c0:bd:80:e4:31:31:86:55:6f:f1:
                    49:3a:17:1b:c7:23:cd:e3:48:96:e8:20:c9:79:cc:
                    d1:5c:6c:50:da:57:f7:c5:9c:b0:c4:19:f1:74:22:
                    fd:57:c0:a8:f1:57:9e:f2:4a:4e:f7:7d:bb:ce:bb:
                    56:2e:70:8d:27:0b:ea:95:2f:29:4c:10:67:a6:87:
                    6b:c0:62:4b:9d:cf:6b:da:64:c8:59:2d:15:22:c1:
                    e2:d8:b8:4b:7e:1b:f1:f3:27:ce:01:ce:98:fe:56:
                    59:bc:f6:4b:a2:43:21:c0:14:1c:7d:68:db:90:6e:
                    52:9a:f3:f5:7f:34:82:94:b0:4f:65:01:1b:ad:0c:
                    e8:96:86:d2:37:38:0e:7e:a6:4d:d7:57:3d:5d:85:
                    67:eb:20:f9:83:3e:a2:30:f6:6b:47:a7:6d:58:ee:
                    60:9f:9f:7d:49:83:c7:12:b2:d9:e5:2b:65:b4:45:
                    f2:2a:6b:14:c0:b9:c3:76:d7:ce:aa:6e:61:5b:d0:
                    3c:91
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
    Signature Algorithm: md5WithRSAEncryption
        66:8e:26:d5:33:15:63:7f:55:23:7b:02:cf:c9:0f:86:c0:db:
        a9:b8:4e:02:0e:eb:16:6f:e0:47:2e:f0:91:ff:2c:7c:57:30:
        bf:8e:01:08:92:68:b9:be:f7:7c:aa:89:2d:28:28:61:58:9a:
        12:6d:c2:30:3c:df:2d:e2:a7:83:23:23:5e:06:a8:a6:37:4a:
        7d:9c:c5:e9:d7:c2:98:cc:b2:37:b4:e6:1f:b0:a6:f7:72:e4:
        76:a9:f4:f1:83:8d:a3:4d:bb:e1:12:f1:9e:92:bc:cb:f1:6c:
        0c:8a:a8:fc:54:f8:fc:9d:d8:2d:98:4a:d6:0b:f2:c0:e6:4e:
        bb:5a:07:14:7e:15:c8:19:35:4e:06:43:5c:17:f7:5b:38:e6:
        1a:e3:ef:fa:83:53:1b:a9:db:e3:52:6a:55:00:11:4a:ac:67:
        c7:02:9e:90:56:07:05:21:68:b9:f9:91:40:e4:14:93:64:21:
        86:81:70:ba:a2:5b:0c:dd:72:c5:93:47:4c:61:ee:27:13:cd:
        f0:2c:e5:2d:76:3e:bd:e5:51:51:49:ac:41:9f:7c:47:93:a4:
        d5:67:61:9c:3a:5d:f0:29:65:1f:31:dc:6d:ab:79:3c:9f:0e:
        87:a0:1a:32:a8:f7:8f:bf:2f:c4:9e:bc:81:dd:ef:b1:2c:43:
        99:4c:83:7f
Certificate purposes:
SSL client : No
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : Yes
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No

hizel ★★★★★
()
Ответ на: комментарий от DRVTiny

>hizel, так на s2s по краней мере в Openfire отдельный сертификат не нужен...

не понял, в jabberd 2.x сертификаты выставляются отдельно на c2s и на s2s, без сертификата:

Tue Dec 21 20:43:04 2010 [notice] [11] [77.88.57.177, port=56787] incoming route 'vyborg.ru/jabber.ru' is now valid

с сертификатом:

Wed Dec 22 14:57:21 2010 [notice] [8] [77.88.57.177, port=35233] incoming route 'vyborg.ru/jabber.ru' is now valid, TLS negotiated

а гугла без TLS сейчас работает

Wed Dec 22 09:24:01 2010 [notice] [14] [209.85.224.83, port=43299] incoming route 'vyborg.ru/gmail.com' is now valid

видимо не договорились

hizel ★★★★★
()
Ответ на: комментарий от hizel

А где же subjectAltName? Сдаётся мне, нужно как-то по-другому смотреть...
Значит, o.vyborg.ru - это хостнэйм сервера?

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

>Значит, o.vyborg.ru - это хостнэйм сервера?

yes

а привязка @vyborg.ru -> o.vyborg.ru через dns естественно

see
dig SRV _xmpp-server._tcp.vyborg.ru _xmpp-client._tcp.vyborg.ru _jabber._tcp.vyborg.ru

hizel ★★★★★
()
Ответ на: комментарий от hizel

А чем тогда мой сертификат хуже? По сути то же, что у тебя:

 Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 170347 (0x2996b)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
        Validity
            Not Before: Dec 18 09:46:48 2010 GMT
            Not After : Dec 19 21:45:01 2011 GMT
        Subject: description=317379-ixnos9BcHCrJAR28, C=RU, O=Persona Not Validated, OU=StartCom Free Certificate Member, CN=jabber.extel.ru/emailAddress=noc@extel.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c2:e6:51:48:56:9f:75:22:f6:f9:6a:9d:61:04:
                    05:f2:c9:36:c8:5d:1c:0f:45:91:ff:0f:5c:9b:ae:
                    ed:ac:69:43:26:a5:b0:bd:63:f0:79:75:74:65:85:
                    fd:5f:f0:4a:37:84:28:a9:4d:b6:9a:b0:5c:0d:11:
                    c9:9f:d7:31:da:5b:7c:8e:d0:de:75:8f:b7:db:23:
                    d9:41:77:35:48:ba:7b:4c:7c:aa:cf:ce:e4:f6:48:
                    8f:3a:9b:44:e2:9c:32:6f:ee:f8:1d:1c:7e:56:61:
                    c1:a8:5c:1f:c3:fc:95:87:84:0c:48:39:58:af:8e:
                    54:4f:e4:39:56:b1:69:9c:b8:8f:80:b8:88:c4:84:
                    62:c9:f7:4c:39:65:22:9c:14:ca:f8:91:f0:5d:dd:
                    fa:7b:a3:67:6b:a1:33:c5:05:a8:d2:5e:53:b1:52:
                    59:8b:6a:ae:2b:dd:cf:91:e6:69:d7:fc:6c:ac:30:
                    c7:6b:a8:e8:d9:70:f8:c6:1c:76:f9:3b:ed:95:27:
                    25:ec:27:89:b7:da:26:ab:3a:4b:f2:d8:2a:95:e4:
                    23:05:0e:27:3b:c1:2c:07:04:29:53:7a:f0:09:64:
                    a3:be:40:0b:1f:a6:37:f9:9d:4d:82:2c:3a:ed:7d:
                    38:2a:85:55:c9:1c:cf:46:7e:f6:4e:fa:e8:55:43:
                    0c:5d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Subject Key Identifier: 
                CB:BE:F6:B0:D9:93:E0:22:AF:FD:29:0A:91:FB:22:D3:65:08:5B:FF
            X509v3 Authority Key Identifier: 
                keyid:EB:42:34:D0:98:B0:AB:9F:F4:1B:6B:08:F7:CC:64:2E:EF:0E:2C:45

            X509v3 Subject Alternative Name: 
                DNS:jabber.extel.ru, DNS:extel.ru, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.23223.1.2.2
                  CPS: http://www.startssl.com/policy.pdf
                  CPS: http://www.startssl.com/intermediate.pdf
                  User Notice:
                    Organization: StartCom Ltd.
                    Number: 1
                    Explicit Text: Limited Liability, see section *Legal Limitations* of the StartCom Certification Authority Policy available at http://www.startssl.com/policy.pdf

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://www.startssl.com/crt1-crl.crl

                Full Name:
                  URI:http://crl.startssl.com/crt1-crl.crl

            Authority Information Access: 
                OCSP - URI:http://ocsp.startssl.com/sub/class1/server/ca
                CA Issuers - URI:http://www.startssl.com/certs/sub.class1.server.ca.crt

            X509v3 Issuer Alternative Name: 
                URI:http://www.startssl.com/
    Signature Algorithm: sha1WithRSAEncryption
        58:70:c1:11:79:e7:c6:c7:4a:28:a9:1d:6e:2c:e6:e3:c6:40:
        1c:a9:05:2e:28:3e:24:32:4a:62:52:49:80:0e:9c:4b:59:18:
        ef:29:ea:43:14:48:40:64:e7:e5:65:38:13:80:99:d0:a7:67:
        1a:09:52:70:72:c3:4b:ab:83:cf:1c:d1:bb:8b:20:d1:cd:5b:
        d1:0a:b8:a4:93:55:fe:1c:dd:c9:30:d8:20:d2:db:49:07:55:
        b8:91:00:b0:4c:e0:7d:c9:f9:d6:ec:33:b3:55:a9:87:7a:37:
        ea:0d:3a:db:43:8f:c0:a2:8d:64:2c:6d:bc:ed:d6:4a:27:78:
        8f:91:ac:0e:85:c7:b7:55:ec:37:a6:3d:ab:52:9f:a8:11:89:
        53:f1:77:d7:92:5e:4d:04:77:f6:b3:93:aa:9e:9c:41:e6:42:
        b5:f1:ab:2d:f3:51:3b:dc:20:2f:fa:e6:65:9d:fe:b4:71:c1:
        d5:a8:88:8d:bd:72:9b:5f:8a:11:ce:32:c0:47:90:5c:9b:75:
        16:16:8b:aa:08:cf:21:f8:6f:05:54:f5:b1:b0:48:42:ac:2a:
        46:7f:da:ad:d6:f4:85:eb:99:04:bb:65:89:57:06:90:4c:e0:
        c0:2f:f8:8b:b9:a0:fd:dd:f5:34:ce:9e:b6:30:3b:f5:ab:f8:
        b7:1b:14:25
Certificate purposes:
SSL client : No
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny
openssl x509 -in /etc/ejabberd/ejabberd.pem -noout -text -purpose
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 124762 (0x1e75a)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
        Validity
            Not Before: Jul 27 04:09:13 2010 GMT
            Not After : Jul 28 00:49:30 2011 GMT
        Subject: description=232000-Qc0A991Nc6G5A2zM, C=RU, O=Persona Not Validated, OU=StartCom Free Certificate Member, CN=jabber.ustkut.ru/emailAddress=webmaster@ustkut.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    00:da:22:83:12:2c:97:e4:5c:29:d4:5a:ed:1f:44:
                    32:06:b2:21:0a:03:a0:98:af:e4:ee:0a:e3:33:89:
                    16:91:ef:53:58:35:f8:37:15:1b:ad:f3:6b:c2:fa:
                    70:03:e9:f3:9c:f1:95:3a:73:62:e2:88:04:94:07:
                    20:2c:09:5e:b2:ac:88:54:e6:b1:8f:b3:87:68:3c:
                    fd:b1:39:1a:20:20:de:14:57:75:0d:21:61:6a:9f:
                    3a:89:38:c9:ef:47:9f:ad:99:93:fa:7f:e1:cd:28:
                    22:c7:0d:df:53:13:7e:5f:3c:d9:49:15:76:80:18:
                    1c:13:13:bb:65:6c:69:d9:88:76:88:6e:96:ae:bb:
                    e4:81:16:00:5c:a1:6f:6a:35:1f:91:32:2c:c9:0d:
                    66:3a:02:d6:53:33:a7:de:61:a5:be:da:2b:28:70:
                    4e:bc:de:79:e1:e6:1c:b1:8f:79:50:21:82:0c:5e:
                    f7:11:8f:b0:5a:a9:b4:cf:b3:1c:9c:6c:ca:dd:4e:
                    11:5e:2d:c9:ca:14:dd:db:28:c3:f7:49:5a:44:f4:
                    1e:ce:2a:96:41:33:1f:43:8f:ce:26:72:ba:0a:a5:
                    2f:bf:32:da:4f:e1:8c:77:eb:a0:08:07:69:69:7b:
                    3c:d8:53:73:53:cc:ac:4d:a7:29:8b:b1:40:bb:75:
                    f7:53:72:a9:3e:d7:7d:1b:43:1b:22:84:4e:1e:2a:
                    69:c7:8f:a3:17:50:96:51:84:98:ea:75:bc:bc:b7:
                    97:39:99:d4:5a:a8:ad:0c:b2:9d:3e:1e:01:d5:ef:
                    2d:75:54:60:a1:52:78:60:7e:67:f8:8a:13:65:26:
                    14:42:f8:87:b3:fe:ca:33:38:f1:8d:d7:a8:6a:7b:
                    70:e6:a7:ce:ee:e5:b8:dd:f4:e5:c9:f5:93:6b:32:
                    e4:2c:f2:d2:a9:b2:58:4a:58:b7:ce:22:5a:e9:5b:
                    82:2a:75:29:35:44:f4:7c:17:0e:4d:19:6b:6f:0e:
                    ed:a1:10:61:e2:da:5e:91:ac:cd:9c:57:22:5f:bc:
                    78:eb:d1:3f:b8:53:11:b2:2a:bc:ee:26:35:42:6b:
                    d4:29:c9:d2:53:21:4c:24:a7:dd:6e:a6:d6:ae:77:
                    91:5a:2c:af:66:4d:8b:c0:07:12:84:e6:dc:6a:d9:
                    ec:70:f5:3e:2e:62:d1:cd:1a:f2:0b:39:6c:fc:36:
                    cb:f9:14:e3:9a:4d:ff:7b:df:13:c7:4e:e4:fe:40:
                    c4:ce:87:a8:b0:20:c5:8a:5e:1e:f1:d1:c5:2d:f3:
                    5a:04:56:fa:ef:81:05:5d:f5:08:62:5f:67:96:ac:
                    62:19:4e:cc:93:ea:46:66:c3:63:a2:6a:9a:d0:dd:
                    f1:4c:d5
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Key Identifier:
                A0:FA:DB:7B:89:65:41:E4:29:DF:A6:02:7A:98:BA:9A:D6:B2:9F:01
            X509v3 Authority Key Identifier:
                keyid:EB:42:34:D0:98:B0:AB:9F:F4:1B:6B:08:F7:CC:64:2E:EF:0E:2C:45

            X509v3 Subject Alternative Name:
                DNS:jabber.ustkut.ru, DNS:ustkut.ru, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>, othername:<unsupported>
            X509v3 Certificate Policies:
                Policy: 1.3.6.1.4.1.23223.1.2.2
                  CPS: http://www.startssl.com/policy.pdf
                  CPS: http://www.startssl.com/intermediate.pdf
                  User Notice:
                    Organization: StartCom Ltd.
                    Number: 1
                    Explicit Text: Limited Liability, see section *Legal Limitations* of the StartCom Certification Authority Policy available at http://www.startssl.com/policy.pdf

            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://www.startssl.com/crt1-crl.crl

                Full Name:
                  URI:http://crl.startssl.com/crt1-crl.crl

            Authority Information Access:
                OCSP - URI:http://ocsp.startssl.com/sub/class1/server/ca
                CA Issuers - URI:http://www.startssl.com/certs/sub.class1.server.ca.crt

            X509v3 Issuer Alternative Name:
                URI:http://www.startssl.com/
    Signature Algorithm: sha1WithRSAEncryption
        a4:cf:22:f3:ee:5f:5d:5a:dc:77:b5:b1:29:e8:57:a5:43:b4:
        91:72:bb:1c:cb:e4:3a:93:9c:4f:c6:33:70:c9:18:4a:f7:2f:
        9a:29:8d:2c:17:ec:9d:4b:90:fb:ff:ca:74:59:b9:06:ab:a2:
        82:a8:44:2a:d1:26:e1:57:0f:e4:a3:5a:da:0e:23:08:9b:a2:
        ca:56:1e:1b:d5:1f:73:6a:12:6a:64:cc:e6:ef:94:b5:c7:95:
        28:1e:0f:d0:20:bd:f1:c9:d7:8f:eb:dc:ec:70:e7:c8:ba:b0:
        19:d7:a5:e1:d1:aa:74:2f:fc:ac:12:c7:2d:e6:9d:c7:d3:c5:
        e9:54:12:b3:73:1c:bb:f8:e5:ba:8e:a2:b4:d3:0c:ac:68:ce:
        e5:c3:d3:c1:ec:05:3f:99:e7:50:75:5a:19:a4:3d:4a:d0:73:
        d0:87:67:34:5b:7b:c8:bd:e4:da:86:71:92:fa:7e:9e:0a:cd:
        05:f9:32:65:bf:b1:eb:cf:97:d8:d8:55:80:2e:ce:76:9d:65:
        eb:22:63:4f:b3:29:9d:16:49:38:d5:e5:6e:90:10:93:74:e1:
        a2:cf:89:09:c9:07:47:e1:21:99:0b:4b:ae:5a:07:5a:52:e1:
        af:08:78:e1:72:a7:58:b8:7d:68:ff:31:a4:92:07:e6:ed:f5:
        c7:15:9c:a6
Certificate purposes:
SSL client : No
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No
HighwayStar ★★★★★
()
Ответ на: комментарий от DRVTiny

так на s2s по краней мере в Openfire отдельный сертификат не нужен...

у меня в ejabberd для всех нужд прописан один и тот же сертификат, прописан в нескольких местах в конфиге

HighwayStar ★★★★★
()
Ответ на: комментарий от HighwayStar

Ну ТРЫНДЕЦ просто.
Вот вы, HighwayStar, видите разницу между моим сертификатом и вашим? Я лично вообще разницы не вижу, они абсолютно по одному шаблону сделаны. При этом у вас работает, а у меня - нет.
Ненавижу Openfire и всех его ..ных разработчиков :(

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от hizel

Вот, hizel, обрадую тебя логом коннекта с твоим сервером :) Смотри и внимай :)

./debug.log:2010.12.22 21:01:18 LocalOutgoingServerSession: OS - Trying to connect to vyborg.ru:5269(DNS lookup: o.vyborg.ru:5269)
./debug.log:2010.12.22 21:01:18 LocalOutgoingServerSession: OS - Plain connection to vyborg.ru:5269 successful
./debug.log:2010.12.22 21:01:18 LocalOutgoingServerSession: OS - Indicating we want TLS to vyborg.ru
./debug.log:2010.12.22 21:01:18 LocalOutgoingServerSession: OS - Negotiating TLS with vyborg.ru
./debug.log:2010.12.22 21:01:18 LocalOutgoingServerSession: Handshake error while creating secured outgoing session to remote server: vyborg.ru(DNS lookup: o.vyborg.ru:5269)
./debug.log:Caused by: java.security.cert.CertificateException: target verification failed of [o.vyborg.ru]
./debug.log:2010.12.22 21:01:18 LocalOutgoingServerSession: OS - Going to try connecting using server dialback with: vyborg.ru
./debug.log:2010.12.22 21:01:18 ServerDialback: OS - Trying to connect to vyborg.ru:5269(DNS lookup: o.vyborg.ru:5269)
./debug.log:2010.12.22 21:01:18 ServerDialback: OS - Connection to vyborg.ru:5269 successful
./debug.log:2010.12.22 21:01:18 ServerDialback: OS - Sent dialback key to host: vyborg.ru id: dq38n60zy3pkwdkznifwlatsgz95ycpfk1vyvvil from domain: extel.ru
./debug.log:2010.12.22 21:01:18 ServerDialback: OS - Unexpected answer in validation from: vyborg.ru id: dq38n60zy3pkwdkznifwlatsgz95ycpfk1vyvvil for domain: extel.ru answer:<stream:features xmlns:stream="http://etherx.jabber.org/streams"><starttls xmlns="urn:ietf:params:xml:ns:xmpp-tls"/><dialback xmlns="urn:xmpp:features:dialback"><required/></dialback></stream:features>
./debug.log:2010.12.22 21:01:18 ServerDialback: AS - Verifying key for host: vyborg.ru id: dq38n60zy3pkwdkznifwlatsgz95ycpfk1vyvvil
./debug.log:2010.12.22 21:01:18 ServerDialback: AS - Key was: VALID for host: vyborg.ru id: dq38n60zy3pkwdkznifwlatsgz95ycpfk1v

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

./debug.log:Caused by: java.security.cert.CertificateException: target verification failed of [o.vyborg.ru]

ясен перец, умя корневой сертификат свой, вот и не любятся

в jabberd есть параметр как работать с сертификатом

<!-- SSL verify mode - see SSL_CTX_set_verify(3), mode parameter -->
<verify-mode>0</verify-mode>

что в моем случае значит:
SSL_VERIFY_NONE

ложить с прибором на все ошибки :-)
у jabber.ru думаю так-же

hizel ★★★★★
()
Ответ на: комментарий от DRVTiny

[code]
Wed Dec 22 21:00:14 2010 [notice] [8] [217.151.64.158, port=5269] outgoing route 'vyborg.ru/extel.ru' is now valid, TLS negotiated
Wed Dec 22 21:01:14 2010 [notice] [9] [217.151.64.158, port=53538] incoming connection
Wed Dec 22 21:01:14 2010 [notice] [9] [217.151.64.158, port=53538] incoming stream online (id py3jhy1qanxy1b80g7zo948jwcbzdshl4kroijev)
Wed Dec 22 21:01:14 2010 [notice] [9] [217.151.64.158, port=53538] disconnect, packets: 0
[/code]

заметь, что от меня канальчек поднимается, а в обратку нетъ

hizel ★★★★★
()
Ответ на: комментарий от hizel

У Openfire в админке тоже такой параметр есть, он даже действует (он про vyborg.ru в каком-то месте написал, что сертификат самоподписанный, а ну и ладно). У меня такое впечатление, что Openfire не нравится не собственно цепочка до CA, а именно содержимое полей сертификата. Он его у тебя считывает, начинает анализировать и тут оказывается, что по мнению «Java-разработчиков всего мира» сертификат должен выглядеть не так, а как-то вот этак. Если бы я понимал, как устроен keystore в яве, я бы извлёк самосгенерированные сертификаты Openfire и посмотрел, что в них. Но к сожалению в этой тематике и не в зуб ногой, keytool'ом пользовался исключительно по чужим докам.
Так что, hizel, есть подозрение, что Openfire с каким-нибудь другим Java-сервером подружился бы, поскольку у них одинаковое представление о работе с сертификатами (если в основе лежит Apache Tomcat конечно).
Вообще вынос мозга конечно кошмарный просто...
Я вот думаю... у тебя большой и непонятный файл конфигурации ejabberd'а? Может, мне у себя вместо Openfire его запустить. Но нужен конфиг исходный.
Кстати, посмотрел в Google доки по ejabberd'у и сильно удивился тому, что они хуже, чем у Openfire - я имею в виду не официальные (с таковыми у ejabberd'а вообще полный кошмар), а написанные коммунити. В основном все доки посвящены техническому мусору типа «как установить из сырцов», «как подружить с XXXX базой данных», а не специфике работы XMPP-сервера и соотв. настройке. Большинство предлагают тупо готовый конфиг-файл, который им подходит и вроде как по определению с минимальными переделками должен подойти всему миру.
Твой конфиг мне как раз интересен потому что мы одну и ту же задачу решали хотя бы.

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

>есть подозрение, что Openfire с каким-нибудь другим Java-сервером подружился бы, поскольку у них одинаковое представление о работе с сертификатами

Это фантазии, все с сертификатами работают одинаково и мой jabberd отлично любился с openfire

я сам openfire не пользовал, но есть подозрения что там веб-морда для идиотов, которая напрочь отрубает админскую жилку в мозгу

замечено, что выхлопы об ошибках во всех трех встреченных jabber серваках чуть более чем абсолютно не информативны, видимо тренд такой :-)

а не специфике работы XMPP-сервера и соотв. настройке


я не вижу кака там может быть особая специфика

hizel ★★★★★
()
Ответ на: комментарий от hizel

Админка в Openfire очень даже умная и параметров там тьма - не думаю, что это подошло бы безголовым админам :)
Насчёт коннекта с другими Openfire - всё бы хорошо, но они в каждой новой версии добавляют багов. У меня 3.7.0-beta, например и не факт, что у кого-то ещё она стоит.

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от HighwayStar

А как в еже раз и навсегда отключить любые проверки валидности и неподделанности сертификатов?

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

каждый хвалит свой моностырь, зачем вам жаба и эрланг если можно поставить маленький миленький jabberd 2.x ;D

hizel ★★★★★
()

Озхнакомился с правилами

В общем, трабла решена, трабла называлась Openfire
В ejabberd'е всё заработало, разве что ещё с mod_shared_roster_ldap повозиться надо.

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от hizel

ejabberd круче потому что, в нём вмего завались и народу его юзает немеряно. И ещё он наш, в доску российский.

DRVTiny ★★★★★
() автор топика
Ответ на: Озхнакомился с правилами от DRVTiny

Натсроил mod_shared_roster_ldap, теперь вообще чудесно стало.
В общем, мне сильно жалко того времени, которое я потратил на секс с Openfire :( Кто бы мог подумать, что это такая поделка специально для виндоадминов и больше ни для чего по сути не годится.

DRVTiny ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.