Ошибка ssl-сертификата в ejabberd

0

1

Всех с добрым утром. Решил себе установить jabber-сервер, выбрал ejabberd, который раньше и использовал, установил, поправил конфиг для своего хоста, и всё прочее. При установке, насколько мне известно, генерируются сертификаты для jabber-сервера, и их можно увидеть в /etc/ssl/ejabberd . Так вот, раскомментировал строки с описанием сертификата, запустил ejabberd, всё вроде бы нормально. Но когда пытаюсь подключаться через клиент(Учётную запись создал с помощью ejabberdctl), то в лог валится следующее - http://paste.debian.net/17941/

Чего уж я только и не пробовал перед тем, как написать сюда. И сам генерировал сертификаты, и переносил из старого бэкапа с Дебиановской виртуалки, где раньше стоял такой же jabber-сервер, и всё та же ошибка. Буду очень-очень благодарен за помощь.

make.conf - http://bpaste.net/show/116505/

ejabberd.cfg - http://bpaste.net/show/116506/

package.use - http://bpaste.net/show/116507/

emerge --info - http://bpaste.net/show/116508/

В логах написано «No start line», я быстренько посмотрел на указанный сертификат, но там есть все директивы, как

-----BEGIN RSA PRIVATE KEY-----

Ну и остальные.

Ссылка

←	Помогите придумать алгоритм, для более граммотно подсчета аптайма?

Squid - web-статистика

→

угу, а должно быть
-----BEGIN CERTIFICATE-----

fbiagent ★★★
(23.07.13 10:00:00 MSK)

Ответ на: комментарий от fbiagent 23.07.13 10:00:00 MSK

Ну и это там тоже есть. server.pem, в общем, выглядит так:

-----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

mahalaka ★★
(23.07.13 10:09:34 MSK) автор топика

Ответ на: комментарий от mahalaka 23.07.13 10:09:34 MSK

Дык это ключ и корневой сертификат самого сервера сертификации. Нужно сначала сгенерить новый private key, потом создать на его основе запрос на сертификат, подсунуть запрос ЦС, тот выплюнет конечный сертификат. Вот его и прописывать для жабера.
Вообщем man openssl.

fbiagent ★★★
(23.07.13 10:34:24 MSK)

Ответ на: комментарий от fbiagent 23.07.13 10:34:24 MSK

emerge всё это уже делает, при установке ejabberd написано:

* Generating Certificate Signing Request ... [ ok ]

* Generating authority-signed X.509 Certificate ... [ ok ]

* Generating PEM Certificate ...

В /etc/ssl/ejabberd/ лежат файлы

server.crt server.csr server.key server.pem

И какой тогда указывать в конфиге?

mahalaka ★★
(23.07.13 10:39:14 MSK) автор топика

Ответ на: комментарий от mahalaka 23.07.13 10:39:14 MSK

crt?

fbiagent ★★★
(23.07.13 10:44:20 MSK)

Ответ на: комментарий от fbiagent 23.07.13 10:44:20 MSK

http://paste.org.ru/?6ug6l3

mahalaka ★★
(23.07.13 10:53:51 MSK) автор топика

Ответ на: комментарий от mahalaka 23.07.13 10:53:51 MSK

видимо еще какая-то беда с конфигом...

fbiagent ★★★
(23.07.13 11:17:16 MSK)

Ответ на: комментарий от fbiagent 23.07.13 11:17:16 MSK

Конфиг вообще стандартный, только хост на свой поменял, да шифрование раскомментировал.

mahalaka ★★
(23.07.13 11:18:16 MSK) автор топика

Ответ на: комментарий от mahalaka 23.07.13 11:18:16 MSK

вот здесь http://www.ejabberd.im/node/39
способ шифрования указан перед сертификатом, у тебя после...

fbiagent ★★★
(23.07.13 11:36:57 MSK)

Ответ на: комментарий от fbiagent 23.07.13 11:36:57 MSK

Не знаю какое это имеет значение, но способ шифрования поставил перед сертификатом, и всё-равно в логе та же ошибка. Как с server.pem так и с server.crt.

mahalaka ★★
(23.07.13 11:54:32 MSK) автор топика

Ссылка

Ответ на: комментарий от fbiagent 23.07.13 11:36:57 MSK

Да и к тому же у меня ошибка

{{badmatch,{error,"SSL_CTX_use_certificate_file failed: error:0906D06C:PEM routines:PEM_read_bio:no start line"}}

«no start line» будто он что-то прочитать не может.

mahalaka ★★
(23.07.13 11:56:53 MSK) автор топика

Ответ на: комментарий от mahalaka 23.07.13 11:56:53 MSK

Может все-таки сертификат криво сгенерился, не заполнил какое-то поле... Я бы вручную сгенерил. Да, а без SSL работает?

fbiagent ★★★
(23.07.13 12:07:08 MSK)

Ответ на: комментарий от fbiagent 23.07.13 12:07:08 MSK

Я вручную генерировал, копировал из бэкапа виртуалки с Дебианом, где всё работало - всё-равно такая же ошибка. Да, без ssl работает.

mahalaka ★★
(23.07.13 12:10:50 MSK) автор топика

Ссылка

может openssl обновить/откатить на версию?

fbiagent ★★★
(23.07.13 12:22:20 MSK)

Ответ на: комментарий от fbiagent 23.07.13 12:22:20 MSK

Стоит последний стабильный из портежей. Попробую сейчас, откачу на версию назад, сгенерирую сертификаты, позже отпишусь.

mahalaka ★★
(23.07.13 12:23:38 MSK) автор топика

Ссылка

Ответ на: комментарий от fbiagent 23.07.13 12:22:20 MSK

Откатил на 1.0.0h с 1.0.1c, сгенерировал сертификаты, всё-равно то же самое.

mahalaka ★★
(23.07.13 12:35:10 MSK) автор топика

Ответ на: комментарий от mahalaka 23.07.13 12:35:10 MSK

в качестве чистоты эсперимента, erlang и ejabberd собраны с ssl?

fbiagent ★★★
(23.07.13 12:54:41 MSK)

Ответ на: комментарий от fbiagent 23.07.13 12:54:41 MSK

http://paste.org.ru/?bcigz8 конечно.

mahalaka ★★
(23.07.13 13:06:05 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите придумать алгоритм, для более граммотно подсчета аптайма?

Admin

Squid - web-статистика

→

Похожие темы