jabber mit ssl/tls

Mardor

Well-Known Member
Hallo,

hat jemand von euch schonmal unter freebsd (7.0) ein jabber (jabber-1.6.1.1) aufgesetzt und mit Verschlüsselung laufen lassen. Mein jabberd funktioniert ohne verschlüsselte Verbindung ohne Probleme. Nur bei der verschlüsselten Verbindung habe ich massive Probleme. Pidgin sagt mir beispielsweise, dass die Verschlüssung angefordert wurde jedoch der Server darauf nicht antwortet. Im Log tauscht leider keine Meldung auf.

Meine Konfiguration:
<tls>
<dhparams type='pem'>/usr/local/etc/dhparams.pem</dhparams>
<domain>jabber.domain.tld</domain>
<domain>transport.localhost</domain>
<domain>transport.jabber.domain.tld</domain>
<!-- <cacertfile>/usr/local/etc/jabber.domain-tld.cacert.pem</cacertfile> -->
<ca type='pem'>/usr/local/etc/jabber.domain-tld.cacert.pem</ca>
<!-- <key id='1.129.2.1'>/usr/local/etc/jabber_cert_and_key.pem</key> -->
<pem>/usr/local/etc/jabber_cert_and_key.pem</pem>
<compression>LZO DEFLATE NULL</compression>
</tls>

Die auskommentierten Zeilen habe ich in auch bereits ohne Erfolg getestet.
Mir würde es vielleicht schon helfen, wenn jemand seinen Teil der jabber.xml senden könnte.

Gruß Mardor
 
Last edited:
Versuch mal das hier:

Code:
<!--
      <ip port="5222">xxx.xxx.xxx.xxx</ip>
      -->

 <!--
      <ip port="5222">::</ip>
      -->

<tls port='5223'>xxx.xxx.xxx.xxx</tls>

 <tls>

      <key id='xxx.xxx.xxx.xxx'>/usr/local/etc/jabber_cert_and_key.pem</key>

    </tls>
 
Last edited:
Hallo morromett,

ich habe die Änderungen durchgeführt. Leider funktioniert es mit diesen Einstellungen auch nicht. Die genaue Fehlermeldung lautet: "Sie fordern Verschlüsselung, aber diese ist auf dem Server nicht verfügbar"

Mit dieser Einstellung ist nur noch Port 5223 anstatt 5222 aktiv.

Gruß Mardor

Update: Die Berechtigung habe ich testweise auf 755 gestellt. Jedoch hilft dies nicht weiter
Update 2: Ich hatte für das Zertfikat als selfsigned (mit meiner CA) erstellt
 
Last edited:
die von jabberd-1.6 verwenden ciphers sind scheinbar zu stark für pidgin. Siehe hier. Das dürfte bei Dir der Fall sein, wenn starttls zwar angeboten wird, der TLS-Handshake aber fehlschlägt (sieht man z.b. in wireshark)
 
@Mardor und foobarflu:

Ich benutze auch jabber-server in jails unter FreeBSD. Jabberd2 als Hauptserver (weil schneller) und Jabber14 als Ersatzserver (weil langsamer). Beide mit Verschlüsselung. Als IM-Client für den Zugang zu meinen Jabber-servern wird, wegen otr-Verschlüsselung, nur Pidgin verwendet. Alles funktioniert einwandfrei.

Für den Jabber14 kann man Port 5222 (ohne Verschlüsselung) verwenden und Port 5223 (nur mit Verschlüsselung). Port 5222 funktioniert mit Domains und Port 5223 funktioniert nur mit IP-Adressen.

Das pem-File für den Port 5223 muss man wie folgt erzeugen:
cd /usr/local/etc
openssl req -new > sslcert.csr
openssl rsa -in privkey.pem -out sslcert.key
openssl x509 -in sslcert.csr -out sslcert.cert -req -signkey sslcert.key -days 3650
cat sslcert.key > /usr/local/etc/cert_and_key.pem
cat sslcert.cert >> /usr/local/etc/cert_and_key.pem
chmod 600 /usr/local/etc/cert_and_key.pem
chown jabber:jabber /usr/local/etc/cert_and_key.pem
rm privkey.pem sslcert.key sslcert.csr sslcert.cert

Im Pidgin für jabber14 (port 5223) mit Verschlüsselung:
"Erzwinge altes SSL (Port 5223)" aktivieren
und Port 5223 eintragen.
 
Jabberd2 und Registrierungsfehler

Hallo morromett,

danke für deine ausführliche Beschreibung. Ich habe nun sowohl mit PSI/Win als auch mit PSI/Ubuntu getestet. Leider auch hier ohne Erfolg. Die Konfiguration bzgl. SSL habe ich identisch zu deiner Konfiguration.

Ich habe jetzt jabberd2 installiert und werde dies jetzt mit diesem Jabber Server testen.
Trotzdem vielen vielen danke für die Hilfe.

Gruß Mardor
 
Last edited:
Back
Top