Abrufen der SSL-Zertifikatkette vom Jabber-Server

Beim Versuch, meinen Jabber-Client (Pidgin) mit einem Jabber-Server mit selbstsigniertem Zertifikat zu verbinden, wird der Fehler "Zertifikat kann nicht überprüft werden" angezeigt.

Da es nicht möglich ist, den Client anzuweisen, die Kette nicht zu validieren, möchte ich die Zertifikatskette erhalten, um sie dort zu importieren. Deshalb benutze ich:

openssl s_client -connect my.jabber.server.net:5222 </dev/null

Ich erhalte die folgende Antwort:

openssl s_client -connect cup1.sprachdienst.fraunhofer.de:5222

> CONNECTED(00000003) 140472458057376:error:140790E5:SSL
> routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
> --- no peer certificate available
> --- No client certificate CA names sent
> --- SSL handshake has read 0 bytes and written 213 bytes
> --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE
> ---

Warum bekomme ich die Zertifikatskette nicht, während mein Jabber-Client dies tut?

Die Lösung lautet: Jabber benötigt Starttls:

openssl s_client -connect my.jabber.server.net:5222 </dev/null -starttls xmpp

gibt das Zertifikat zurück

Einfacher Weg,

1. Pidgin schließen
2. Finden Sie Ihre Zertifikate Ordner ( Win­dows: %appdata%\.purple) (Linux: /home/<Username>/.purple/certificates/x509/tls_peers)
3. Löschen Sie alles im Zertifikatordner.
4. Starten Sie pidgin neu und Sie sollten schließlich ein neues Zertifikat erhalten, das funktioniert.

PS: Windows-Benutzer, mit denen Sie nicht vertraut sind, geben %app­data%einfach %appdata%\.purpleIhre Adressleiste ein und drücken die Eingabetaste.

Das Generieren des selbstsignierten Zertifikats mit dem folgenden Befehl hat bei mir funktioniert:

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout example.key -out example.crt -subj /CN=example.com -addext subjectAltName=DNS:example.com,DNS:example.net,IP:10.0.0.1

(Befehl hier gefunden )