Abrufen der SSL-Zertifikatkette vom Jabber-Server

8

Beim Versuch, meinen Jabber-Client (Pidgin) mit einem Jabber-Server mit selbstsigniertem Zertifikat zu verbinden, wird der Fehler "Zertifikat kann nicht überprüft werden" angezeigt.

Da es nicht möglich ist, den Client anzuweisen, die Kette nicht zu validieren, möchte ich die Zertifikatskette erhalten, um sie dort zu importieren. Deshalb benutze ich:

openssl s_client -connect my.jabber.server.net:5222 </dev/null

Ich erhalte die folgende Antwort:

openssl s_client -connect cup1.sprachdienst.fraunhofer.de:5222

> CONNECTED(00000003) 140472458057376:error:140790E5:SSL
> routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
> --- no peer certificate available
> --- No client certificate CA names sent
> --- SSL handshake has read 0 bytes and written 213 bytes
> --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE
> ---

Warum bekomme ich die Zertifikatskette nicht, während mein Jabber-Client dies tut?

ProfHase85
quelle

Antworten:

9

Die Lösung lautet: Jabber benötigt Starttls:

openssl s_client -connect my.jabber.server.net:5222 </dev/null -starttls xmpp

gibt das Zertifikat zurück

ProfHase85
quelle
0

Einfacher Weg,

  1. Pidgin schließen
  2. Finden Sie Ihre Zertifikate Ordner ( Win­dows: %appdata%\.purple) (Linux: /home/<Username>/.purple/certificates/x509/tls_peers)
  3. Löschen Sie alles im Zertifikatordner.
  4. Starten Sie pidgin neu und Sie sollten schließlich ein neues Zertifikat erhalten, das funktioniert.

PS: Windows-Benutzer, mit denen Sie nicht vertraut sind, geben %app­data%einfach %appdata%\.purpleIhre Adressleiste ein und drücken die Eingabetaste.

Null Zeiger
quelle
Nicht, wenn Ihr Server ein selbstsigniertes Zertifikat vorlegt (obwohl es nicht gut ist, ein auf diese Weise heruntergeladenes Zertifikat blind zu akzeptieren). Wenn Ihnen dies passiert, sehen Sie: nss: ERROR -8172: SEC_ERROR_UNTRUSTED_ISSUERim Debug-Fenster für eines der empfangenen Zertifikate.
Noobish
-1

Das Generieren des selbstsignierten Zertifikats mit dem folgenden Befehl hat bei mir funktioniert:

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout example.key -out example.crt -subj /CN=example.com -addext subjectAltName=DNS:example.com,DNS:example.net,IP:10.0.0.1

(Befehl hier gefunden )

Ren
quelle
Hallo, die Frage ist, wie man ein bereits generiertes und installiertes Zertifikat vom Jabber-Server erhält, ohne ein neues zu generieren.
Quantim