[Comm] ejabberd and ssl/tls

[Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 779 bytes --]

Hi,
Спасибо всем принимавшим участие в моём процессе поднятия ejsbberd.
C любезно предоставленными Alex Gorbachenko пакетами всё взвелось и
даже пережило один переезд серверной. :)
Теперь возник вопрос прикручивания SSL/TLS. До этих пор с таким дела
вообще не имел. Дока крайне скудная. Может где есть толковое
описание скрещивания Ejabberd с этой штуковиной?
Или у кого есть заготовленное микроКакСделать?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 642 bytes --]

On Mon, 10 Apr 2006 16:34:02 +0300
Andrii wrote:

>Теперь возник вопрос прикручивания SSL/TLS. До этих пор с таким дела
>вообще не имел. Дока крайне скудная. Может где есть толковое
>описание скрещивания Ejabberd с этой штуковиной?

apt-get install openssl;
cd /var/lib/ssl/certs;
make ejabberd.pem;
chown root:ejabberd ejabberd.pem;

в ejabberd.cfg
% SSL-enabled client-2-server service
  {5223, ejabberd_c2s,     [{access, c2s},
                            ssl,
                            {certfile,
"/var/lib/ssl/certs/ejabberd.pem"}]},

всё. достаточно толковое описание ? :)

-- 
np: Arch Enemy - End of the Line

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1198 bytes --]

Alex Gorbachenko пишет:
> On Mon, 10 Apr 2006 16:34:02 +0300
> Andrii wrote:
> 
>> Теперь возник вопрос прикручивания SSL/TLS. До этих пор с таким дела
>> вообще не имел. Дока крайне скудная. Может где есть толковое
>> описание скрещивания Ejabberd с этой штуковиной?
> 
> apt-get install openssl;
> cd /var/lib/ssl/certs;
> make ejabberd.pem;
> chown root:ejabberd ejabberd.pem;
> 
> в ejabberd.cfg
> % SSL-enabled client-2-server service
>   {5223, ejabberd_c2s,     [{access, c2s},
>                             ssl,
>                             {certfile,
> "/var/lib/ssl/certs/ejabberd.pem"}]},
> 
> всё. достаточно толковое описание ? :)
> 
Если сегодня всё получится, то лучше не бывает... :)
И уже сразу, как заставить сервер всегда требовать от клиента
передачи по сети только кодированного пароля?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 265 bytes --]

On Tue, 11 Apr 2006 10:10:50 +0300
Andrii wrote:

>И уже сразу, как заставить сервер всегда требовать от клиента
>передачи по сети только кодированного пароля?

никак. можете не разрешать c2s без ssl, как вариант.

-- 
np: Arch Enemy - Saints and Sinners

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1433 bytes --]

Andrii Dobrovol`s`kii пишет:
> Alex Gorbachenko пишет:
>> On Mon, 10 Apr 2006 16:34:02 +0300
>> Andrii wrote:
>>
>>> Теперь возник вопрос прикручивания SSL/TLS. До этих пор с таким дела
>>> вообще не имел. Дока крайне скудная. Может где есть толковое
>>> описание скрещивания Ejabberd с этой штуковиной?
>> apt-get install openssl;
>> cd /var/lib/ssl/certs;
>> make ejabberd.pem;
>> chown root:ejabberd ejabberd.pem;
>>
>> в ejabberd.cfg
>> % SSL-enabled client-2-server service
>>   {5223, ejabberd_c2s,     [{access, c2s},
>>                             ssl,
>>                             {certfile,
>> "/var/lib/ssl/certs/ejabberd.pem"}]},
>>
>> всё. достаточно толковое описание ? :)
>>
> Если сегодня всё получится, то лучше не бывает... :)
> И уже сразу, как заставить сервер всегда требовать от клиента
> передачи по сети только кодированного пароля?
> 
Опять "не идёт каменный цветок..." :(
 certs]# make ejabberd.pem
-bash: make: command not found
rpmquery -a|grep open
openssl-0.9.7d-alt2
pwd
/var/lib/ssl/certs
Что не так?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 151 bytes --]

On Tue, 11 Apr 2006 12:51:12 +0300
Andrii wrote:

>bash: make: command not found
apt-get install make

-- 
np: Arch Enemy - Saints and Sinners

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 545 bytes --]

Alex Gorbachenko пишет:
> On Tue, 11 Apr 2006 12:51:12 +0300
> Andrii wrote:
> 
>> bash: make: command not found
> apt-get install make
> 
Будем вешать багу на зависимости?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 140 bytes --]

On Tue, 11 Apr 2006 14:09:14 +0300
Andrii wrote:

>Будем вешать багу на зависимости?
нет. 

-- 
np: Arch Enemy - Saints and Sinners

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 622 bytes --]

Alex Gorbachenko пишет:
> On Tue, 11 Apr 2006 14:09:14 +0300
> Andrii wrote:
> 
>> Будем вешать багу на зависимости?
> нет. 
> 
Так ведь без него пакет не полнофункционален? Да можно расковырять
Makefile и воспроизвести нужную команду руками, но...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 535 bytes --]

On Tue, 11 Apr 2006 14:58:18 +0300
Andrii wrote:

>Так ведь без него пакет не полнофункционален? Да можно расковырять
>Makefile и воспроизвести нужную команду руками, но...

расковыривать Makefile для того, чтобы узнать что все Makefile
являются набором инструкций для make ? :) это шутка ?

1. по моему обязательность наличия make для выполнения Makefile довольно
очевидна. 
2. для реализации основных ф-ций openssl, make не нужен.

-- 
np: Music/Arch Enemy/[2001] Wages Of Sin/arch enemy - 03 - Heart of
Darkness.mp3

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1174 bytes --]

Alex Gorbachenko пишет:
> On Tue, 11 Apr 2006 14:58:18 +0300
> Andrii wrote:
> 
>> Так ведь без него пакет не полнофункционален? Да можно расковырять
>> Makefile и воспроизвести нужную команду руками, но...
> 
> расковыривать Makefile для того, чтобы узнать что все Makefile
> являются набором инструкций для make ? :) это шутка ?
>
Там не только инструкции для мейка но и сами команды создания
сертификатов.

> 1. по моему обязательность наличия make для выполнения Makefile довольно
> очевидна. 
Не совсем. В пакете, ИМХО, не должно быть неработающих кусков. Раз
пакет установлен с соблюдением всех зависимостей, то всё должно
работать.
> 2. для реализации основных ф-ций openssl, make не нужен.
> 
Значит нужно паковать дополнения отдельно. Или таки проставлять все
зависимости, ИМХО.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Anton Gorlov]

Andrii Dobrovol`s`kii пишет:

> Значит нужно паковать дополнения отдельно. Или таки проставлять все
> зависимости, ИМХО.
+1

-- 
   np: Angtoria - The Addiction

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 510 bytes --]

On Tue, 11 Apr 2006 18:00:35 +0400
Anton wrote:

>> Значит нужно паковать дополнения отдельно. Или таки проставлять все
>> зависимости, ИМХО.
>+1

возможность создавать сертификаты это не "дополнения". 

"мягких" зависимостей, как в deb, rpm не умеет.

мне лично на моих серверах нужен openssl, но не нужен make. потому как
openssl отлично работает и без него, а сертификаты я создаю на своём
рабочем компьютере.

резюме: зависимость на make будет лишней. 

-- 
np: Arch Enemy - Web Of Lies

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Dmitriy L. Kruglikov]

On Wed, 12 Apr 2006 09:48:35 +0400
Alex Gorbachenko wrote:

> мне лично на моих серверах нужен openssl, но не нужен make. потому как
> openssl отлично работает и без него, а сертификаты я создаю на своём
> рабочем компьютере.
> 
> резюме: зависимость на make будет лишней. 
Резонно ....

Прямее будет разместить команду на создание сертификатов в
postinstall ...




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
У вас еще лапша на ушах не обсохла

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1230 bytes --]

Dmitriy L. Kruglikov пишет:
> On Wed, 12 Apr 2006 09:48:35 +0400
> Alex Gorbachenko wrote:
> 
>> мне лично на моих серверах нужен openssl, но не нужен make. потому как
>> openssl отлично работает и без него, а сертификаты я создаю на своём
>> рабочем компьютере.
>>
>> резюме: зависимость на make будет лишней. 
> Резонно ....
> 
> Прямее будет разместить команду на создание сертификатов в
> postinstall ...
> 
Чем поможет postinstall при отсутствии make?
Алекс, Вы сами же и написали, что всё для чего нужен make --
дополнения. Так как на основную работоспособность пакета никак не
влияет. Зачем нужно всё, что связано с созданием сертификатов в
основном пакете, если их вообще можно создавать на другой машине? И
более того их можно вообще созавать без make. Просто придется
выполнить руками последовательность действий "забитую" в Makefile.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Dmitriy L. Kruglikov]

On Wed, 12 Apr 2006 11:24:20 +0300
Andrii Dobrovol`s`kii wrote:

> > Прямее будет разместить команду на создание сертификатов в
> > postinstall ...
> > 
> Чем поможет postinstall при отсутствии make?
Скип ....
> Просто придется
> выполнить руками последовательность действий "забитую" в Makefile.
Вот вы сами и ответили на свой вопрос ...

В postinstall и забить эту последовательность ...
При установке пакета, сразу после размещения файлов в нужные места,
вызывается скрипт, который задает несколько вопросов, при необходимости,
и создает сертификаты ...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Старость избавляет нас от многих искушений чувственности, возвышает 
нас над разочарованиями юности и внушает нам ту тихую покорность, 
которая не требует от мира более того, что он нам может дать.
		-- Ф.Кирхнер

Re: [Comm] ejabberd and ssl/tls

[Aleksey Avdeev]

Dmitriy L. Kruglikov пишет:
> On Wed, 12 Apr 2006 11:24:20 +0300
> Andrii Dobrovol`s`kii wrote:
> 
> 
>>>Прямее будет разместить команду на создание сертификатов в
>>>postinstall ...
>>>
>>
>>Чем поможет postinstall при отсутствии make?
> 
> Скип ....
> 
>>Просто придется
>>выполнить руками последовательность действий "забитую" в Makefile.
> 
> Вот вы сами и ответили на свой вопрос ...
> 
> В postinstall и забить эту последовательность ...
> При установке пакета, сразу после размещения файлов в нужные места,
> вызывается скрипт, который задает несколько вопросов, при необходимости,
                     ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

> и создает сертификаты ...

  И прощай неинтерерактивная установка? А оно того стоит?

-- 

С уважением. Алексей.

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1371 bytes --]

Aleksey Avdeev пишет:
> Dmitriy L. Kruglikov пишет:
>> On Wed, 12 Apr 2006 11:24:20 +0300
>> Andrii Dobrovol`s`kii wrote:
>>
>>
>>>> Прямее будет разместить команду на создание сертификатов в
>>>> postinstall ...
>>>>
>>> Чем поможет postinstall при отсутствии make?
>> Скип ....
>>
>>> Просто придется
>>> выполнить руками последовательность действий "забитую" в Makefile.
>> Вот вы сами и ответили на свой вопрос ...
>>
>> В postinstall и забить эту последовательность ...
>> При установке пакета, сразу после размещения файлов в нужные места,
>> вызывается скрипт, который задает несколько вопросов, при необходимости,
>                      ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> 
>> и создает сертификаты ...
> 
>   И прощай неинтерерактивная установка? А оно того стоит?
> 
Господа, Вы ушли слишком далеко от обсуждения. Обратитесь к
первоисточнику... :)
Я совершенно не о том написал. И ни разу не предлагаю создавать
сертификаты в процессе установки. Это уже явно перебор.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1206 bytes --]

Alex Gorbachenko пишет:
> On Mon, 10 Apr 2006 16:34:02 +0300
> Andrii wrote:
> 
>> Теперь возник вопрос прикручивания SSL/TLS. До этих пор с таким дела
>> вообще не имел. Дока крайне скудная. Может где есть толковое
>> описание скрещивания Ejabberd с этой штуковиной?
> 
> apt-get install openssl;
> cd /var/lib/ssl/certs;
> make ejabberd.pem;
> chown root:ejabberd ejabberd.pem;
> 
> в ejabberd.cfg
> % SSL-enabled client-2-server service
>   {5223, ejabberd_c2s,     [{access, c2s},
>                             ssl,
>                             {certfile,
> "/var/lib/ssl/certs/ejabberd.pem"}]},
> 
> всё. достаточно толковое описание ? :)
> 
О, забыл уточнить. Как указать при создании сертификата название
виртуального хоста для которого он создается? Или нужен всего один
сертификат для основного узла(node)?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 320 bytes --]

On Tue, 11 Apr 2006 10:14:15 +0300
Andrii wrote:

>О, забыл уточнить. Как указать при создании сертификата название
>виртуального хоста для которого он создается? Или нужен всего один
>сертификат для основного узла(node)?

у меня нет виртхостов, поэтому 1 сертификат.

-- 
np: Arch Enemy - Saints and Sinners

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 710 bytes --]

Alex Gorbachenko пишет:
> On Tue, 11 Apr 2006 10:14:15 +0300
> Andrii wrote:
> 
>> О, забыл уточнить. Как указать при создании сертификата название
>> виртуального хоста для которого он создается? Или нужен всего один
>> сертификат для основного узла(node)?
> 
> у меня нет виртхостов, поэтому 1 сертификат.
> 
Ладно, бум пробовать...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Comm] ejabberd and ssl/tls

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1016 bytes --]

Alex Gorbachenko пишет:
> On Tue, 11 Apr 2006 10:14:15 +0300
> Andrii wrote:
> 
>> О, забыл уточнить. Как указать при создании сертификата название
>> виртуального хоста для которого он создается? Или нужен всего один
>> сертификат для основного узла(node)?
> 
> у меня нет виртхостов, поэтому 1 сертификат.
> 
Можно считать доку достаточной. :) Вроде заработало. И в веб морде
стало гораздо больше кнопочек... :)) И заставить его работать
исключительно с шифрованием можно. Только пока не уверен куда это
вписывать...
Есть параметры starttls и starttls_required
Во втором случае как раз и должно работать исключительно с криптованием.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]