Tech-Nerds » tls

ejabberd mit CAcert SSL-Zertifikat

Marc — Wed, 11 Mar 2009 23:32:25 +0000

Ja, Jabber/XMPP-Kennungen sehen aus wie Mailadressen. Und um langwierigen Erklärungen vorzubeugen, habe ich vor einigen Tagen beschlossen, meine Jabber-Kennung meiner Mailadresse anzupassen. Zu diesem Zweck habe ich kurzerhand einen ejabberd installiert. Die grundsätzliche Installation dieses Daemon ist unkompliziert und daher an dieser Stelle nicht weiter erwähnenswert.

Wie es sich für einen standardkonformen XMPP-Server gehört, kennt der ejabberd natürlich auch Kryptographie. Allerdings wird bei der Installation standardmäßig ein eigenes SSL-Zertifikat generiert. Und eben dieses wollte ich durch ein bereits vorhandenes CAcert-Zertifikat ersetzen. Soweit die Idee…

ejabberd generiert nämlich exakt eine pem-Datei und nicht zwei (Privatekey-/Certificate-Paar). Wenn man hier nur das eigentliche Zertifikat von CAcert angibt, wird das natürlich nichts mit der Authentifizierung.

Nach ewiger und erfolgloser Suche nach der Lösung hatte ich dann doch noch die (denkbar simple) Idee: Nach einem Blick in das von ejabberd installierte Zertifikat war klar, dass sowohl Privatekey, wie auch das Serverzertifikat einfach nacheinander in einer Datei untergebracht werden müssen. Dann noch an die richtigen Dateirechte für die Zertifikatdatei denken (nicht vergessen, wie ich im ersten Versuch) und anschließend spielt der ejabberd auch mit CAcert.

Das gleiche funktioniert dann voraussichtlich auch mit anderen Anwendungen, wie beispielsweise znc. Das hoffe ich jedenfalls…

Apache2 mit mehreren SSL-VirtualHosts

Marc — Fri, 06 Feb 2009 16:05:09 +0000

Wer mehrere Domains auf einem Webserver betreibt, wird möglicherweise den Wunsch haben, hier verschiedene SSL-Zertifikate für die jeweiligen Domains zu installieren. Allerdings kann der Server erst nach dem SSL-Handshake entscheiden, welchen Host der Browser angefragt hat.

Abhilfe schafft das die TSL-Erweiterung SNI (Server Name Indication). Unterstützt wird diese doch recht sinnvolle Neuerung aber bisher nur von gnutls. Die Installation auf einem Debian-Server wird hier kurz beschrieben und sollte auch auf anderen Systemen mit geringen Anpassungen machbar sein.

Als Allererstes steht die Installation des Pakets apache2-threaded-dev auf dem Programm (sofern noch nicht geschehen). Dann wird die aktuelle gnutls-Version benötigt. Und zwar von gnu.org. Herunterladen, entpacken, konfigurieren, kompilieren, installieren kennt man ja. Dann benötigen div. Systeme noch einen Aufruf von ldconfig. Anschließend kann dann bereits das Apache-Modul heruntergeladen und installiert werden. Zu bekommen ist es hier.
Die Installationsprozedur verläft hier auch unspektakulär normal. Ich musste configure allerdings den Pfad von apxs2 mitgeben:
./configure --with.apxs2=/usr/bin/apxs2

make install
kopiert das Apache-Modul dann (hoffentlich) an die richtige Stelle. In diesem Fall /usr/lib/apache2/modules

Die Datei /etc/apache2/mods-enabled/gnutls.load wird nun mit folgendem Inhalt erstellt: LoadModule gnutls_module /usr/lib/apache2/modules/mod_gnutls.so
Und auch die Datei /etc/apache2/mods-enabled/gnutls.conf muss erstellt werden. Sie sollte Folgendes enthalten:
GnuTLSCache dbm /var/cache/mod_gnutls_cache GnuTLSCacheTimeout 300

Natürlich müssen die virtuellen Hosts noch angepasst werden. Jeder vHost, der SSL verwenden soll, benötigt folgende Zeilen:
ServerName www.example.de GnuTLSEnable on GnuTLSPriorities NORMAL GnuTLSCertificateFile /etc/certs/example_server.pem GnuTLSKeyFile /etc/certs/example_key.pem DocumentRoot "/var/www/example.de" ...


Die möglicherweise bisher vorhandenen Zeilen, beginnend mit SSL, müssen selbstverständlich den neuen Angaben weichen.
Achtung: Die VirtualHosts-Direktiven müssen mit IP-Adresse definiert werden. Ggf. werden also für ein DocumentRoot 2 Einträge erstellt, beispielsweise bei paralleler Verwendung von IPv4 & IPv6.



SSL-Zertifikate in Symbian
Marc — Mon, 08 Dec 2008 23:48:06 +0000
Die Aktualisierung meiner SSL-Zertifikate auf dem Mailserver stand an. Mithilfe von CAcert war dies auch schnell erledigt.
Zu besagtem Anbieter lassen sich im Internet eigentlich alle notwendigen Informationen finden, darum gehe ich hier nicht weiter auf die Prozedur ein.
Eher wenige Informationen finden sich dagegen zum Import von Root-Zertifikaten auf Geräten mit Symbian-Betriebssystem. Dies ist nämlich nicht so ohne Weiteres machbar, wie ich feststellen musste. Und die CAcert Root-Zertifikate sind, wie auf den meisten anderen Systemen auch, nicht von vornherein enthalten. Somit erhält man bei jedem Verbinden mit dem Server eine Warnmeldung, die eine manuelle Bestätigung erfordert. Und das nervt auf Dauer wirklich.
Ein Download des Root-Zertifikats, in jeglichen zur Verfügung stehenden Formaten, mit anschließender Installation per Browser funktioniert jedenfalls nicht. Und dies ist auch unabhängig vom verwendeten Browser. Meine Hoffnung stützte sich zunächst auf den standardmäßig mitgebrachten Browser meines Nokia E65. Hier schlug der Import des Zertfikats aber genau so fehlt, wie mit Opera oder Skyfire. Das Gerät behauptete, obwohl offensichtlich unwahr, das Zertifikat wäre ungültig.
Die Lösung war allerdings einfacher, als man nun annehmen sollte. Das Zertifikat muss im DER-Format einfach im Telefonspeicher oder – Präsenz vorausgesetzt – der Speicherkarte abgelegt werden. Schon hierfür wird allerdings ein Alternativbrowser benötigt, da der Standardbrowser die Option, Daten einfach nur zu speichern, nicht kennt.
Mit dem Dateimanager (Office -> Dateimanager) kann man dann die abgelegte Datei öffnen; danach wird das Root-Zertifikat installiert. Nachfolgend akzeptieren alle Anwendungen dieses Zertifikat und Verbindungen zum Server werden ohne Notwendigkeit weiterer Interaktion hergestellt.