LINUX.ORG.RU
ФорумAdmin

SSL-сертификат для Ejabberd

 


0

3

Привет, ЛОР, есть один Jabber-сервер.

Хостится он на хосте xmpp.somehost.ee, клиенты подключаются посредством SRV-записи к somehost.ee.

Вопрос: для какого хоста нужно выпускать сертификат? xmpp.somehost.ee или же somehost.ee?

Шпасибо.

★★★★☆

Сертификат должен быть на somehost.ee. Это если клиенты подключаются с помощью STARTLS. Если же они используют legacy SSL (обычно на 5223 порту висит), то тогда xmpp.somehost.ee. Но опять же, другие серверы только через STARTLS подключаются.

TeopeTuK ★★★★
()
Ответ на: комментарий от TeopeTuK

Почему же не подойдет? А как тогда весь остальной интернет использует wildcard? Почему когда я захожу на чью-то главную страницу типа somehost.zone, он мне не ругается на небезопасное подключение? Или я что-то путаю?

ivan_dav
()

Делай DNS Alt Name на оба, тогда точно не ошибёшься.

INFOMAN ★★★★★
()
Ответ на: комментарий от thesis

спасибо.

А что насчёт Mail-сервера? условия такие же — MX-запись на sub.domain.ltd, принимает почту на domain.ltd

В этих ваших интернетах мнения противоречивые.

annerleen ★★★★☆
() автор топика
Ответ на: комментарий от annerleen

Сертификатом здоровается тот хост, куда осуществляется подключение. Субъект сертификата должен совпадать с адресом, к которому осуществляется подключение, и пофиг, для каких доменов вся эта мама принимает почту / обслуживет чатик, для TLS handshake существует только DNS-имя хоста.
Для многодоменных случаев боженька создал subjectAltName, жрать оно не просит, сколько надо - столько задавай.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от annerleen

Я бы вписывал все варианты в альтнейм и не мучался, благо летсенкрипт позволяет достаточно много хостов в один сертификат впихнуть.

INFOMAN ★★★★★
()
Ответ на: комментарий от thesis

thesis, INFOMAN, спасибо.

Попытался выпустить сертификат с альт-неймом у GeoTrust — в итоге послали нафиг меня с таким запросом :)

Но вроде бы работает сертификат только для того хоста, который указан в MX-записи.

annerleen ★★★★☆
() автор топика
Ответ на: комментарий от annerleen

Потому что всякие геотрасты нафиг не нужны

sudo acmetool want <список альтнеймов>

INFOMAN ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.