Prosody/jabber kann SSL Zertifikat nicht lesen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
AnonymusChaotic
Beiträge: 115
Registriert: 22.03.2015 16:37:46

Prosody/jabber kann SSL Zertifikat nicht lesen

Beitrag von AnonymusChaotic » 20.02.2016 14:58:23

Hallo,
ich habe mir prosody auf meinem Server installiert (debian8).

Auf meinem Server ist schon letsencrypt installiert und ein Zertifikat erstellt.
Verzeichnis desselben:
/etc/letsencrypt/live/domainname.at/

Die darin enthaltenen Dateien haben jedoch nur Leserechte für Root:root (gut so!), allerdings ist es dadurch prosody nicht möglich, darauf zuzugreifen (und auch nicht, das Verzeichnis zu betreten ^^).

Code: Alles auswählen

Feb 20 14:22:47 certmanager     error   SSL/TLS: Failed to load '/etc/letsencrypt/live/mydomain.at/privkey.pem': Check that the permissions allow Prosody to read this file. (for localhost)
Feb 20 14:22:47 localhost:tls   error   Unable to initialize TLS: error loading private key (Permission denied)
Feb 20 14:22:47 certmanager     error   SSL/TLS: Failed to load '/etc/letsencrypt/live/mydomain/privkey.pem': Previous error (see logs), or other system error. (for localhost)
Feb 20 14:22:47 localhost:tls   error   Unable to initialize TLS: error loading private key (system lib)
Wie geht man hier idealerweise vor? Öffentlich bzw. für alle User lesbar machen ist ja nicht so optimal...
Gruppe anlegen, root und prosody hinzufügen und Berechtigung der Dateien auf root:prosodygruppe ändern?



Bitte um Hilfe :D

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Prosody/jabber kann SSL Zertifikat nicht lesen

Beitrag von mistersixt » 21.02.2016 08:42:03

Wenn der Prozess unter dem User "prosody" laufen soll bzw. läuft, muss dieser User schon die Möglichkeit haben, das Zertifikat zu lesen. Ich würde root:prosody auf das Verzeichnis und das Zertifikat und 750 bzw. 640 auf Folder und Datei setzen.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

AnonymusChaotic
Beiträge: 115
Registriert: 22.03.2015 16:37:46

Re: Prosody/jabber kann SSL Zertifikat nicht lesen

Beitrag von AnonymusChaotic » 22.02.2016 01:27:21

Danke, funktioniert

lilboy
Beiträge: 1
Registriert: 07.03.2017 11:14:12

Re: Prosody/jabber kann SSL Zertifikat nicht lesen

Beitrag von lilboy » 07.03.2017 11:16:27

Hallo zusammen,

ich habe das identische Problem.

Wie berechtige ich Prosody im Detail an den Let´s Encrypt Zertifikaten?

Vielen Dank

AnonymusChaotic
Beiträge: 115
Registriert: 22.03.2015 16:37:46

Re: Prosody/jabber kann SSL Zertifikat nicht lesen

Beitrag von AnonymusChaotic » 07.03.2017 16:05:06

Das Problem, dass Prosody das Zertifikat nicht lesen konnte habe ich dadurch behoben, diese(s) in das Verzeichnis von Prosody zu kopieren und mit passenden Rechten auszustatten. Wird das Zertifikat erneuert, muss auch die Kopie erneuert werden - Ein Chronjob, der täglich einmal als root die Kopie des zertifikats überschreibt mit dem Original sollte ausreichend sein.

Allerdings habe ich dann mit Prosody auch das Problem gehabt, dass P. nicht mit dem Zertifikat von Let'sEncrypt zurechtgekommen ist (bug?). Daraufhin bin ich zu ejabberd gewechselt.
https://www.ejabberd.im/
Debianejabberd

Dort gab es allerdings ebenfalls das Problem der Lesbarkeit und ich entschloss mich ein ähnliches Vorgehen wie bei Prosody beschrieben zu wählen.

EDIT: Das Problem mit der Zertifikat-Lesbarkeit trat erst später auf, ich hatte im Sommer Prosody von meinem Server entfernt.

Antworten