Nachdem mein Let’s Encrypt Zertifikat via Script auf Uberspace erneuert wurde, bekam ich genau 10 Tage später, beim Aufbau der Verbindung zu meinem XMPP-Server, eine Fehlermeldung, dass mein Zertifikat für Prosody abgelaufen sei. Obwohl ich auf die Symlinks meines Zertifikates und des privaten Schlüssels in der Config verwies.
|
1 2 3 |
ssl = { key = "/home/intux/var/prosody/ssl/prosody_intux.de_private.key"; certificate = "/home/intux/var/prosody/ssl/prosody_intux.de.crt"; |
Prosody lief quasi seit dem Aussetzen durchweg und wusste somit nichts von der Erneueung des Zertifikats. Dies kann man aber durch Stoppen und erneutem Starten des Service Prosody mitteilen. Dies geht auf Uberspace so:
|
1 |
svc -du ~/service/prosody |
Ob der Service dann wieder fehlerfrei arbeitet checkt man wie folgt:
|
1 |
tail ~/service/prosody/log/main/current | tai64nlocal |
|
1 2 3 4 5 6 7 8 9 10 |
2016-07-15 17:57:55.518977500 c2s2754260 info Client disconnected: closed 2016-07-15 17:57:55.518994500 c2s2a5d350 info Client connected 2016-07-15 17:57:55.518995500 c2s2a5d350 info Client disconnected: closed 2016-07-15 17:57:55.518996500 c2s28ec9c0 info Client connected 2016-07-15 17:57:55.518996500 c2s28ec9c0 info Authenticated as intux@intux.de 2016-07-15 17:57:55.518997500 c2s2805cb0 info c2s stream for intux@intux.de/phone closed: Replaced by new connection 2016-07-15 17:57:55.519038500 c2s2805cb0 info Client disconnected: connection closed 2016-07-15 17:57:55.519039500 c2s28ec9c0 info Client disconnected: closed 2016-07-15 17:57:55.519040500 s2sout2739140 info Beginning new connection attempt to jabber.cz ([88.86.102.58]:5269) 2016-07-15 17:57:55.519041500 s2sout2739140 info outgoing s2s connection intux.de->jabber.cz complete |
Danke für den Hinweis 🙂
Eine weitere Frage bleibt für mich:
Wie hast du sie Symlinks gesetzt, sodass prosody die Zertifikate, welche von letsencrypt unter dem user root (in „/etc/letsencrypt/live/mydomain“) erstellt wurden, lesen kann?
Liege ich richtig, wenn ich behaupte, dass der Link einen anderen Bestzer als die eigentliche Datei bräuchte? Wenn ja, wie geht das?^^
Du meinst aber schon Uberspace? Dort ist es nicht möglich Root-Rechte vom User zu vergeben.
Ok, das habe ich zwar gelesen, aber nicht näher betrachtet. Sry, mein Fehler^^
Inzwischen habe ich allerdings auch einen Ansatz für eine Installation auf einem Standard-Linux-Host (falls die jemanden hier interessieren sollte).
1. Gruppe „SSLZert“ anlegen
2. User Root und User www-data der Gruppe hinzufügen
3. chown des Ordners an die neue Gruppe
4. Evtl ein chmod, was ich mir noch ansehen müsste
5. Im Prosody den neuen Pfad angeben und Prosody neustarten
Werde das heute Abend mal ausprobieren.