Let’s Encrypt und Prosody

3
1825
TheDigitalArtist / Pixabay

Nachdem mein Let’s Encrypt Zertifikat via Script auf Uberspace erneuert wurde, bekam ich genau 10 Tage später, beim Aufbau der Verbindung zu meinem XMPP-Server, eine Fehlermeldung, dass mein Zertifikat für Prosody abgelaufen sei. Obwohl ich auf die Symlinks meines Zertifikates und des privaten Schlüssels in der Config verwies.

ssl = {  
        key = "/home/intux/var/prosody/ssl/prosody_intux.de_private.key";
        certificate = "/home/intux/var/prosody/ssl/prosody_intux.de.crt";

Prosody lief quasi seit dem Aussetzen durchweg und wusste somit nichts von der Erneueung des Zertifikats. Dies kann man aber durch Stoppen und erneutem Starten des Service Prosody mitteilen. Dies geht auf Uberspace so:

svc -du ~/service/prosody

Ob der Service dann wieder fehlerfrei arbeitet checkt man wie folgt:

tail ~/service/prosody/log/main/current | tai64nlocal
2016-07-15 17:57:55.518977500 c2s2754260 info Client disconnected: closed
2016-07-15 17:57:55.518994500 c2s2a5d350 info Client connected
2016-07-15 17:57:55.518995500 c2s2a5d350 info Client disconnected: closed
2016-07-15 17:57:55.518996500 c2s28ec9c0 info Client connected
2016-07-15 17:57:55.518996500 c2s28ec9c0 info Authenticated as intux@intux.de
2016-07-15 17:57:55.518997500 c2s2805cb0 info c2s stream for intux@intux.de/phone closed: Replaced by new connection
2016-07-15 17:57:55.519038500 c2s2805cb0 info Client disconnected: connection closed
2016-07-15 17:57:55.519039500 c2s28ec9c0 info Client disconnected: closed
2016-07-15 17:57:55.519040500 s2sout2739140 info Beginning new connection attempt to jabber.cz ([88.86.102.58]:5269)
2016-07-15 17:57:55.519041500 s2sout2739140 info outgoing s2s connection intux.de->jabber.cz complete

3 Kommentare

  1. Danke für den Hinweis 🙂

    Eine weitere Frage bleibt für mich:
    Wie hast du sie Symlinks gesetzt, sodass prosody die Zertifikate, welche von letsencrypt unter dem user root (in “/etc/letsencrypt/live/mydomain”) erstellt wurden, lesen kann?
    Liege ich richtig, wenn ich behaupte, dass der Link einen anderen Bestzer als die eigentliche Datei bräuchte? Wenn ja, wie geht das?^^

      • Ok, das habe ich zwar gelesen, aber nicht näher betrachtet. Sry, mein Fehler^^
        Inzwischen habe ich allerdings auch einen Ansatz für eine Installation auf einem Standard-Linux-Host (falls die jemanden hier interessieren sollte).

        1. Gruppe “SSLZert” anlegen
        2. User Root und User www-data der Gruppe hinzufügen
        3. chown des Ordners an die neue Gruppe
        4. Evtl ein chmod, was ich mir noch ansehen müsste
        5. Im Prosody den neuen Pfad angeben und Prosody neustarten

        Werde das heute Abend mal ausprobieren.

Schreibe einen Kommentar zu Paul Antwort abbrechen

Bitte bestätige diesen Kommentar!
Bitte den Namen hier eingeben

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.