powered by Jive Software

Opefire SSL/TLS Hostname verification of certificate failed. Certificate does not authenticate openfire

Всем привет.
Прошу помочь с openfire 4.7.4 + spark 3, вся проблема в ошибке в spark «Ошибка проверки имени хоста сервера», если отключить проверку, то всё подключается без проблем, но хотелось бы настроить всё правильно.
Сгенерировал openfire.crt , openfire.key серверные сертификат(добавлен в openfire server в «Хранилище удостоверений») ca.ctr, ca,key добавлен в доверенные на клиенте и в «Trust store used for connections from other servers» на openfire server, dns настроен, но ошибка осталась, возможно я что-то делаю не так, есть ли пошаговая инструкция, или те кто всё настроил и у кого всё работает с самоподписанными сертификатами.
“Hi.
Please help with openfire 4.7.4 + spark 3, the whole problem is an error in spark “Error checking server hostname”, if you disable the check, then everything connects without problems, but I would like to set everything up correctly…
Generated openfire.crt , openfire.key server certificate (added to openfire server in “Identity Store”) ca.ctr, ca,key added to trusted on the client and to “Trust store used for connections from other servers” on openfire server, dns configured, but the error remains, maybe I’m doing something wrong, is there a step-by-step instruction, or those who set everything up and for whom everything works with self-signed certificates.”

Привет, да в Spark 2.9.4 был баг, что все самоподписанные сертификаты принимались, но в Spark 3.0.0 пофиксили. Сложно смоделировать вашу ситуацию из за того, что у меня нету в моей среде Центра Сертификации.
Но можно сделать так(несколько вариантов):
1)Выпустить на сервере Openfire самоподписанный сертификат, далее подключиться одним клиентом Spark к серверу и Spark добавит их в доверенные. Далее папку security из профиля пользователя кинуть всем пользователям.
2)Либо выпустить самоподписанный сертификат в Openfire и каждый пользователь при первом подключении будет сам добавлять сертификат в свой профиль.

Кстати вы используете Spark 32bit или 64bit?

Пробовал 32bit битный, без установки java и 64bit с установкой.(сейчас 64bit)
Я выпустил самоподписанный сертификат(openfire.crt) и центр сертификации(ca.ctr), через веб интерфейс добавил его и центр сертификации на сервер openfire, на сервере сертификат теперь с статусом “Подпись CA”.
На клиентском ПК добавил CA в Spark и Windows доверенные центры сертификации, DNS настроен. Но ошибка всё таже. Не могу понять в чём дело, уже несколько дней бьюсь с этой проблемой=((

А попробуйте сделать самоподписанный сертификат через панель управления Openfire, главное посмотрите что бы сервер использовал только его.

1)Я сгенерировал сертификаты через веб история та же.
2)Обновил данные сертификата созданный через веб, создался запрос на подпись, я подписал его через CA в консоли данного сервера, статус стал “подписаны CA”, установил этот CA везде где только можно(сервер, ПК, spark) и всё тоже самое. Я начинаю думать что ошибка: “Ошибка проверки имени хоста сертификата”, связанна с какими то данными в сертификате, которые нужно обязательно ввести согласно синтаксису, или связана с другими службами, хотя DNS к примеру у меня настроен правильно.
имя сервера openfire.son.local, в “Common Name” я пишу openfire.son.local

А, я понял в чём проблема.
У вас FQDN должен совпадать с тем адресом сервера, к которому вы подключаетесь. Если у вас сертификат выписан к примеру на ansible.lan а вы пытаетесь подключиться по DNS имени к примеру openfire.lan то авторизация будет неуспешной.

Но если вам всё таки нужно использовать какое то другое DNS имя, то вы можете добавить альтернативные DNS имена в него, иначе вы не сможете подключиться…

Я не уверен, что вы можете это сделать через панель Openfire…

Всё проблема решилась, спасибо что помогали.
У меня всё настроено было на openfire.son.local, кроме как самого клиента spark который проверял имя по графе сервер при подключении, но изначально почему-то зайти по адресу openfire.son.local, не получалось, а получилось по openfire(это третий уровень) и я почему-то подумал что son.local он игнорирует, как при заходе на ПК можно зайти через pc1, а можно и через pc1.son.local, но это и оказалось критической ошибкой в решении данного вопроса, я попробовал ввести в строку сервер openfire.son.local и на этот раз всё получилось, почему до этого не заходило по полному доменному имени не понимаю.

Кстати, совсем забыл, в Spark есть чекбокс «Отключить проверку имени хоста» в Безопастность

Да, я знаю, нашел эту тему сразу, но принципиально хотел настроить и понять что нужно для стандартной настройки безопасности.