Magazine High tech

Openfire + certificat StartSSL ou autres

Publié le 14 janvier 2010 par Cyrillevis

(Je rappel/signal juste que openfire est un très bon serveur jabber tournant sous java)

Ceci est un mémo écrit comme à 00h45, non relu, qui ne sera pas utile à grand monde je penses, mais sait on jamais.

Je considères que vous tournez sous debian lenny et avez openfire installé, sinon il faudra adapter

:)

Il faut tout d’abords vérifier que vous utiliser la bonne version de java qui va bien:

root@serveur:~# update-alternatives --config java

Il y a 3 alternatives fournissant « java ».

  Sélection    Alternative
-----------------------------------------------
          1    /usr/bin/gij-4.3
 +        2    /usr/lib/jvm/java-gcj/jre/bin/java
*         3    /usr/lib/jvm/java-6-sun/jre/bin/java

Afin d’utiliser java-6-sun, s’il le faut aptitude install sun-java6-jre.

Ensuite il vous faut générer un certificat via votre fournisseur de certificats, pour moi startssl.com. Un certificat class2 sera utilisé dans cette exemple.

Le problème que j’ai rencontré à été la non utilisation du keytool fourni par java-6-jre.
Je vous donne les commande a effectué pour importer dans le cas d’un startssl:

/etc/init.d/openfire stop
cd /etc/openfire/security
wget http://www.startssl.com/certs/ca.crt
wget http://www.startssl.com/certs/sub.class2.server.ca.crt
/usr/lib/jvm/java-6-sun-1.6.0.12/jre/bin/keytool -import -keystore truststore -trustcacerts -alias startcom.ca -file ca.crt

Un mot de passe vous est demandé: changeit
Puis on valide par: oui

/usr/lib/jvm/java-6-sun-1.6.0.12/jre/bin/keytool -import -keystore truststore -alias startcom.ca.sub -file sub.class2.server.ca.crt
On rentre le mot de passe: changeit

Ensuite afin de pouvoir configurer un certificat class2, il faut contourner la loi française:
On se rend sur cette page: http://java.sun.com/javase/downloads/index_jdk5.jsp pour y télécharger : Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0

Le fichier jce_policy-1_5_0.zip récupéré sur le serveur, on l’unzip, puis on remplace ceux d’origine:

cp local_policy.jar /usr/lib/jvm/java-6-sun-1.6.0.12/jre/lib/security/local_policy.jar
cp US_export_policy.jar /usr/lib/jvm/java-6-sun-1.6.0.12/jre/lib/security/US_export_policy.jar

Ensuite afin de ne pas voir ceci pété par une mise à jour, on « divert » les fichiers:

dpkg-divert --divert /usr/share/doc/sun-java6-jre/local_policy.jar.ori --rename /usr/lib/jvm/java-6-sun-1.6.0.12/jre/lib/security/local_policy.jar
dpkg-divert --divert /usr/share/doc/sun-java6-jre/US_export_policy.jar.ori  --rename /usr/lib/jvm/java-6-sun-1.6.0.12/jre/lib/security/US_export_policy.jar

A nôter qu’avec ceci, si une mise à jour est disponible, il faudra la mettre à la mimine.

On redémarre ensuite openfire :

/etc/init.d/openfire start

On se rend sur la page web d’admin (port 9090) puis dans l’onglet « Paramètre du serveur », puis « Server Certificates » (en gros la page ssl-certificates.jsp)

Là, vous y supprimez les certificats présent autogénérés en cliquant sur la croix rouge.
On clique ensuite le bouton « import » en haut.

On touche au but, vous copier/coller votre mot de passe de votre certificat, vous coller la key et le certificat, on clique import, et Hop!

openfire startssl ok

Vous aurez le message suivant, ignorer le:
One or more certificates are missing. Click here to generate self-signed certificates or here to import a signed certificate and its private key.

That’s done, vous pourrez relancer votre client préféré, apprécier la non demande de validation du certificat, et t’chatter en toute discretion.

ps: Je relirais à l’occaz
J’ai mis 3 jours à m’en sortir (pas a plein temps je vous rassure)
[ad]


Vous pourriez être intéressé par :

Retour à La Une de Logo Paperblog

Ces articles peuvent vous intéresser :

  • BorderMaker

    BorderMaker

    offre un moyen simple pour redimensionner, décorer des images avec des bordures (le fameux bord noir avec une ligne blanche, entre autres choses est possible),... Lire la suite

    Par  Lib Ellules
    HIGH TECH, INFORMATIQUE, LOGICIELS
  • Epic Browser: pour un surf sans pistage !

    Epic Browser: pour surf sans pistage

    Il existe d'excellents logiciels gratuit qui vous permettent de naviguer anonymement sur Internet tels que AVG PrivacyFix ou encore Epic Browser. La... Lire la suite

    Par  Ahmed El Jaouari
    HIGH TECH, INTERNET
  • MicroAlg, un langage de programmation destiné aux débutants

    MicroAlg, langage programmation destiné débutants

    Rédacteur-invité sur ce blog, je viens présenter MicroAlg, un langage de programmation en français dédié à l’algorithmique et à son enseignement. Lire la suite

    Par  Jfcauche
    HIGH TECH, INFORMATIQUE
  • Dossier intelligence artificielle open source #2 UIMA

    Dossier intelligence artificielle open source UIMA

    Après Dossier intelligence artificielle open source #1 DeepDive , je vous présente aujourd’hui Unstructured Information Management Architecture (UIMA). Lire la suite

    Par  Edeation
    HIGH TECH, INFORMATIQUE, INTERNET
  • WhiteHat Aviator

    WhiteHat Aviator

    Un navigateur Web conçu pour offrir rapidité, simplicité et sécurité. Basé sur Chromium, il est possible d'ajouter n'importe quelle extension de Chrome, mais... Lire la suite

    Par  Lib Ellules
    HIGH TECH, INFORMATIQUE, LOGICIELS
  • JNetTool - Le couteau suisse des outils réseaux

    JNetTool couteau suisse outils réseaux

    JNetToolLe couteau suisse des outils réseaux. Au menu, Whois, DNS-Lookup, Ping, TraceRoute, PortScan, Net-Calc, Net-Plan. Il s'agit d'un programme écrit en Java... Lire la suite

    Par  Lib Ellules
    HIGH TECH, INFORMATIQUE, LOGICIELS
  • iPhone 8, Pokémon GO, Apple

    iPhone Pokémon Apple

    Comme vous l’avez sûrement remarqué, le rythme de publication a été ralenti la semaine dernière, à cause de problèmes de connexion chez certains de nos... Lire la suite

    Par  World Is Small
    HIGH TECH, INFORMATIQUE, MOBILES

A propos de l’auteur


Cyrillevis 1 partage Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossier Paperblog