2016年06月03日

Openfireを設定する(SSL)

Openfireで利用するSSLサーバ証明書は(Openfireの)キーストアに保存されており、下記コマンドにて内容を確認できます。
なお、デフォルトのSSLサーバ証明書はインストール時に生成された自己証明書です。
# keytool -list -keystore /opt/openfire/resources/security/keystore -storepass changeit
# keytool -list -keystore /opt/openfire/resources/security/keystore -storepass changeit -alias openfireserver_rsa
# keytool -list -keystore /opt/openfire/resources/security/keystore -storepass changeit -alias openfireserver_rsa -v

2016.06.05 追記
なお、仮にデフォルトの自己証明書を削除した場合、
# keytool -delete -noprompt -alias openfireserver_rsa -keystore /opt/openfire/resources/security/keystore -storepass changeit
# keytool -delete -noprompt -alias openfireserver_dsa -keystore /opt/openfire/resources/security/keystore -storepass changeit
TLS無しで接続できました(SparkとWiresharkで検証済み)。
また、デフォルトの自己証明書が有効期限切れの場合、
TLS有りで接続できました(SparkとWiresharkで検証済み)。

2016.06.11 追記 2016.07.01 訂正
で、本題ですが、SSLサーバ証明書は下記コマンドにて差し替えます。
# systemctl stop openfire
# cp /opt/openfire/resources/security/keystore /opt/openfire/resources/security/keystore.org
# cp /opt/openfire/resources/security/truststore /opt/openfire/resources/security/truststore.org
# keytool -delete -keystore /opt/openfire/resources/security/keystore -storepass changeit -alias openfireserver_rsa
# keytool -delete -keystore /opt/openfire/resources/security/keystore -storepass changeit -alias openfireserver_dsa
(SSLサーバ証明書 : )
# keytool -import -keystore /opt/openfire/resources/security/keystore -storepass changeit -alias openfireserver_rsa -file ./openfireserver.crt
(中間証明書 : )
# keytool -import -keystore /opt/openfire/resources/security/truststore -storepass changeit -alias chain_rsa -file ./chain.cer
# cat ./openfireserver.crt ./chain.cer > ./openfireserver.tmp
# openssl pkcs12 -export -in ./openfireserver.tmp -inkey ./openfireserver.key -out ./openfireserver.pkcs12 -name openfireserver_rsa
Enter Export Password:changeit
Verifying - Enter Export Password:changeit
# keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore /opt/openfire/resources/security/keystore -srckeystore ./openfireserver.pkcs12 -srcstoretype PKCS12 -srcstorepass changeit -alias openfireserver_rsa
# systemctl start openfire

成功した場合は、[Administration Console]の[Server Certificates]画面の"Status"欄に"CA Signed"が表示されます。
また、失敗した場合は、"Pending Verification"が表示されます。

posted by red at 18:42| Comment(0) | TrackBack(0) | CentOS:ミドルウェア | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック