TLS без клиентских сертификатов

как то вы его включили на половину, где остальные параметры

можно выключить тлс. или что вы хотите чтоб тлс работало как не тлс? исправте исходники. в части где проверка валидности сертификата поставте вместо условия 1.

awsswa, можно поподробнее? какие еще параметры? Я читал множество хелпов, такое ощущение что больше параметров не существует

meral, Я хочу что-бы TLS не требовал клиентских сертификатов у клиентов. Мне разработчик blink'а сказал, что вообще НИГДЕ сейчас не запрашиваются клиентские сертификаты при использовании TLS. Посмотрите на функционал MicroSIP, Я хочу что-бы пользователь мог вбить настройки, выбрать TLS в выпадающем меню, указать порт 5061 и спокойно использовать SIP без скачивания сертификатов сервера. В MicroSIP скачанный сертификат вообще указать нельзя, как и во многих других клиентах (почти во всех). Править исходники я не могу, у меня asterisk из репозитория, и работает стабильно, будет обновляться, не охота портить картину make install'ом. Должен же быть какой-то способ, раз нету ни одного софтфона умеющего использовать клиентские сертификаты (кроме CSipSimple). Может можно как-то сторонним софтом навесить TLS на TCP порт asterisk'а?

разработчик блинак вас "обманул". тлс как бы по стандарту должен проверить сертификат. есть другие стандарты которые не проверяют. астриск на TLS!!!! стандарт не нарушает. вобещмто почти весь смысл тлс в проверки сертефиката. что там в каких стеках(их пара сотен) разработчики намудрили - меня слабо волнует. если напишите в диджиум feature requestя думаю вам гдето так же напишут.

все по мануалу https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial

а поповоду настройки тлс. там как минимум еще tlscafile без которого он не работает.

ну как же по мануалу если в мануале корневой сертификат есть а у вас нету? вы читаете плохо?

В клиенте Blink из вашего мануала поле клиентского TLS сертификата серое и никак его не активировать. Во вкладке дополнительно, можно указать CA файл, да, но клиентский сертификат указать все же нельзя. Я написал разработчику blink и он сказал, что они отказываются от этой опции, тк нигде не используется. Прилагаю скриншоты интерфейса и сообщений от разработчика.

http://img20.imageshack.us/img20/6400/blinkmsg2.png

http://img715.imageshack.us/img715/9250/image1kwi.png

http://img19.imageshack.us/img19/9922/image2jf.png

Если вы знаете другой адекватный клиент который поддерживает TLS и SRTP для винды и линукса (можно разные) при этом поддерживает клиентские сертификаты, то это решит проблему. Проблема в том, что TLS работает только на андроиде сейчас, тк там адекватный клиент, в котором все сертификаты можно указать.

И черт возьми SIP провайдеры действительно не требуют качать никаких сертификатов, при этом TLS работает!!!

meral, в crt файле находятся и key и ca. Я по мануалу http://www.sipring.ru/overview/asterisk-pbx-ready/99-asterisk-sip-tls.html склеивал CA и KEY в 1 файл. Мануал на wiki.asterisk.org использовать не смог, тк не компилил из исходников и нету необходимых скриптов для генерации сертификатов. С текущим конфигом сам TLS работает. Я проверял на android - блокировал на роутере вообще 5060 порт, разрешал 5061. Андроид клиенты подключаются и звонят успешно через TLS по 5061 порту

Извиняюсь, я идиот. Оказывается все работает и без TLS сертификатов. То есть просто поставил клиент и настроил.

угу. только не тлс.