Здраствуйте.
Я включил TLS транспорт в asterisk
[general]
tlsenable=yes
tlscertfile=/etc/asterisk/ssl/asterisk.crt
tlsdontverifyserver=no
Все работает, проверил на CSipSimple. Но есть одна проблема: очень мало клиентов поддерживает TLS с клиентскими сертификатами (Blink, MicroSIP не поддерживают).
Как можно отключить проверку клиентского сертификата в asterisk?
Спасибо.
Задан: 2013-04-11 21:55:21 +0400
Просмотрен: 5,337 раз
Обновлен: Apr 11 '13
кто-нить заводил asterisk sip tls?
Отваливается asterisk (elastix) через 5-10 минут (решено)
FreePBX FOP панель не работает
Настройка маршрутизации звонков
FreePBX - PRI - Outbound - все линии заняты
Разрывы разговоров Asterisk 1.4.42
DTMF сигналинг при включении SRTP (s-descriptor)
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
как то вы его включили на половину, где остальные параметры
awsswa ( 2013-04-11 22:13:19 +0400 )редактироватьможно выключить тлс. или что вы хотите чтоб тлс работало как не тлс? исправте исходники. в части где проверка валидности сертификата поставте вместо условия 1.
meral ( 2013-04-12 02:55:09 +0400 )редактироватьawsswa, можно поподробнее? какие еще параметры? Я читал множество хелпов, такое ощущение что больше параметров не существует
POMATu ( 2013-04-12 18:20:43 +0400 )редактироватьmeral, Я хочу что-бы TLS не требовал клиентских сертификатов у клиентов. Мне разработчик blink'а сказал, что вообще НИГДЕ сейчас не запрашиваются клиентские сертификаты при использовании TLS. Посмотрите на функционал MicroSIP, Я хочу что-бы пользователь мог вбить настройки, выбрать TLS в выпадающем меню, указать порт 5061 и спокойно использовать SIP без скачивания сертификатов сервера. В MicroSIP скачанный сертификат вообще указать нельзя, как и во многих других клиентах (почти во всех). Править исходники я не могу, у меня asterisk из репозитория, и работает стабильно, будет обновляться, не охота портить картину make install'ом. Должен же быть какой-то способ, раз нету ни одного софтфона умеющего использовать клиентские сертификаты (кроме CSipSimple). Может можно как-то сторонним софтом навесить TLS на TCP порт asterisk'а?
POMATu ( 2013-04-12 18:27:08 +0400 )редактироватьразработчик блинак вас "обманул". тлс как бы по стандарту должен проверить сертификат. есть другие стандарты которые не проверяют. астриск на TLS!!!! стандарт не нарушает. вобещмто почти весь смысл тлс в проверки сертефиката. что там в каких стеках(их пара сотен) разработчики намудрили - меня слабо волнует. если напишите в диджиум feature requestя думаю вам гдето так же напишут.
meral ( 2013-04-12 18:30:26 +0400 )редактироватьвсе по мануалу https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial
awsswa ( 2013-04-12 18:30:33 +0400 )редактироватьа поповоду настройки тлс. там как минимум еще tlscafile без которого он не работает.
meral ( 2013-04-12 18:32:52 +0400 )редактироватьну как же по мануалу если в мануале корневой сертификат есть а у вас нету? вы читаете плохо?
meral ( 2013-04-12 18:33:47 +0400 )редактироватьВ клиенте Blink из вашего мануала поле клиентского TLS сертификата серое и никак его не активировать. Во вкладке дополнительно, можно указать CA файл, да, но клиентский сертификат указать все же нельзя. Я написал разработчику blink и он сказал, что они отказываются от этой опции, тк нигде не используется. Прилагаю скриншоты интерфейса и сообщений от разработчика.
http://img20.imageshack.us/img20/6400/blinkmsg2.png
http://img715.imageshack.us/img715/9250/image1kwi.png
http://img19.imageshack.us/img19/9922/image2jf.png
Если вы знаете другой адекватный клиент который поддерживает TLS и SRTP для винды и линукса (можно разные) при этом поддерживает клиентские сертификаты, то это решит проблему. Проблема в том, что TLS работает только на андроиде сейчас, тк там адекватный клиент, в котором все сертификаты можно указать.
И черт возьми SIP провайдеры действительно не требуют качать никаких сертификатов, при этом TLS работает!!!
POMATu ( 2013-04-12 19:44:05 +0400 )редактироватьmeral, в crt файле находятся и key и ca. Я по мануалу http://www.sipring.ru/overview/asterisk-pbx-ready/99-asterisk-sip-tls.html склеивал CA и KEY в 1 файл. Мануал на wiki.asterisk.org использовать не смог, тк не компилил из исходников и нету необходимых скриптов для генерации сертификатов. С текущим конфигом сам TLS работает. Я проверял на android - блокировал на роутере вообще 5060 порт, разрешал 5061. Андроид клиенты подключаются и звонят успешно через TLS по 5061 порту
POMATu ( 2013-04-12 19:47:14 +0400 )редактироватьИзвиняюсь, я идиот. Оказывается все работает и без TLS сертификатов. То есть просто поставил клиент и настроил.
POMATu ( 2013-04-12 20:42:48 +0400 )редактироватьугу. только не тлс.
meral ( 2013-04-12 22:10:49 +0400 )редактировать