Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

TLS без клиентских сертификатов

0

Здраствуйте.

Я включил TLS транспорт в asterisk

[general]

tlsenable=yes

tlscertfile=/etc/asterisk/ssl/asterisk.crt

tlsdontverifyserver=no

Все работает, проверил на CSipSimple. Но есть одна проблема: очень мало клиентов поддерживает TLS с клиентскими сертификатами (Blink, MicroSIP не поддерживают).

Как можно отключить проверку клиентского сертификата в asterisk?

Спасибо.

удалить закрыть спам изменить тег редактировать

спросил 2013-04-11 21:55:21 +0400

POMATu Gravatar POMATu
1 1 1 2

обновил 2013-04-11 21:56:19 +0400

Comments

как то вы его включили на половину, где остальные параметры

awsswa ( 2013-04-11 22:13:19 +0400 )редактировать

можно выключить тлс. или что вы хотите чтоб тлс работало как не тлс? исправте исходники. в части где проверка валидности сертификата поставте вместо условия 1.

meral ( 2013-04-12 02:55:09 +0400 )редактировать

awsswa, можно поподробнее? какие еще параметры? Я читал множество хелпов, такое ощущение что больше параметров не существует

POMATu ( 2013-04-12 18:20:43 +0400 )редактировать

meral, Я хочу что-бы TLS не требовал клиентских сертификатов у клиентов. Мне разработчик blink'а сказал, что вообще НИГДЕ сейчас не запрашиваются клиентские сертификаты при использовании TLS. Посмотрите на функционал MicroSIP, Я хочу что-бы пользователь мог вбить настройки, выбрать TLS в выпадающем меню, указать порт 5061 и спокойно использовать SIP без скачивания сертификатов сервера. В MicroSIP скачанный сертификат вообще указать нельзя, как и во многих других клиентах (почти во всех). Править исходники я не могу, у меня asterisk из репозитория, и работает стабильно, будет обновляться, не охота портить картину make install'ом. Должен же быть какой-то способ, раз нету ни одного софтфона умеющего использовать клиентские сертификаты (кроме CSipSimple). Может можно как-то сторонним софтом навесить TLS на TCP порт asterisk'а?

POMATu ( 2013-04-12 18:27:08 +0400 )редактировать

разработчик блинак вас "обманул". тлс как бы по стандарту должен проверить сертификат. есть другие стандарты которые не проверяют. астриск на TLS!!!! стандарт не нарушает. вобещмто почти весь смысл тлс в проверки сертефиката. что там в каких стеках(их пара сотен) разработчики намудрили - меня слабо волнует. если напишите в диджиум feature requestя думаю вам гдето так же напишут.

meral ( 2013-04-12 18:30:26 +0400 )редактировать

а поповоду настройки тлс. там как минимум еще tlscafile без которого он не работает.

meral ( 2013-04-12 18:32:52 +0400 )редактировать

ну как же по мануалу если в мануале корневой сертификат есть а у вас нету? вы читаете плохо?

meral ( 2013-04-12 18:33:47 +0400 )редактировать

В клиенте Blink из вашего мануала поле клиентского TLS сертификата серое и никак его не активировать. Во вкладке дополнительно, можно указать CA файл, да, но клиентский сертификат указать все же нельзя. Я написал разработчику blink и он сказал, что они отказываются от этой опции, тк нигде не используется. Прилагаю скриншоты интерфейса и сообщений от разработчика.

http://img20.imageshack.us/img20/6400/blinkmsg2.png

http://img715.imageshack.us/img715/9250/image1kwi.png

http://img19.imageshack.us/img19/9922/image2jf.png

Если вы знаете другой адекватный клиент который поддерживает TLS и SRTP для винды и линукса (можно разные) при этом поддерживает клиентские сертификаты, то это решит проблему. Проблема в том, что TLS работает только на андроиде сейчас, тк там адекватный клиент, в котором все сертификаты можно указать.

И черт возьми SIP провайдеры действительно не требуют качать никаких сертификатов, при этом TLS работает!!!

POMATu ( 2013-04-12 19:44:05 +0400 )редактировать

meral, в crt файле находятся и key и ca. Я по мануалу http://www.sipring.ru/overview/asterisk-pbx-ready/99-asterisk-sip-tls.html склеивал CA и KEY в 1 файл. Мануал на wiki.asterisk.org использовать не смог, тк не компилил из исходников и нету необходимых скриптов для генерации сертификатов. С текущим конфигом сам TLS работает. Я проверял на android - блокировал на роутере вообще 5060 порт, разрешал 5061. Андроид клиенты подключаются и звонят успешно через TLS по 5061 порту

POMATu ( 2013-04-12 19:47:14 +0400 )редактировать

Извиняюсь, я идиот. Оказывается все работает и без TLS сертификатов. То есть просто поставил клиент и настроил.

POMATu ( 2013-04-12 20:42:48 +0400 )редактировать

угу. только не тлс.

meral ( 2013-04-12 22:10:49 +0400 )редактировать

Будьте первым, кто ответит на этот вопрос!

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-04-11 21:55:21 +0400

Просмотрен: 3,025 раз

Обновлен: Apr 11 '13

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.