TLS SRTP и SIPNET [закрыт]

Добрый день,

есть транк сипнетом, ключевые моменты:

encryption=yes (заворачиваем в SRTP) transport=tls port=5061

так же добавлено sip.conf: tlsdontverifyserver=yes

P.S. звоночки ходят по TLS + SRTP - все нормально

Два вопроса:

1. encryption=yes скажем к примеру Сипнет отключил SRTP, перейдет ли мой астериск к небезопасному общению по RTP или соединение просто не установится? 2.tlsdontverifyserver=yes Если установить NO, то в логах вываливает сообщения типа, "Эй парень нет корневого сертификата чтобы сверится....", т.е. я побаиваюсь подмены....Вопрос в том как получить этот корневой сертификат и положить к себе в (tlscapath=</path> - A directory full of CA certificates. The files must be named with the CA subject name hash value.)

Так разобрался кому интересно:

Включаем tlsdontverifyserver=no

Далее переходим https://sipnet.ru/hPronto/ глядим информацию о сертификатах выдано Thawte. Переходим к ним https://www.thawte.com/roots/ , качаем архив https://www.verisign.com/support/thawte-roots.zip , не стал выбирать какой из них нужен, все файлы с расширение .pem копируем в "нужную вам папку" далее выполняем команду crehash "нужная папка" (Если crehash нету можно взять на сайте openssl). Далее в sip.conf прописываем tlscapath="нужная папка"

И вот вуаля, и надоедливая [Feb 21 12:19:04] ERROR[5534] tcptls.c: Certificate did not verify: unable to get local issuer certificate , пропадает а нам остается только [Feb 21 12:52:37] VERBOSE[5870] tcptls.c: SSL certificate ok.

Удачи.