abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 00:33 | Zajímavý článek

Správce nástroje curl Daniel Stenberg na GitHubu průběžně vytváří svou novou knihu Uncurled, v níž shrnuje své dlouhodobé zkušenosti s údržbou open-source projektu: od odpozorovaných pouček po vtipné a ne až tak vtipné příklady e-mailů od uživatelů.

Fluttershy, yay! | Komentářů: 6
včera 00:22 | Nová verze

Byla vydána nová major verze 25.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 3
včera 00:11 | Nová verze

Deno (Wikipedie), běhové prostředí (runtime) pro JavaScript a TypeScript, bylo vydáno ve verzi 1.22. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
18.5. 18:22 | Nová verze

Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu (RHEL) 9.0. Vedle nových vlastností a oprav chyb přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 7
18.5. 14:00 | Komunita

Lars Knoll oznámil, že po 25 letech v ekosystému Qt, z toho 22 let pracující pro různé společnosti vlastnící Qt, odchází ze společnosti The Qt Company do malého norského startupu.

Ladislav Hagara | Komentářů: 7
18.5. 13:22 | Zajímavý projekt

Na Kickstarteru běží kampaň na podporu mini ITX desky Turing Pi 2 Cluster Computer. Vložením 4 výpočetních modulů, podporovány jsou Raspberry Pi 4, Turing RK1 a Nvidia Jetson, lze získat 4uzlový cluster. Cena desky je 219 dolarů.

Ladislav Hagara | Komentářů: 2
18.5. 10:00 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 198. brněnský sraz, který proběhne v pátek 20. května tradičně od 18 hodin v Pivovarské restauraci Moravia.

Ladislav Hagara | Komentářů: 2
18.5. 07:00 | Zajímavý software

Byla vydána nová verze 0.25 herního enginu Fyrox, původně rg3d. Přehled novinek s kódy, náhledy i videi v příspěvku na blogu.

Ladislav Hagara | Komentářů: 1
18.5. 00:11 | Nová verze

Multiplatformní audio přehrávač Qmmp (Wikipedie) byl vydán ve verzi 2.1.0. Z novinek lze zmínit například podporu XDG Base Directory Specification.

Ladislav Hagara | Komentářů: 0
17.5. 23:22 | Komunita

Letošní konference LibreOffice proběhne 28. září až 1. října v Bolzanu. The Document Foundation hledá přednášející.

Zdeněk Crhonek | Komentářů: 0
Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
 (59%)
 (16%)
 (25%)
Celkem 286 hlasů
 Komentářů: 26, poslední dnes 15:03
Rozcestník


Dotaz: Well SIP T22P a Asterisk TLS/SSL certifikáty

8.5. 09:51 mcm | skóre: 13 | blog: linca | domažlice
Well SIP T22P a Asterisk TLS/SSL certifikáty
Přečteno: 188×
Ahoj všem,

získal jsem starší VoIP telefony Well SIP T22P a podařilo se mi jej zprovoznist na Asterisku na protokolu UDP (a funguje velmi dobře). Rád bych je ale provozoval v režimu TLS přičemž jsem si skriptem ast_tls_cert podle wiki (zde) vytvoril self-signed certifikát certifikační autority a certifikát serveru a potažmo klienta. K dispozici jsou tedy nyní soubory:
  • ca.crt
  • ca.key
  • ca.cfg
  • asterisk.crt
  • asterisk.pem
  • asterisk.key
  • telefon.crt
  • telefon.key
  • telefon.pem
Well/Yealink T22P mají velmi podobnou webovou konfiguraci, a protože manuál přímo k Wellu se mi nepodařilo opatřit, postupoval jsem podle manuálu k Yealinku. Ve webové konfiguraci telefonu se rozlišují tzv. "Důvěryhodné certifikáty" a "Serverové certifikáty". Do důvěryhodných certifikátů by měl jít podle manuálu certifikát přímo certifikační autority, tedy jestli to chápu správně, pa bych tam měl nahrát přímo ca.crt. To mě ale přijde nesmysl, vzhledem k tomu, že se jedná o certifikační autoritu. Spíš by se mi tam hodil certifikát asterisku, tedy asterisk.crt.

Podle manuálu na wiki Asterisku (odkaz nahoře) to má vypadat tak, že se nakopíruje telefon.pem a ca.crt do telefonu.

No a jaký certifikát pak mám nahrát do serverových certifikátů. V manuálu k Yealinku nic o serverových certifikátech není, pouze se tam řeší certifikáty zařízení. Jestli by to bylo takhle, pak chápu špatně koncept certifikátu v telefonu a jako "Serverový certifikát" podle manuálu k Yealinku by mohl být certifikát klienta, tedy v mém případě "telefon.pem".

Pokud to takto nakonfiguruji, Asterisk po restartu začne namítat, že:
st_iostream_start_tls: Problem setting up ssl connection: error:00000005:lib(0):func(0):DH lib, Underlying BIO error: Connection reset by peer
ast_iostream_close: SSL_shutdown() failed: error:00000001:lib(0):func(0):reason(1), Internal SSL error
== TLS/SSL certificate ok
Takže tudy cesta nevede.

Když zkusím do "Důvěryhodných certifikátů" vložit certifikát "asterisk.crt", tak Asterisk po restartu hlásí totéž a toto navíc: iostream.c:633 ast_iostream_start_tls: Problem setting up ssl connection: error:00000005:lib(0):func(0):DH lib, Underlying BIO error: Success

A telefon je byť nakonektován, tak ale "Unreachable".

obsah sip.conf:
[general]
tlsenable=yes
tlsbindaddr=0.0.0.0
transport=udp
tlscertfile=asterisk.pem
tlscafile=ca.crt
tlscipher=ALL
obsah extensions.conf:
[telefon]
exten => 9999,1,NoOp(First Line)
same => n,NoOp(Second Line)
same => n,Dial(SIP/9999,30)
same => n,VoiceMail(9999)
same => n,Hangup
obsah users.conf:
[9999]
type=friend
mailbox=9999
secret=heslo
hassip=yes
dtmfmode=rfc2833
context=telefon
allow=ulaw,alaw,t140,h263,h263p,h264,g722
host=dynamic
transport=tls
Verze asterisku: 16.4.0 (x64)

Model telefonu: Well SIP T22P

Verze HW telefonu: 5.0.0.60

Verze firmware telefonu: 7.60.9.5

Napadá mě ještě jedna věc a to ta, že mám buďto příliš velký klíč (4096) nebo používám formát, který si nerozumí s telefonem nebo je telefon už příliš starý na aktuální způsoby zabezpečení.

Ze zoufalství jsem se uchýlil ke zkoušení všeho všude (:-E), bez jakéhokoli výsledku..

Máte někdo zkušenost s tímto typem telefonu nebo s konfigurací TLS na Asterisku? Budu vděčný za jakýkoli námět/nápad..

Odpovědi

8.5. 14:53 X
Rozbalit Rozbalit vše Re: Well SIP T22P a Asterisk TLS/SSL certifikáty
Navod(strana 7) je celkem jasny. Pouzivas svoje = custom certifikaty. V nastaveni 'CA Cetificates' budes mit volbu 'Custom certificates' a dohrajes vlastni CA.crt. Stejna situace je u 'Device Certivicates', zvolis 'Custom certificates' a nahrajes 'telefon.crt'. Sice se to jmenuje "Import server certificates", ale dal se dozvis, ze "The client certificate is the same as the server certificate.".

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.