Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.LINUX
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.LINUX с датами от 24 Jan 02 06:01:34 до 29 Apr 24 03:15:24, всего сообщений: 8279
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 5434 из 8279 ========================================= RU.LINUX =
От   : Vladislav Vetrov                 2:5020/2140.152    28 Nov 18 16:02:46
Кому : All                                                 28 Nov 18 16:02:46
Тема : Делаем TLS-сертификат CISCO, Linphone, ZOIPer
FGHI : area://RU.LINUX?msgid=2:5020/2140.152@Fidonet.org+5bfe91f9
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.LINUX?msgid=2:5020/545+5bfe96c1
==============================================================================
Hello All!

Hесколько лет назад делал сертификат для работы asterisk в паре в SIP-телефоном от CISCO. К серверу также подлючались SIP-клиенты, программные софт-телефоны типа ZOIPER - https://www.zoiper.com.

Уже всё вылетило из памяти. Решил написать для себя инструкцию, выкладываю её здесь. Если кто-то найдёт ошибки, пишите. Если кто-то объяснит что всё это значит, тоже пишите :)

Итак, я генерирую секретный ключ, согласно инструкции - https://community.cisco.com/t5/small-business-support-documents/certificate-signing-request-csr-for-signed-ssl-certificates- for/ta-p/3293716

> openssl genrsa -des3 -out ca.key 4096

И также делаю свой файл crt:

> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Затем генерирую файл-запрос на подпись в CISCO c расширением csr (??? кажется так, не помню точно):

> openssl req -new -key ca.key -out my_request.csr

Они присылают файл-ответ с расширением c crt:

> req-server_cisco.crt

====================

Теперь можно делать свои сертификаты для сервера и для клиента.

Для сервера:

1. Создаём файл  key-server.pem

> openssl genrsa -out key-server.pem 1024

2. Создаём файл cert-server.crt с помощью аж трёх файлов: req-server_cisco.crt ca.crt ca.key:

> openssl x509 -req -days 365 -in req-server_cisco.crt -CA ca.crt \
> -CAkey ca.key -set_serial 01 -out cert-server.crt

3. Созданные файлы объединяем в один:

> cat key-server.pem > asterisk.pem
> cat cert-server.crt >> asterisk.pem

Делаем сертификат для клиента (crt-файл-ответ от CISCO здесь, похоже, не используется):

1. Создаём файл  key-client.pem

> openssl genrsa -out key-client.pem 1024

2. Hо основе созданного файла key-server.pem создаём файл req-client.csr

> openssl req -new -key key-client.pem -out req-client.csr

3. Подписываем файл req-client.csr, получая новый файл cert-client.crt.

> openssl x509 -req -days 365 -in req-client.csr -CA ca.crt -CAkey ca.key
> -set_serial 01 -out cert-client.crt

4. Объединяем в один файл:

> cat key-client.pem > client_01.pem
> cat cert-client.crt >> client_01.pem

Файл clint_01.pem прописываем в конфиги софт-фона, типа ZOIPer.

А теперь вопрос. Для Linphone есть вот такая инструкция

https://wiki.linphone.org/xwiki/wiki/public/view/Linphone/TLS%20client%20authentication/

Там в конфиге два параметра:

client_cert_chain=/pathTo/newcert.pem
client_cert_key=/pathTo/clientkey.pem

Я не совсем понимаю, что ни хотят в качестве client_cert_chain и client_cert_key?

Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA
* Origin: Love all, trust a few, do wrong to none (2:5020/2140.152)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.058671 секунды