Vladislav Vetrov написал(а) к All в Nov 18 16:02:46 по местному времени:
Нello All!
Несколько лет назад делал сертификат для работы asterisk в паре в SIP-телефоном от CISCO. К серверу также подлючались SIP-клиенты, программные софт-телефоны типа ZOIPER -
https://www.zoiper.com.
Уже всё вылетило из памяти. Решил написать для себя инструкцию, выкладываю её здесь. Если кто-то найдёт ошибки, пишите. Если кто-то объяснит что всё это значит, тоже пишите :)
Итак, я генерирую секретный ключ, согласно инструкции -
https://community.cisco.com/t5/small...-certificates- for/ta-p/3293716
> openssl genrsa -des3 -out ca.key 4096
И также делаю свой файл crt:
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt
Затем генерирую файл-запрос на подпись в CISCO c расширением csr (??? кажется так, не помню точно):
> openssl req -new -key ca.key -out my_request.csr
Они присылают файл-ответ с расширением c crt:
> req-server_cisco.crt
====================
Теперь можно делать свои сертификаты для сервера и для клиента.
Для сервера:
1. Создаём файл key-server.pem
> openssl genrsa -out key-server.pem 1024
2. Создаём файл cert-server.crt с помощью аж трёх файлов: req-server_cisco.crt ca.crt ca.key:
> openssl x509 -req -days 365 -in req-server_cisco.crt -CA ca.crt \
> -CAkey ca.key -set_serial 01 -out cert-server.crt
3. Созданные файлы объединяем в один:
> cat key-server.pem > asterisk.pem
> cat cert-server.crt >> asterisk.pem
Делаем сертификат для клиента (crt-файл-ответ от CISCO здесь, похоже, не используется):
1. Создаём файл key-client.pem
> openssl genrsa -out key-client.pem 1024
2. Но основе созданного файла key-server.pem создаём файл req-client.csr
> openssl req -new -key key-client.pem -out req-client.csr
3. Подписываем файл req-client.csr, получая новый файл cert-client.crt.
> openssl x509 -req -days 365 -in req-client.csr -CA ca.crt -CAkey ca.key
> -set_serial 01 -out cert-client.crt
4. Объединяем в один файл:
> cat key-client.pem > client_01.pem
> cat cert-client.crt >> client_01.pem
Файл clint_01.pem прописываем в конфиги софт-фона, типа ZOIPer.
А теперь вопрос. Для Linphone есть вот такая инструкция
https://wiki.linphone.org/xwiki/wiki...uthentication/
Там в конфиге два параметра:
client
certchain=/pathTo/newcert.pem
client
certkey=/pathTo/clientkey.pem
Я не совсем понимаю, что ни хотят в качестве client
cert_chain и client_certkey?
Vladislav
... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA