bizcell

Дерево сторінок

Versions Compared

Old Version 3

changes.mady.by.user Bizcell Admin

Saved on

compared with

New Version Current

changes.mady.by.user Bizcell Admin

Saved on

Ключ

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Створення сертификату сервера

1. Створити папку, гдеде будуть зберігатися ключі безпеки
yourcompany.com -O "YourCompanyName" -d /etc/asterisk/certificate

2. Створити самоподпісанний самопідпісанний центр сертифікації (Certificate Authority) та сертифікат самого Asterisk.
Для цього можна використовувати скрипт "ast_tls_cert".
# cd /etc/asterisk/certificate/
# wget https://raw.githubusercontent.com/rillian/asterisk...
# chmod +x ast_tls_cert
# ./ast_tls_cert -C pbx.yourcompany.com -O "YourCompanyName" -d /etc/asterisk/certificate

Ключ "-C" використовується для опису вашого хоста (DNS або IP адреса)
Ключ "-O" використовується для визначення імені вашої організації
Ключ "-d" вказує директорію, где де будуть зберігатися створені ключі

3. Ввести пароль для /etc/asterisk/certificate/ca.key

4. Автоматично створюється файл /etc/asterisk/certificate/ca.crt

5. Ввести пароль, який ви вказали в пункті 3, автоматично створюються файли
/etc/asterisk/certificate/asterisk.key /etc/asterisk/certificate/asterisk.crt

6. Ввести пароль ще раз, створюється файл /etc/asterisk/certificate/asterisk.pem как комбинация asterisk.key та asterisk.crt

7. Додати сертифікати lifecell в ca.crt.
cat >> /etc/asterisk/certificate/ca.crt <<EOF

...

1. В файлі sip.conf (або sip_general_additions.conf, якщо використовується Elastix/FreePBX) необхідно дописати наступне: [general] tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/certificate/asterisk.pem ; локальний сертифікат
tlscafile=/etc/asterisk/certificate/ca.crt ; довірений центр сертифікації
tlscipher=ALL
tlsclientmethod=tlsv1

У цьому блоці вказано, що на сервері є підтримка протокола TLS з наступними параметрами:
* Asterisk слухає усі сереживні карти (порт 5061 для TLS)
* Директорія сертифікату TLS
* Директорія сертифікату Certificate Authority
* Asterisk підтримує усі види шифрування
* SIP клієнти підтримують протокол tlsv1 (якщо SIP клієнти не підтримують tlsv1, цю строку кріще краще видалити)

2. Якщо у вас в sip.conf не прописано параметр tlsdontverifyserver=yes необхідно додати 2 сертификатасертификати, які висилає lifecell, в кінець файлу /etc/asterisk/certificate/ca.crt (див. п.7 попереднього розділу)

...

Expand
titleНалаштування peer в sip.conf

[38044232XXXX] ; peer, SIP-канал в сторону lifecell, прописується для кожної номернії номерної лінії.
host=csbc.lifecell.ua ; DNS ім'я, інакше можливі помилки при валідації TLS сертифіката якщо вказана IP адреса
port=5061 ; (port=5061 для SRTP; port=5081 для RTP; port=5071 для авторизації по IP)
transport=tls
insecure=port,invite
encryption=yes ; (для SRTP або encryption=no для RTP)
type=friend
username=38044232XXXX
fromuser=38044232XXXX
secret=verysecretpass ;тільки для авторизації за паролем
context=incoming
disallow=all
allow=ulaw
allow=alaw
[1001] ; внутрішній номер
type=friend
username=1001
secret=1001
host=dynamic
transport=udp
encryption=no
context=outgoing
disallow=all
allow=ulaw
allow=alaw

Налаштування rtp.conf
[general]
rtpstart=10000
rtpend=20000

...