文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >Opensips、Tls和证书问题

Opensips、Tls和证书问题
EN

Stack Overflow用户
提问于 2015-02-04 18:10:41
回答 1查看 1.2K关注 0票数 1

我正在尝试在opensips中设置证书验证以及闪烁的sip客户端。我遵循了教程:

https://github.com/antonraharja/book-opensips-101/blob/master/content/3.2.%20SIP%20TLS%20Secure%20Calling.mediawiki

我的配置如下所示:

代码语言:javascript
复制
[opensips.cfg]
disable_tls = no
listen = tls:my_ip:5061
tls_verify_server= 0
tls_verify_client = 1
tls_require_client_certificate = 1
#tls_method = TLSv1
tls_method = SSLv23
tls_certificate = "/usr/local/etc/opensips/tls/server/server-cert.pem"
tls_private_key = "/usr/local/etc/opensips/tls/server/server-privkey.pem"
tls_ca_list = "/usr/local/etc/opensips/tls/server/server-calist.pem"

因此,我生成了rootCA和服务器证书。然后,我将server-calist.pem添加到其中,并将其设置在客户端中(否则眨眼的sip客户端不会加载它)。我还将server-calist.pem设置为眨眼内的证书颁发机构。但是当我尝试登录到我的服务器时,我得到:

代码语言:javascript
复制
Feb  4 21:02:42 user /usr/local/sbin/opensips[28065]: DBG:core:tcp_read_req: Using the global ( per process ) buff
Feb  4 21:02:42 user /usr/local/sbin/opensips[28065]: DBG:core:tls_update_fd: New fd is 17
Feb  4 21:02:42 user /usr/local/sbin/opensips[28065]: ERROR:core:tls_accept: New TLS connection from 130.85.9.114:48253 failed to accept: rejected by client

因此,我假设客户端由于某种原因不接受服务器证书,尽管我在眨眼的sip客户机中关闭了“验证服务器”复选框!我想我有错误的证书授权文件。

代码语言:javascript
复制
./user/user-cert.pem
./user/user-cert_req.pem
./user/user-privkey.pem
./user/user-calist.pem     <- this 4 are for using opensips as a client i think
./rootCA/certs/01.pem
./rootCA/private/cakey.pem
./rootCA/cacert.pem
./server/server-privkey.pem
./server/server-calist.pem
./server/server-cert.pem
./server/server-cert_req.pem
./calist.pem

有人能帮忙吗?我是做错了配置,还是使用了错误的证书链?客户端应该使用什么证书作为客户端证书和ca授权证书?

ssl
ssl-certificate
server
sip
opensips
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2015-02-09 22:32:06

好吧,我仍然不确定它是否有效,因为授权行为变得奇怪了,但是在它挂了5-6分钟之后,我得到了成功的授权,所以这是一个解决方案:

生成rootCA:

代码语言:javascript
复制
opensipsctl tls rootCA

然后在您的server.conf opensips文件夹中编辑tls文件,并设置commonName = xxx.xxx.xxx.xxx,其中xxx.xxx是您的服务器ip地址。其他变量可以以任何方式编辑。生成由CA签名的证书

代码语言:javascript
复制
opensipsctl tls userCERT server

这将产生4个文件。下载服务器-calist.pem,server-cert.pem,server-privkey.pem。打开服务器-Privkey.pem,复制它的内容并粘贴到文件服务器-cert.pem中,在实际的证书之前。如果您使用的是眨眼,生成的服务器-cert.pem将进入preferences->account->advanced。服务器-calist.pem进入首选项->高级。重新启动后,眨眼和5-6分钟后,您的帐户将被登录。但是我注意到了一种奇怪的行为,如果您运行另一个眨眼的副本,并尝试在使用证书从第一个帐户登录后登录到另一个现有的帐户,那么您可以在不提供证书的情况下从其他帐户登录。所以我不知道,但我觉得很管用。

我询问了opensips邮件列表中的证书,但我想他们觉得我的问题太差劲了,所以我没有得到答复。如果您有同样的问题,并得到了更好的结果或一个答案,从opensips支持,请告诉我。

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/28328396

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档