Делаем TLS-сертификат CISCO, Linphone, ZOIPer

Vladislav Vetrov написал(а) к All в Nov 18 16:02:46 по местному времени:

Нello All!

Несколько лет назад делал сертификат для работы asterisk в паре в SIP-телефоном от CISCO. К серверу также подлючались SIP-клиенты, программные софт-телефоны типа ZOIPER - https://www.zoiper.com.

Уже всё вылетило из памяти. Решил написать для себя инструкцию, выкладываю её здесь. Если кто-то найдёт ошибки, пишите. Если кто-то объяснит что всё это значит, тоже пишите :)

Итак, я генерирую секретный ключ, согласно инструкции - https://community.cisco.com/t5/small...-certificates- for/ta-p/3293716

> openssl genrsa -des3 -out ca.key 4096

И также делаю свой файл crt:

> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Затем генерирую файл-запрос на подпись в CISCO c расширением csr (??? кажется так, не помню точно):

> openssl req -new -key ca.key -out my_request.csr

Они присылают файл-ответ с расширением c crt:

> req-server_cisco.crt

====================

Теперь можно делать свои сертификаты для сервера и для клиента.

Для сервера:

1. Создаём файл key-server.pem

> openssl genrsa -out key-server.pem 1024

2. Создаём файл cert-server.crt с помощью аж трёх файлов: req-server_cisco.crt ca.crt ca.key:

> openssl x509 -req -days 365 -in req-server_cisco.crt -CA ca.crt \
> -CAkey ca.key -set_serial 01 -out cert-server.crt

3. Созданные файлы объединяем в один:

> cat key-server.pem > asterisk.pem
> cat cert-server.crt >> asterisk.pem

Делаем сертификат для клиента (crt-файл-ответ от CISCO здесь, похоже, не используется):

1. Создаём файл key-client.pem

> openssl genrsa -out key-client.pem 1024

2. Но основе созданного файла key-server.pem создаём файл req-client.csr

> openssl req -new -key key-client.pem -out req-client.csr

3. Подписываем файл req-client.csr, получая новый файл cert-client.crt.

> openssl x509 -req -days 365 -in req-client.csr -CA ca.crt -CAkey ca.key
> -set_serial 01 -out cert-client.crt

4. Объединяем в один файл:

> cat key-client.pem > client_01.pem
> cat cert-client.crt >> client_01.pem

Файл clint_01.pem прописываем в конфиги софт-фона, типа ZOIPer.

А теперь вопрос. Для Linphone есть вот такая инструкция

https://wiki.linphone.org/xwiki/wiki...uthentication/

Там в конфиге два параметра:

clientcertchain=/pathTo/newcert.pem
clientcertkey=/pathTo/clientkey.pem

Я не совсем понимаю, что ни хотят в качестве clientcert_chain и client_certkey?

Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA

Alexey Vissarionov написал(а) к Vladislav Vetrov в Nov 18 16:22:00 по местному времени:

Доброго времени суток, Vladislav!
28 Nov 2018 16:02:46, ты -> All:

>> openssl genrsa -des3 -out ca.key 4096

Если бы ты работал у меня, уже после этой команды ты бы у меня не работал.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Существует два уровня защиты: high и нэхай
--- /bin/vi

Vladislav Vetrov написал(а) к Alexey Vissarionov в Nov 18 17:17:08 по местному времени:

Нello Alexey!

28 ноя 18 16:22, you wrote to me:

>>> openssl genrsa -des3 -out ca.key 4096
AV>
AV> Если бы ты работал у меня, уже после этой команды ты бы у меня не работал.

Значит, мне очень повезло, что я у тебя не работаю :)))


Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA

Vladislav Vetrov написал(а) к Vladislav Vetrov в Nov 18 10:07:06 по местному времени:

Нello Vladislav!

28 ноя 18 17:17, I wrote to Alexey Vissarionov:

>>>> openssl genrsa -des3 -out ca.key 4096
AV>> Если бы ты работал у меня, уже после этой команды ты бы у меня не
AV>> работал.
VV> Значит, мне очень повезло, что я у тебя не работаю :)))

Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло - https://is.gd/d6IYqT

:)))

Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA

Alexander Kruglikov написал(а) к Vladislav Vetrov в Nov 18 11:27:20 по местному времени:

Привет, Vladislav!

29 ноя 18 10:07, Vladislav Vetrov писал(а) к Vladislav Vetrov:

>>>>> openssl genrsa -des3 -out ca.key 4096
AV>>> Если бы ты работал у меня, уже после этой команды ты бы у меня
AV>>> не работал.
VV>> Значит, мне очень повезло, что я у тебя не работаю :)))
VV> Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло -
VV> https://is.gd/d6IYqT

С повальным засилием индусов по крайней мере в TAC - я уже не удивлён, что они пишут такое...

С наилучшими пожеланиями, Alexander.
--- "GoldED+/LNX 1.1.5-b20180707" ---

Andrew Kant написал(а) к Vladislav Vetrov в Nov 18 09:55:47 по местному времени:

Нello Vladislav!

Thursday November 29 2018 10:07, Vladislav Vetrov wrote to Vladislav Vetrov:

VV> Нello Vladislav!

VV> 28 ноя 18 17:17, I wrote to Alexey Vissarionov:

>>>>> openssl genrsa -des3 -out ca.key 4096
AV>>> Если бы ты работал у меня, уже после этой команды ты бы у меня не
AV>>> работал.
VV>> Значит, мне очень повезло, что я у тебя не работаю :)))

VV> Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло -
VV> https://is.gd/d6IYqT

VV> :)))

Ну почему нельзя сформулировать свою мысль чётко, и именно так и написать, почему обязательно надо заставлять догадываться, что один имел в виду что DES (и третий) уже небезопасный, а второй, не поняв первого, что-то подумал про длину ключа?

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Vladislav Vetrov написал(а) к Alexander Kruglikov в Nov 18 11:42:40 по местному времени:

Нello Alexander!

29 ноя 18 11:27, you wrote to me:

AK> 29 ноя 18 10:07, Vladislav Vetrov писал(а) к Vladislav Vetrov:
AK>
>>>>>> openssl genrsa -des3 -out ca.key 4096
AV>>>> Если бы ты работал у меня, уже после этой команды ты бы у меня
AV>>>> не работал.
VV>>> Значит, мне очень повезло, что я у тебя не работаю :)))
VV>> Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло -
VV>> https://is.gd/d6IYqT
AK>
AK> С повальным засилием индусов по крайней мере в TAC - я уже не удивлён, что
AK> они пишут такое...

:))) Какое такое? :))

Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA

Alexander Kruglikov написал(а) к Vladislav Vetrov в Nov 18 12:51:18 по местному времени:

Привет, Vladislav!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

29 ноя 18 11:42, Vladislav Vetrov писал(а) к Alexander Kruglikov:

VV>>> Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло -
VV>>> https://is.gd/d6IYqT
AK>> С повальным засилием индусов по крайней мере в TAC - я уже не
AK>> удивлён, что они пишут такое...
VV> :))) Какое такое? :))

Вон выше Andrew написал =)

С наилучшими пожеланиями, Alexander.
--- "GoldED+/LNX 1.1.5-b20180707" ---

Vladislav Vetrov написал(а) к Andrew Kant в Nov 18 12:00:42 по местному времени:

Нello Andrew!

29 ноя 18 09:55, you wrote to me:

AV>>>> Если бы ты работал у меня, уже после этой команды ты бы у меня не
AV>>>> работал.
VV>>> Значит, мне очень повезло, что я у тебя не работаю :)))
AK>
VV>> Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло -
VV>> https://is.gd/d6IYqT
AK>
VV>> :)))
AK>
AK> Ну почему нельзя сформулировать свою мысль чётко, и именно так и написать,
AK> почему обязательно надо заставлять догадываться, что один имел в виду что
AK> DES (и третий) уже небезопасный, а второй, не поняв первого, что-то подумал
AK> про длину ключа?

Согласен! Это спасибо надо сказать Виссарианову:

"ТЫ БЫ У МЕНЯ НЕ РАБОТАЛ" :)

Другой подхватил:

"ДА ТАМ В CISCO ИНДУСЫ РАБОТАЮТ!"

:))))

Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA

Vladislav Vetrov написал(а) к Alexander Kruglikov в Nov 18 12:23:30 по местному времени:

Нello Alexander!

29 ноя 18 12:51, you wrote to me:

VV>>>> Кстати, если бы ты был начальником в CISCO, им бы тоже не повезло -
VV>>>> https://is.gd/d6IYqT
AK>>> С повальным засилием индусов по крайней мере в TAC - я уже не
AK>>> удивлён, что они пишут такое...
VV>> :))) Какое такое? :))
AK>
AK> Вон выше Andrew написал =)

Длина ключа? Можно чётко, в конце-концов, написать?

На всякий случай повторю, с чего всё началось:

> openssl genrsa -des3 -out ca.key 4096

Vladislav

... -= - <<< - >>> - =-
--- GoldED+/LNX 1.1.5-b20170303 by ASA