Текущая конфигурация:
У нас есть АТС (Asterisk) на внешнем IP-адресе, чтобы разрешить всем SIP-клиентам регистрацию/вызов и т. д. В настоящее время открыт только порт 5061/tls и требуется сертификат клиента. Pjsip.conf выглядит так:
ВСТАВЬТЕ В `CONFIG_pjsip` (`id`, `cat_metric`, `var_metric`, `commented`, `filename`,
`категория`, `var_name`, `var_val`) ЗНАЧЕНИЯ
...
(13,1,0,0,'pjsip.conf','secure','type','transport'),
(14,1,1,0,'pjsip.conf','secure','bind','0.0.0.0:5061'),
(19,1,3,0,'pjsip.conf','secur','протокол','tls'),
(20,1,4,0,'pjsip.conf','secur','cert_file','/etc/asterisk/keys/dev200_pbx.crt'),
(21,1,5,0,'pjsip.conf','secur','priv_key_file','/etc/asterisk/keys/dev200_pbx.key'),
(22,1,6,0,'pjsip.conf','secur','ca_list_file','/etc/asterisk/keys/rootCA.crt'),
(23,1,7,0,'pjsip.conf','secur','require_client_cert','да'),
(24,1,8,0,'pjsip.conf','secur','verify_client','да'),
(25,1,9,0,'pjsip.conf','secur','verify_server','да'),
(26,1,10,0,'pjsip.conf','secur','external_media_address','Наш-ext-IP'),
(27,1,11,0,'pjsip.conf','secur','external_signaling_address','Our-ext-IP'),
(28,1,12,0,'pjsip.conf','secur','external_signaling_port','5061'),
(29,1,13,0,'pjsip.conf','secur','local_net','10.0.0.0/8'),
(30,1,14,0,'pjsip.conf','secur','method','sslv23');
...
Мы уже создаем наш ЦС и подписываем каждый сертификат (для АТС и SIP клиента). Все работает хорошо. Рукопожатие TLS успешно только в том случае, если SIP-клиент (Blink) имеет «наш» сертификат <- это правильное и ожидаемое поведение.
Проблема
Мы хотели бы использовать УНИКАЛЬНЫЙ сертификат для КАЖДОГО sip-клиента. Любая идея, как мы можем это сделать? Сначала я думал использовать «ОБЩЕЕ ИМЯ», чтобы проверить это. Например sip с доп. 101 может использовать ОБЩЕЕ ИМЯ, такое как «ourPBX-ext-13» или что-то еще, и т. д. Моя первоначальная идея заключалась в том, чтобы Asterisk проверял сертификат клиента формы поля ОБЩЕЕ ИМЯ. И астериск проверьте, действительно ли SIP-клиент 13 использует тот сертификат, который разрешен ТОЛЬКО для SIP 13. Например, SIP 14 не может использовать тот же сертификат, что и SIP 13. Оба SIP-клиента (13 и 14) используют «наш» сертификат , но каждый должен быть уникальным (не одинаковым).
Возможно ли это сделать? Или вы можете показать мне любое другое решение, позволяющее сохранить уникальный сертификат. для каждого SIP-клиента? Я знаю, что можно еще раз проверить IP-адрес сертификата (или имя хоста), но я не могу его использовать. IP-адрес SIP-клиента является «случайным», эти люди обычно работают из дома, поэтому нет шансов получить их IP.
Я боюсь, что если я создам только один сертификат для всех SIP-клиентов, то безопасность будет очень плохой.
