How can we help you today?
Start a new topic
Answered

Hochgeladenes Zertifikat fuer SIPS verwenden

Hallo zusammen,


ich baue grade ein SIP System auf Basis von Kamailio/Asterisk und moechte zur Absicherung des Transports TLS mit Clientzertifikaten verwenden.


Zu diesem Zweck habe ich Kamilio entsprechend konfiguriert (funktioniert einwandfrei mit Jitsi+Clientcert).


Allerdings zeigt das Snom D765 das von mir hochgeladene Cert. nicht beim Kamailio vor.


Mit Wireshark ist nachvollziehbar, dass das Snom 3 unterschiedliche vorinstallierte Zertifikate der Snom CA vorzeigt. (siehe Attachment)


Das hochgeladene (auch im WebUI sichtbare) wird schlicht nicht vorgezeigt...


Die URI des Outbound Proxies sieht wie folgt aus:

sips:proxy.example.com:5061;transport=tls


Da ich im Wiki nichts diesbzgl. gefunden habe, hier meine Frage.


* wo/wie kann ich das Geraet dazu bringen das hochgeladene Cert. zur Client Auth vorzuzeigen?

* ist es moeglich die vorhandenen Snom-Zertifikate zu entfernen?


Vielen Dank und viele Gruesse,

Sebastian


Best Answer

Hallo Sebastian,


Es ist leider nicht möglich das Client-Zertifikat des Telefon zu ändern. Aber auf dem Kamailio können Sie die Snom CA vertrauen und dann brauchen Sie nicht ein neues Zertifikat erstellen.


Die Sektion "Custom Certificates"/"Eigene Zertifikate" ist nur dafür gedacht, um Server-Zertikikate hinzuzufügen die das Telefon vertrauen soll.


Mehr dazu hier:

http://wiki.snom.com/Category:HowTo:TLS


Mit freundlichen Grüßen,

Catalina Oancea



Answer

Hallo Sebastian,


Es ist leider nicht möglich das Client-Zertifikat des Telefon zu ändern. Aber auf dem Kamailio können Sie die Snom CA vertrauen und dann brauchen Sie nicht ein neues Zertifikat erstellen.


Die Sektion "Custom Certificates"/"Eigene Zertifikate" ist nur dafür gedacht, um Server-Zertikikate hinzuzufügen die das Telefon vertrauen soll.


Mehr dazu hier:

http://wiki.snom.com/Category:HowTo:TLS


Mit freundlichen Grüßen,

Catalina Oancea


Hallo Catalina,


erstmal vielen lieben Dank fuer die sehr schnelle und weiterfuehrende Antwort, das finde ich echt super! :)


Leider ist der Inhalt der Antwort ziemlich unbefriedigend...


Die Moeglichekeit der Snom CA zu vertrauen hatte ich bereits auf dem Schirm,

allerdings stellt diese Voraussetzung (einer externen CA zwingend vertrauen zu muessen) in meinen Augen den ganzen Sinn der Client-Cert-Auth in Frage... :-/


Ist es evtl. geplant an diesem Umstand etwas zu aendern oder besteht ggf. die Moeglichkeit das als Feature Request einzukippen?


Es wuerde mich auch sehr wundern, wenn wir die einzigen waeren, die diese Funktionalitaet zwingend benoetigen.


Ohne die Moeglichkeit Client-Cert-Auth mit eigenen Certs durchfuehren zu koennen,

disqualizifieren sich die Snoms leider mittelfristig fuer den Einsatz bei uns (und bei einigen unserer Kunden).


Wenn ich https://helpdesk.snom.com/support/solutions/articles/6000098903-how-to-load-a-sip-client-certificate-on-the-dect-m700-and-m300-bases richtig verstehe, besteht bei den DECT Geraeten ja auch genau diese Moeglichkeit?!


Vielen Dank und liebe Gruesse,

Sebastian Denz

Hi Sebastian,


Die Snom CA nicht zwingend zu vertrauen finde ich ein gutes Argument - man möchte ja nicht alle Snom Telefone vertrauen sonder nur die eigene. Da habe ich aber 2 alternative Ideen:

-man kann dazu auch das Common Name prüfen und sicherstellen dass die MAC Adresse stimmt

-oder kann man vielleicht in Kamailio statt die ganze Snom CA nur das Snom-Client-Zertifikat des eigenes Telefon vertrauen?


Auf jedem Fall habe ich auch ein Feature Request in unserem System hinzugefügt, mit interner ID SCPP-8620. Das bedeutet leider nicht dass das Feature sofort implementiert wird, aber je mehr Kunden das gleiche wünschen desto mehr Chancen gibt dass das Feature implementiert wird.


Viele Grüße,

Catalina




1 person likes this

Hi Catalina,


vielen Dank nochmal fuer die prompte Antwort und das Anlegen des Feature Requests!

Das ist wirklich bemerkenswert und muss auch mal explizit gelobt werden! :)


Die Moeglichkeit gezielt einem Cert. zu vertrauen besteht - soweit ich das aktuell beurteilen kann - leider nicht.


Die Alternative gezielt einzelnen MACs zu vertrauen habe ich auch schon in Erwaegung gezogen. Das zieht aber natuerlich erhoehten Aufwand mit sich, weil ich dann die Liste der MACs nochmal dediziert pflegen muss und extra Ausnahmen fuer die SNOMs implementieren muss... Aber mal gucken, ggf. machen wir das erstmal so...


Ich hoffe natuerlich weiterhin, dass die Funktion ihren Weg in die FW finden wird :)


Trotzdem, nochmal vielen Dank fuer die tolle Unterstuetzung und ein schoenes Wochenende!


Viele Gruesse,

Sebastian

Hi Sebastian,


vielen Dank für das Feedback. Ich hoffe es klappt mit der MAC Liste. Ich hoffe auch, dass das Feature bald implementiert wird. 


Gleichfalls ein schönes Wochenende und Grüße aus Berlin!


Viele Grüße,

Catalina

Login or Signup to post a comment