Cấu hình hiện tại:
Chúng tôi có PBX (Dấu hoa thị) trên IP bên ngoài để cho phép tất cả ứng dụng khách SIP đăng ký/gọi điện, v.v. Hiện tại, chỉ có cổng 5061/tls được mở và cần có chứng chỉ ứng dụng khách. Pjsip.conf trông như thế này:
CHÈN VÀO `CONFIG_pjsip` (`id`, `cat_metric`, `var_metric`, `commented`, `filename`,
`category`, `var_name`, `var_val`) GIÁ TRỊ
...
(13,1,0,0,'pjsip.conf','secure','type','transport'),
(14,1,1,0,'pjsip.conf','secure','bind','0.0.0.0:5061'),
(19,1,3,0,'pjsip.conf','secure','protocol','tls'),
(20,1,4,0,'pjsip.conf','secure','cert_file','/etc/asterisk/keys/dev200_pbx.crt'),
(21,1,5,0,'pjsip.conf','secure','priv_key_file','/etc/asterisk/keys/dev200_pbx.key'),
(22,1,6,0,'pjsip.conf','secure','ca_list_file','/etc/asterisk/keys/rootCA.crt'),
(23,1,7,0,'pjsip.conf','secure','require_client_cert','yes'),
(24,1,8,0,'pjsip.conf','secure','verify_client','yes'),
(25,1,9,0,'pjsip.conf','secure','verify_server','yes'),
(26,1,10,0,'pjsip.conf','secure','external_media_address','Our-ext-IP'),
(27,1,11,0,'pjsip.conf','secure','external_signaling_address','IP-ext-IP của chúng tôi'),
(28,1,12,0,'pjsip.conf','secure','external_signaling_port','5061'),
(29,1,13,0,'pjsip.conf','secure','local_net','10.0.0.0/8'),
(30,1,14,0,'pjsip.conf','secure','method','sslv23');
...
Chúng tôi đã tạo CA của mình và ký từng chứng chỉ (đối với máy khách PBX và SIP). Mọi thứ hoạt động tốt. Bắt tay TLS chỉ thành công nếu ứng dụng khách SIP (Blink) có chứng chỉ "của chúng tôi" <- đó là hành vi chính xác và được mong đợi.
Vấn đề
Chúng tôi muốn sử dụng chứng chỉ ĐỘC ĐÁO cho MỖI khách hàng nhâm nhi. Bất kỳ ý tưởng làm thế nào chúng ta có thể làm điều đó? Lúc đầu, tôi nghĩ sẽ sử dụng "COMMON NAME" để kiểm tra. Ví dụ: nhâm nhi với máy lẻ. 101 có thể sử dụng TÊN THÔNG DỤNG như "ourPBX-ext-13" hoặc bất cứ thứ gì, v.v. ý tưởng ban đầu của tôi là Asterisk kiểm tra chứng chỉ ứng dụng khách của trường TÊN THÔNG DỤNG. Và dấu hoa thị kiểm tra xem máy khách SIP 13 có thực sự sử dụng chứng chỉ đó CHỈ được phép cho SIP 13 hay không. Ví dụ: SIP 14 không thể sử dụng cùng một chứng chỉ như SIP 13. Cả máy khách SIP (13 và 14) đều đang sử dụng chứng chỉ "của chúng tôi" , nhưng mỗi cái phải là duy nhất (không giống nhau).
Là nó có thể làm điều đó? Hoặc bạn có thể chỉ cho tôi bất kỳ giải pháp nào khác cho phép giữ chứng chỉ duy nhất không. cho mỗi máy khách SIP? Tôi biết rằng có thể kiểm tra lại chứng chỉ IP (hoặc tên máy chủ), nhưng tôi không thể sử dụng nó. IP máy khách SIP là "ngẫu nhiên", những người này thường làm việc tại nhà - vì vậy không có cơ hội nhận được IP của họ.
Tôi sợ rằng nếu tôi chỉ tạo một chứng chỉ cho tất cả các Máy khách SIP thì tính bảo mật sẽ rất kém.
