Điểm:0

Làm cách nào để tạo/xác minh chứng chỉ ứng dụng khách trên Asterisk? có cách nào để xác minh trường "tên chung"?

lá cờ in

Cấu hình hiện tại:

Chúng tôi có PBX (Dấu hoa thị) trên IP bên ngoài để cho phép tất cả ứng dụng khách SIP đăng ký/gọi điện, v.v. Hiện tại, chỉ có cổng 5061/tls được mở và cần có chứng chỉ ứng dụng khách. Pjsip.conf trông như thế này:

CHÈN VÀO `CONFIG_pjsip` (`id`, `cat_metric`, `var_metric`, `commented`, `filename`, 
`category`, `var_name`, `var_val`) GIÁ TRỊ
...
(13,1,0,0,'pjsip.conf','secure','type','transport'),
(14,1,1,0,'pjsip.conf','secure','bind','0.0.0.0:5061'),
(19,1,3,0,'pjsip.conf','secure','protocol','tls'),
(20,1,4,0,'pjsip.conf','secure','cert_file','/etc/asterisk/keys/dev200_pbx.crt'),
(21,1,5,0,'pjsip.conf','secure','priv_key_file','/etc/asterisk/keys/dev200_pbx.key'),
(22,1,6,0,'pjsip.conf','secure','ca_list_file','/etc/asterisk/keys/rootCA.crt'),
(23,1,7,0,'pjsip.conf','secure','require_client_cert','yes'),
(24,1,8,0,'pjsip.conf','secure','verify_client','yes'),
(25,1,9,0,'pjsip.conf','secure','verify_server','yes'),
(26,1,10,0,'pjsip.conf','secure','external_media_address','Our-ext-IP'),
(27,1,11,0,'pjsip.conf','secure','external_signaling_address','IP-ext-IP của chúng tôi'),
(28,1,12,0,'pjsip.conf','secure','external_signaling_port','5061'),
(29,1,13,0,'pjsip.conf','secure','local_net','10.0.0.0/8'),
(30,1,14,0,'pjsip.conf','secure','method','sslv23');
...

Chúng tôi đã tạo CA của mình và ký từng chứng chỉ (đối với máy khách PBX và SIP). Mọi thứ hoạt động tốt. Bắt tay TLS chỉ thành công nếu ứng dụng khách SIP (Blink) có chứng chỉ "của chúng tôi" <- đó là hành vi chính xác và được mong đợi.

Vấn đề

Chúng tôi muốn sử dụng chứng chỉ ĐỘC ĐÁO cho MỖI khách hàng nhâm nhi. Bất kỳ ý tưởng làm thế nào chúng ta có thể làm điều đó? Lúc đầu, tôi nghĩ sẽ sử dụng "COMMON NAME" để kiểm tra. Ví dụ: nhâm nhi với máy lẻ. 101 có thể sử dụng TÊN THÔNG DỤNG như "ourPBX-ext-13" hoặc bất cứ thứ gì, v.v. ý tưởng ban đầu của tôi là Asterisk kiểm tra chứng chỉ ứng dụng khách của trường TÊN THÔNG DỤNG. Và dấu hoa thị kiểm tra xem máy khách SIP 13 có thực sự sử dụng chứng chỉ đó CHỈ được phép cho SIP 13 hay không. Ví dụ: SIP 14 không thể sử dụng cùng một chứng chỉ như SIP 13. Cả máy khách SIP (13 và 14) đều đang sử dụng chứng chỉ "của chúng tôi" , nhưng mỗi cái phải là duy nhất (không giống nhau).

Là nó có thể làm điều đó? Hoặc bạn có thể chỉ cho tôi bất kỳ giải pháp nào khác cho phép giữ chứng chỉ duy nhất không. cho mỗi máy khách SIP? Tôi biết rằng có thể kiểm tra lại chứng chỉ IP (hoặc tên máy chủ), nhưng tôi không thể sử dụng nó. IP máy khách SIP là "ngẫu nhiên", những người này thường làm việc tại nhà - vì vậy không có cơ hội nhận được IP của họ.

Tôi sợ rằng nếu tôi chỉ tạo một chứng chỉ cho tất cả các Máy khách SIP thì tính bảo mật sẽ rất kém.

Ondrej Raso avatar
lá cờ in
như trong Ngân hàng, nơi mỗi khách hàng của ngân hàng có một chứng chỉ khách hàng duy nhất. Vì vậy, tôi muốn sử dụng cùng một quyền truy cập.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.