TLS no Elastix (resolvido)

[Franque Custódio]

Buenas, ninguém respondeu a minha pergunta anterior sobre TLS no Elastix, mas acabei resolvendo. Abaixo o que eu fiz, caso isso ajude mais alguém:

Para habilitar TLS no Elastix:

          - Criar e entrar no diretório "certificates" no Asterisk:

                         mkdir  /etc/asterisk/certificates

                         cd  /etc/asterisk/certificates

          - Criar a chave do servidor:

                         openssl  genrsa  -out  key.pem  1024

          - Criar o certificado básico

                         openssl  req  -new  -key  key.pem  -out  request.pem

                         Responder as questões conforme abaixo:

                         - Country: BR

                         - State or Province Name: Rio Grande do Sul

                         - Locality Name: Porto Alegre

                         - Organization Name: EMPRESA

                         - Organizational Unit Name: Divisao

                         - Common Name: <nome do servidor>  

                         - Email Address: voip@empresa.com.br

                         - A challenge password: <deixar em branco e dar enter>

                         - An optional company name: EMPRESA

          - Criar e assinar o certificado pessoal:

                         openssl  x509  -req  -days  3650  -in  request.pem  -signkey  key.pem  -out  certificate.pem

          - Juntar o certificado pessoal e a chave do servidor em um único arquivo (nome do servidor como exemplo)

                         cp  certificate.pem  servidor.empresa.com.br.pem

                         cat  key.pem  >>  servidor.empresa.com.br.pem

                         *** atenção para o uso do ">>" no segundo comando!

          - Editar o arquivo sip_custom.conf e acrescentar as linhas abaixo:

                         tlsenable=yes

                         tlsbindaddr=0.0.0.0
                         tlscertfile=/etc/asterisk/certificates/servidor.empresa.com.br.pem
                         tlsdontverifyserver=no
                         tlscipher=ALL
                         tlsclientmethod=tlsv1

          - Editar o arquivo sip_custom_post.conf e acrescentar as linhas abaixo (conforme os ramais/extenions que vão usr o TLS):

                         [78241](+)
                         transport=tls
                         port=5061

          - Copiar o arquivo servidor.empresa.com.br.pem para a estação Windows onde está instalado o softphone (Blink, nesse caso)

          - Clicar em “Blink”, “Accounts”, “Manage Accounts”. Na chanela que abrir, clique no ramal/extensão que se deseja habilitar o TLS/SRTP.

-

Na aba “Media”, alterar o campo “sRTP Encryption” para “mandatory”.

-

Na aba “Server Settings”, na linha “Otubound Proxy” alterar a porta para 5061 e o transporte para TLS.

- Na aba “Advanced”, no campo TLS Setting, Certificate File clicar em Browse e selecionar o arquivo servidor.empresa.com.br.pem

---------------------------------------------------------------
Franque Custódio
fra...@gmail.com
---------------------------------------------------------------

[Luciano Cavalcante Souza]

Uma duvida, para que serve o TLS?

--
 
---
Você está recebendo esta mensagem porque se inscreveu no grupo "ElastixBrasil" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para elastixbrasi...@googlegroups.com.
Para postar neste grupo, envie um e-mail para elasti...@googlegroups.com.
Visite este grupo em http://groups.google.com/group/elastixbrasil.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--

Sds.

Luciano Cavalcante Souza

Tecnólogo em Gestão da Tecnologia da Informação".

Mobile: + 55 xx 79 8814.5895(vivo) / + 55 xx 79 8805.3448(oi).

e-mail: luci...@gmail.com
Skype: lucindio

Maktub!

[Franque Custódio]

O TLS criptografa a sinalização SIP, tanto entre cliente e servidor, quanto entre servidores. Ajuda a evitar que espionem a tua rede voip e acabem conseguindo se autenticar indevidamente.

E o sRTP serve para criptografar a mídia (voz). Assim, se alguém sniffar a tua rede não vai conseguir saber o que foi conversado durante as ligações.

Franque

---------------------------------------------------------------
Franque Custódio
fra...@gmail.com
---------------------------------------------------------------

2013/12/13 Luciano Cavalcante Souza <luci...@gmail.com>

[Luciano Cavalcante Souza]

Otima Informação, se possivel abre uma Discursão com titulo tutorial seria bastante util para o grupo.

Desde já agradeço.

[Franque Custódio]

Fique a vontade, Sato.