Skip to first unread message
Christian Felsing
Feb 19, 2013, 10:26:47 PM2/19/13
to gs5-...@googlegroups.com
Hallo zusammen,
an welcher Stelle müsste ein Skript für die Zertifikatsverwaltung denn eingebunden werden?
CA und Serverzertifikat sind ja eher ein Thema für die Installation. Bleibt also nur einrichten/ändern/löschen eines Clients für ein solches "Hook" Skript. Gibt es da so etwas wie einen Wegweiser, wo man was im Ruby Source findet?
Notfalls baue ich da selber was, entweder kleine Lösung mit openssl Aufrufen, oder große Lösung mit scep Requests gegen eine externe CA, z.B. EJBCA. Wie es in Freeswitch weiter geht, ist ja in der FS Doku recht gut beschrieben.
Viele Grüße
Christian
an welcher Stelle müsste ein Skript für die Zertifikatsverwaltung denn eingebunden werden?
CA und Serverzertifikat sind ja eher ein Thema für die Installation. Bleibt also nur einrichten/ändern/löschen eines Clients für ein solches "Hook" Skript. Gibt es da so etwas wie einen Wegweiser, wo man was im Ruby Source findet?
Notfalls baue ich da selber was, entweder kleine Lösung mit openssl Aufrufen, oder große Lösung mit scep Requests gegen eine externe CA, z.B. EJBCA. Wie es in Freeswitch weiter geht, ist ja in der FS Doku recht gut beschrieben.
Viele Grüße
Christian
Julian Pawlowski
Feb 20, 2013, 4:14:36 AM2/20/13
to gs5-...@googlegroups.com
Hallo Christian,
On Wednesday, February 20, 2013 4:26:47 AM UTC+1, Christian Felsing wrote:
On Wednesday, February 20, 2013 4:26:47 AM UTC+1, Christian Felsing wrote:
an welcher Stelle müsste ein Skript für die Zertifikatsverwaltung denn eingebunden werden?
Der Webserver verwendet das Zertifikat unter /etc/ssl/gemeinschaft.crt bzw. /etc/ssl/gemeinschaft.key. Die Symlinks kannst du beliebig ändern, sie zeigen standardmäßig auf ein selbst signiertes SSL Zertifikat. Achtung aber, dass dieses bei Änderung deines Servernamen neu generiert wird und auch die Symlinks dann wieder neu gesetzt werden.
Mehr macht GS5 derzeit nicht.
CA und Serverzertifikat sind ja eher ein Thema für die Installation.
Nein, das ist ein Thema für die individuelle Konfiguration nach der Installation. In der Regel hat eine Enterprise-Umgebung bereits eine PKI laufen, die man hier einbinden möchte und da funktioniert jede Firma anders.
Bleibt also nur einrichten/ändern/löschen eines Clients für ein solches "Hook" Skript. Gibt es da so etwas wie einen Wegweiser, wo man was im Ruby Source findet?
Das ist etwas anderes. Es gibt meines Wissens nach noch keine Funktionen, um für (Snom?) Telefone individuelle Zertifikate zu generieren. Das ist aber ein Thema vom Provisioning, sprich dem Ruby Provisioning Controller des jeweiligen Telefonherstellers.
Notfalls baue ich da selber was, entweder kleine Lösung mit openssl Aufrufen, oder große Lösung mit scep Requests gegen eine externe CA, z.B. EJBCA.
Gerne! Wenn du den Ruby Code erweiterst denk auch mal über einen Pull-Request nach, der den Code ans Projekt zurückgibt :-)
Wie es in Freeswitch weiter geht, ist ja in der FS Doku recht gut beschrieben.
FreeSwitch seitig dürfte da in GS5 einiges vorbereitet sein, einfach mal die /gs_paramters durchsehen.
Gruß
Julian
Christian Felsing
May 11, 2013, 12:34:39 PM5/11/13
to gs5-...@googlegroups.com
Hallo Julian,
das Thema ZRTP scheint nur halb so wild zu sein, einfach in GS5.1 rtp-enable-zrtp auf true setzen und schon geht es los, wenn der Client es kann:
2013-05-11 18:23:32.492794 [INFO] switch_rtp.c:1815 Activating Secure RTP SEND
2013-05-11 18:23:32.492794 [DEBUG] switch_core_sqldb.c:2352 Secure Type: srtp:AES_CM_128_HMAC_SHA1_80
2013-05-11 18:23:32.492794 [INFO] switch_rtp.c:1795 Activating Secure RTP RECV
Mit SIP/TLS muss ich noch etwas forschen, wobei die Einstellung tls= true und die Installation eines Zertifikats unter /opt/freeswitch/conf/ssl
zumindest den Port 5061 öffnen. Die Files dort müssen agent.pem und cafile.pem heißen, für die Tests wurde einfach mal das Zertifikat
/etc/ssl/private/gs5-test.lan.pem genommen. Am besten kopieren und Softlinks auf das File, an /etc/ssl/private/gs5-test.lan.pem kommt
der User freeswitch nicht. An den Rechten wollte ich jetzt erstmal nichts ändern.
Im Falle von ZRTP ist der Fall noch recht einfach, da muss nur noch das Cert der GS5 über die Provisionierung ausgerollt werden.
Jetzt habe ich endlich mal einen Grund, mich mehr mit Ruby zu beschäftigen ;-)
Viele Grüße
Christian
das Thema ZRTP scheint nur halb so wild zu sein, einfach in GS5.1 rtp-enable-zrtp auf true setzen und schon geht es los, wenn der Client es kann:
2013-05-11 18:23:32.492794 [INFO] switch_rtp.c:1815 Activating Secure RTP SEND
2013-05-11 18:23:32.492794 [DEBUG] switch_core_sqldb.c:2352 Secure Type: srtp:AES_CM_128_HMAC_SHA1_80
2013-05-11 18:23:32.492794 [INFO] switch_rtp.c:1795 Activating Secure RTP RECV
Mit SIP/TLS muss ich noch etwas forschen, wobei die Einstellung tls= true und die Installation eines Zertifikats unter /opt/freeswitch/conf/ssl
zumindest den Port 5061 öffnen. Die Files dort müssen agent.pem und cafile.pem heißen, für die Tests wurde einfach mal das Zertifikat
/etc/ssl/private/gs5-test.lan.pem genommen. Am besten kopieren und Softlinks auf das File, an /etc/ssl/private/gs5-test.lan.pem kommt
der User freeswitch nicht. An den Rechten wollte ich jetzt erstmal nichts ändern.
Im Falle von ZRTP ist der Fall noch recht einfach, da muss nur noch das Cert der GS5 über die Provisionierung ausgerollt werden.
Jetzt habe ich endlich mal einen Grund, mich mehr mit Ruby zu beschäftigen ;-)
Viele Grüße
Christian
Marcel Lettis
Nov 3, 2013, 10:23:26 AM11/3/13
to gs5-...@googlegroups.com
Hallo Christian,
wie ich den Posts entnommen habe versuchst du das Gleich hinzubekommen wie ich: Ein VOIP Gespräch welches mittels TLS UND ZRTP verschlüsselt ist.
Ich hatte versucht dies per GS4 hin zu bekommen. Mir wurde dann aber mitgeteilt das es bei GS4 aufgrund der verwendeten Freeswitch Version Probleme gibt :-(
Geht dies mit GS5 oder hast due es trotz deiner Bemühungen nicht hinbekommen?
Vielen Dank für eine Antwort :-)
Marcel
Reply all
Reply to author
Forward
0 new messages