freeswitchforum.com

Форум поддержки FreeSWITCH

FreeSWITCH is a registered trademark of Anthony Minessale. Official FreeSWITCH site.

Текущее время: 29 мар 2024 02:08

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: tls-verify-depth
СообщениеДобавлено: 12 ноя 2020 11:30 

Зарегистрирован: 25 авг 2015 16:10
Сообщения: 28
Приветствую экспертов!

Мне, конечно, неудобно задавать "детский" вопрос, но что-то я запутал сам себя.

Действительно ли freeswitch проверяет сертификат in depth?
Вот, задал 0 и tls устанавливается успешно. А я всегда считал, что 0 это когда один самоподписанный сертификат. 1 когда есть сертификат CA. 2 когда есть еще промежуточный сертификат. Но, видимо, я неправильно понимал.

Итак, задал 0 и перезагрузил профиль
[+] 
Код:
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls [true]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-only [true]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-bind-params [transport=tls]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-sip-port [19264]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-cert-dir [/usr/local/freeswitch/certs/internal]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-passphrase []
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-date [true]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-policy [subjects_all|all]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-depth [0]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-in-subjects [server|server1|server2|server3|server4|server5|server6|server7|server8|server9|server10|server11|server12|server13|server14|server15|client]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-version [tlsv1.2]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-ciphers [ECDHE-ECDSA-AES256-GCM-SHA384]


И вижу, что все нормально.
[+] 
Код:
tport.c:2770 tport_wakeup_pri() tport_wakeup_pri(0x7f9f1c05d660): events IN
tport.c:862 tport_alloc_secondary() tport_alloc_secondary(0x7f9f1c05d660): new secondary tport 0x7f9f1c1ca260
tport_type_tcp.c:203 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7f9f1c1ca260): Setting TCP_KEEPIDLE to 30
tport_type_tcp.c:209 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7f9f1c1ca260): Setting TCP_KEEPINTVL to 30
tport_type_tls.c:613 tport_tls_accept() tport_tls_accept(0x7f9f1c1ca260): new connection from tls/10.20.40.6:53612/sips
tport_tls.c:960 tls_connect() tls_connect(0x7f9f1c1ca260): events NEGOTIATING
tport_tls.c:960 tls_connect() tls_connect(0x7f9f1c1ca260): events NEGOTIATING
tport_tls.c:603 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (name): ECDHE-ECDSA-AES256-GCM-SHA384
tport_tls.c:605 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (version): TLSv1.2
tport_tls.c:608 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (bits/alg_bits): 256/256
tport_tls.c:611 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (description): ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD

tport_tls.c:698 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): Peer Certificate Subject 0: client
tport.c:2311 tport_set_secondary_timer() tport(0x7f9f1c1ca260): reset timer
tport.c:2795 tport_wakeup() tport_wakeup(0x7f9f1c1ca260): events IN
tport.c:2893 tport_recv_event() tport_recv_event(0x7f9f1c1ca260)
tport_type_tls.c:434 tport_tls_recv() tport_tls_recv(0x7f9f1c1ca260): tls_read() returned 628
tport.c:3234 tport_recv_iovec() tport_recv_iovec(0x7f9f1c1ca260) msg 0x7f9f1c1cfc00 from (tls/10.20.40.6:53612) has 628 bytes, veclen = 1
tport.c:3052 tport_deliver() tport_deliver(0x7f9f1c1ca260): msg 0x7f9f1c1cfc00 (628 bytes) from tls/10.20.40.6:53612/sips next=(nil)
tport.c:4189 tport_pend() tport_pend(0x7f9f1c1ca260): pending (nil) for tls/10.20.40.6:53612 (already 0)
tport.c:2311 tport_set_secondary_timer() tport(0x7f9f1c1ca260): reset timer
tport.c:3286 tport_tsend() tport_tsend(0x7f9f1c1ca260) tpn = TLS/10.20.40.6:53612
tport_type_tls.c:537 tport_tls_send() tport_tls_writevec: vec 0x7f9f1c203910 0x7f9f1c1f1c00 664 (664)
tport.c:3623 tport_vsend() tport_vsend(0x7f9f1c1ca260): 664 bytes of 664 to tls/10.20.40.6:53612
tport.c:3521 tport_send_msg() tport_vsend returned 664

Или при 0 CA просто не проверяется? И любой клиентский сертификат подходит?

И достаточно ли указать в tls-verify-policy subjects_all и это уже будет включать просто all, или нужно указывать, как я сделал от сомнения
tls-verify-policy [subjects_all|all]

Заранее благодарю.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: tls-verify-depth
СообщениеДобавлено: 12 ноя 2020 11:38 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710
наверное, проще глянуть в сорцах что на что влияет, чем сидеть и гадать

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: tls-verify-depth
СообщениеДобавлено: 13 ноя 2020 08:25 

Зарегистрирован: 25 авг 2015 16:10
Сообщения: 28
Vlad1983,

Спасибо!

Совершенно согласен.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: tls-verify-depth
СообщениеДобавлено: 13 ноя 2020 09:07 
FreeSWITCH_GuRu

Зарегистрирован: 22 авг 2012 09:52
Сообщения: 1710
и не забыть рассказать что нарылось для будущих поколений

_________________
ЛС: @rostel
Сообщество: @ru_freeswitch


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: tls-verify-depth
СообщениеДобавлено: 17 май 2021 16:29 

Зарегистрирован: 10 мар 2021 17:54
Сообщения: 2
У нас tls-verify-depth=2, сертификаты самоподписанные и загружены в Android, в качестве клиента используется Bria.
Без загрузки сертификата в Android соединение не устанавливается.

Если использовать реальный сертификат, то загружать в телефон его будет не надо.
В нашем случае самоподписанный сертификат как дополнительная защита.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB