Приветствую экспертов!
Мне, конечно, неудобно задавать "детский" вопрос, но что-то я запутал сам себя.
Действительно ли freeswitch проверяет сертификат in depth? Вот, задал 0 и tls устанавливается успешно. А я всегда считал, что 0 это когда один самоподписанный сертификат. 1 когда есть сертификат CA. 2 когда есть еще промежуточный сертификат. Но, видимо, я неправильно понимал.
Итак, задал 0 и перезагрузил профиль
Код: 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls [true] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-only [true] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-bind-params [transport=tls] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-sip-port [19264] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-cert-dir [/usr/local/freeswitch/certs/internal] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-passphrase [] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-date [true] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-policy [subjects_all|all] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-depth [0] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-in-subjects [server|server1|server2|server3|server4|server5|server6|server7|server8|server9|server10|server11|server12|server13|server14|server15|client] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-version [tlsv1.2] 2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-ciphers [ECDHE-ECDSA-AES256-GCM-SHA384]
И вижу, что все нормально.
Код: tport.c:2770 tport_wakeup_pri() tport_wakeup_pri(0x7f9f1c05d660): events IN tport.c:862 tport_alloc_secondary() tport_alloc_secondary(0x7f9f1c05d660): new secondary tport 0x7f9f1c1ca260 tport_type_tcp.c:203 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7f9f1c1ca260): Setting TCP_KEEPIDLE to 30 tport_type_tcp.c:209 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7f9f1c1ca260): Setting TCP_KEEPINTVL to 30 tport_type_tls.c:613 tport_tls_accept() tport_tls_accept(0x7f9f1c1ca260): new connection from tls/10.20.40.6:53612/sips tport_tls.c:960 tls_connect() tls_connect(0x7f9f1c1ca260): events NEGOTIATING tport_tls.c:960 tls_connect() tls_connect(0x7f9f1c1ca260): events NEGOTIATING tport_tls.c:603 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (name): ECDHE-ECDSA-AES256-GCM-SHA384 tport_tls.c:605 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (version): TLSv1.2 tport_tls.c:608 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (bits/alg_bits): 256/256 tport_tls.c:611 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (description): ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
tport_tls.c:698 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): Peer Certificate Subject 0: client tport.c:2311 tport_set_secondary_timer() tport(0x7f9f1c1ca260): reset timer tport.c:2795 tport_wakeup() tport_wakeup(0x7f9f1c1ca260): events IN tport.c:2893 tport_recv_event() tport_recv_event(0x7f9f1c1ca260) tport_type_tls.c:434 tport_tls_recv() tport_tls_recv(0x7f9f1c1ca260): tls_read() returned 628 tport.c:3234 tport_recv_iovec() tport_recv_iovec(0x7f9f1c1ca260) msg 0x7f9f1c1cfc00 from (tls/10.20.40.6:53612) has 628 bytes, veclen = 1 tport.c:3052 tport_deliver() tport_deliver(0x7f9f1c1ca260): msg 0x7f9f1c1cfc00 (628 bytes) from tls/10.20.40.6:53612/sips next=(nil) tport.c:4189 tport_pend() tport_pend(0x7f9f1c1ca260): pending (nil) for tls/10.20.40.6:53612 (already 0) tport.c:2311 tport_set_secondary_timer() tport(0x7f9f1c1ca260): reset timer tport.c:3286 tport_tsend() tport_tsend(0x7f9f1c1ca260) tpn = TLS/10.20.40.6:53612 tport_type_tls.c:537 tport_tls_send() tport_tls_writevec: vec 0x7f9f1c203910 0x7f9f1c1f1c00 664 (664) tport.c:3623 tport_vsend() tport_vsend(0x7f9f1c1ca260): 664 bytes of 664 to tls/10.20.40.6:53612 tport.c:3521 tport_send_msg() tport_vsend returned 664
Или при 0 CA просто не проверяется? И любой клиентский сертификат подходит?
И достаточно ли указать в tls-verify-policy subjects_all и это уже будет включать просто all, или нужно указывать, как я сделал от сомнения tls-verify-policy [subjects_all|all]
Заранее благодарю.
|