对接组网图
对接组网图
SIP呼叫从asterisk到opensips,对于opensips来说,是“呼入”场景。
证书
申请
证书的申请不是本文讨论的范围
申请完证书一般会有证书文件xxx.cert或者xxx.pem,以及私钥文件private.pem
部署
一般服务器持有证书,所以需要证书放在opensips上。
具体的位置在opensips.cfg中指定
如下:
loadmodule "proto_tls.so"
loadmodule "tls_mgm.so"
modparam("tls_mgm", "certificate", "/etc/opensips/certs/cert.pem")
modparam("tls_mgm", "private_key", "/etc/opensips/certs/priv.pem")
modparam("tls_mgm", "tls_method", "tlsv1_2")
modparam("tls_mgm", "verify_cert", "0")
modparam("tls_mgm", "require_cert", "0")
注意,如果这两个文件的位置存在错误,opensips启动时会报错。
启动好opensips后,我们来首先做一下tls的握手测试。
测试tls服务
如果你本机安装过openssl,可以使用openssl来测试服务器的tls是否可用。
命令如下:
connect后填写服务器域名和端口地址
servername为服务器域名,这个必须与证书一致。
CAfile是本地根证书文件,用于校验服务器证书的,如果不指定的话,会看到
unable to get local issuer certificate错误提示
openssl s_client -crlf -connect example.mydomain.com:5061 -servername example.mydomain.com -CAfile cacert.pem
如果tls握手正常,正确的返回样例如下,
verification
Asterrisk的tls配置
本文使用的asterisk版本 16.15.1,配置使用sip_chan
配置sip.conf
tlsenable=yes
;tlsbindaddr=0.0.0.0 ;作为客户端时,不需要绑定端口监听
;tlscertfile=/etc/asterisk/cert.pem ;作为客户端时,不需要指定证书
tlsprivatekey=/etc/asterisk/private.pem ;私钥时必须的!
tlsdontverifyserver=no ; 作为客户端时,可以选择yes不做验证
;tlsclientmethod=tlsv1 ; 作为客户端时,不用指定方法;不指定时,客户端是会和服务端会协商的,除非强制要求某一个版本的tls
[op-callin]
type=peer
context=from-sip
host=example.mydomain.com
port=5060
;encryption=yes
[op-callin-tls]
type=peer
context=from-sip
host=example.mydomain.com
port=5061
transport=tls
;encryption=yes
可能的错误
Asterisk发起呼叫时报错
did not verify: unable to get local issuer certificate
这是因为asterisk作为客户端与opensips通信时,获取到服务器证书后,无法找到本地签发证书做验证。
一般有两种方式:
- 去掉验证动作
tlsdontverifyserver=yes - 增加本地查询CA证书
asterisk安装完成后默认时没有这个证书的,不过可以生成一个
./ast_tls_cert -C pbx.mycompany.com -O "My Company" -d /etc/asterisk/keys
- The "-C" option
定义证书的域名 - The "-O" option
定义公司名称 - The "-d" option
定义生成证书的路径
生成后把这两个配置更新一下,
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscafile=/etc/asterisk/keys/ca.crt
sip reload就好了
验证呼叫
配置路由
exten=>2,1,Log(NOTICE, Inbound calling ${CALLERID(all)})
exten=>2,2,Dial(SIP/op-callin-tls/123456,20)
配置一条路由,使它能够路由到opensips去
查看日志
asterisk日志里没有错误告警
opensips日志里有connection成功,样例如下
INFO:core:probe_max_sock_buff: using snd buffer of 416 kb
INFO:core:init_sock_keepalive: TCP keepalive enabled on socket 69
INFO:proto_tls:tls_accept: New TLS connection from 1.2.3.4:5061 accepted
INFO:proto_tls:tls_accept: Client did not present a TLS certificate
INFO:proto_tls:tls_dump_cert_info: tls_accept: local TLS server certificate subject: /CN=xxxx, issuer: /C=US/O=Let's Encrypt/CN=R3
网友评论