Openstage SIP @ Asterisk und Secure-Calls

[heizy]

Nabend,

nachdem ich nun mal wieder im Fernsehen eine Doku über die CIA geschaut habe, bin ich erneut auf meinem inneren Drang/Wunsch verfallen, verschlüsselte Gespräche führen zu wollen, wenngleich auch erstmal mit mir selbst (intern), wenns auch witzlos ist....

Nun bin ich dazu übergegangen mit Asterisk Schlüsselpaare für den TLS Transport zu erstellen und nun komme ich zu meinem Problem.... Kann ich die Clientzertifikate irgendwie auf das Openstage transferieren? Stundenlange Suche bei G**GLE brachten mich darauf, dass sowas über einen DLS gemacht werden muss..... Nun weiß ich nicht weiter, aber Neugier und Begierde an der Lösung des Problems lassen mich nicht davon abkommen (zumindest jetzt noch nicht).

Hat jemand erfolgreich Openstage SIP-Telefone mit Asterisk und Encrypted Calls am laufen? Wenn ja, wie hat er das gemacht???

Ich danke für das Lesen meines Threads....
Liebe Grüße
heizy

 

[mini01]

Du brauchst für SIP-TLS nicht zwingenderweise die Server-CA am Phone. Diese wird nur benötigt, wenn deine TLS Verbindung (sprich der asterisk Server) am Phone validiert werden soll.

D.h. zwingend notwendig (meines Wissens) um SRTP mit asterisk zum Laufen zu bekommen:
- SIP-TLS (Admin > System > SIP Interfaces > SIP transport)
- SRTP_only (Admin > System > Security > ... System > Use Secure Calls ENABLED; System > SRTP Type SDES; SDES config > SDP negotiation SRTP_only)
- [optional] SIP Server Validation Trusted/Full, ansonsten None (Admin > Security and Policies > Certificates > Authentication Policy > Secure SIP Server)

Natürlich dürfen die korrekten Werte für SIP Server/Registrar/Gateway Ports für asterisk TLS nicht vergessen werden (Admin > Network > Port Configuration)

Falls du wirklich "Secure SIP server" Verbindung haben willst, musst du das über das WPI (DLS) Interface aufs Phone hochladen. Die WPI-Definition war mal öffentlich - einfach mal Googeln, dann findet man schon was ... dann brauchst du vermutlich nur noch einen HTTPS fähigen Server, welche die DLS-Kommunikation (Admin > Network > Update Server (DLS) nicht vergessen) abbildet und ein "WriteItems" mit dem SIP-Server-Zertifikat dem Phone bereitstellt ...


LG,
mini

 

[heizy]

Hallo Mini,

vielen vielen vielen Dank für diese ausführliche Anleitung zur Umsetzung. Da war ich auf dem Holzweg. Ich dachte, dass das Zertifikat am Telefon dringend benötigt wird. Habe es nach Deiner Anleitung umgesetzt…..
Ein kleines Problem habe ich noch, hoffe ich komme dem auf die Schliche: Trotz identischer Umsetzung an zwei Telefonen und den Erforderlichen Einstellungen an der Asterisk (TLS und Encryption), zeigt mir ein Telefon das Schloss an, das andere jedoch nicht… Bei sämtlichen Telefonaten.

Sollte ich neue Erkenntnisse haben, werde ich hier wieder schreiben.

Vielen Dank für Deine Hilfe und schöne Feiertage…

Liebe Grüße
heizy

 

[mini01]

Ich vermute mal dass deine Aussage "... das andere jedoch nicht ..." ein offenes Schloss bedeutet.
D.h. ganz identisch sind deine Telefon-Konfigurationen dann doch nicht ...

Das mit geschlossenen Schloss: Server-Type ist auf Others
Das mit offenen Schloss: Server-Type ist auf OSV

Beide auf "Others" und schon sollte bei beiden das geschlossene Schloss angezeigt werden.

OSV: SRTP Medien Aushandlung UND ein zusätzlicher SIP Header (X-Siemens-Call-Type: ST-secure) führen zu einem geschlossenen Schloss
Others: NUR SRTP Medien Ausverhandlung führt zu einem geschlossenen Schloss

LG,
mini

 

[heizy]

Man man man,

Deine Ahnung möchte ich haben!
Genau das war das Problem. Den Punkt hatte ich übersehen….

Vielen lieben Dank nochmal für Deine Hilfestellung, alles funktioniert jetzt wie gewünscht, und meine Schlösser werden geschlossen angezeigt… Jetzt werde ich das bei den restlichen Openstages vornehmen die ich noch an der Anlage habe….

Liebe Grüße
heizy