Как заставить браузер доверять сертификату web-сервера с SIP-телефона?

Question

[dimone73]

Хочу перевести web-интерфейс телефона Yealink на HTTPS. Поделитесь пожалуйста кому удавалось сделать все полностью с сертификатами. Создал в openssl с ключами корневой сертификат, серверный и клиентский сертификаты по образу и подобию TLS/SIP. Правда вместо доменного имени в аппарате - IP адрес. Загрузил корневой и серверный с ключем сертификат на телефон. Загрузил клиентский и серверный сертификаты как в само хранилище сертификатов в Windows7, так и просто в браузер Mozilla. Все равно браузер не доверяет. Опыт небольшой имеется - с веб-сайтом управления АТС получилось "закрыть замочек" https, тут что-то ни в какую...

Answer 1

[AlexVWill]

Все равно браузер не доверяет. Опыт небольшой имеется - с веб-сайтом управления АТС получилось "закрыть замочек" https, тут что-то ни в какую...

По идее и не должен. Потому что браузер должен доверять корневому ЦС. А они ограниченны разработчиками браузера, если браузер например на Chromium, то он использует централизованное хранилище корневых сертификатов, Chrome root storage, откуда как раз берет для доверия корневой сертификат,, а через него всей цепочке доверенных сертификатов.
Читать. У тебя же сертификат самописный, не подписанный никаким доверенным ЦС, поэтому браузер и не будет ему доверять по умолчанию. Можно в настройках браузера сделать так, что он не будет каждый раз выводить страницу-предупреждение, но зеленого замочка не будет. А то, что ты сделаал как то доверие какому то Web сайту, так наверное это внешний сайт, и на него ставил что-то вроде Let's encrypt через certbot, который как раз подписан корневым сертификатом ISRG Root X1, которому браузер доверяет.

spoiler

Comments

[dimone73]

Ну как-то же я заставил доверять Apach-у на веб-сервере управления АТС. И замочек есть и нету предупреждения. Сначала на Firefoxe, затем получилось на всех остальных браузерах системы Win7. А Yealink не сдается.

[dimone73]

хотя и давно это было....

[AlexVWill]

dimone73, Я написал как - например установив сертификат Let's encrypt. А, стесняюсь спросить, нафига замочек для сайтов для внутреннего использования? Мне например абсолютно фиолетово, есть ли на них замочек или нет, если сайт только для web-интерфейса внутри локальной сети - я ему по умолчанию доверяю, для чего его еще как то подписывать иначе?

[Refguser]

AlexVWill, В ФФ своё хранилище сертификатов и ТС туда загрузил всё (как он утверждает). Так что с ФФ фокус может удаться. (да и с хромом по идее тоже - серт минцифры же как-то легализует... наверное.. я не в курсе ;) )

Но я категорически согласен, что в локалке эти приключения нафик не нужны.

[Refguser]

dimone73,

Ну как-то же я заставил доверять Apach-у

По IP или по домену?

[AlexVWill]

Refguser,

да и с хромом по идее тоже - серт минцифры же как-то легализует... наверное.. я не в курсе

А он его и не легализует по моему. Я точно не помню, и сейчас не могу проверить, но по моему там сертификат тоже отображается как ненадежный. Но с помощью него просто можно установить HTTPS соединение с сайтом, который поддерживает сертификаты минцифры.
Ну и на всякий случай, в целях безопасности напомню, что не стоит устанавливать сертификат минцифры как доверенный для всей ОС или для рабочего браузера, лучше поставить его только на тот браузер, который будет использован исключительно для цели работы с такими серверами, которым этот сертификат нужен.

[Refguser]

AlexVWill,

не стоит устанавливать сертификат минцифры как доверенный для всей ОС

В целом правильно, но фишка в том, что все хромобраузеры не имеют собственного хранилища (как FF), а используют системное.

[AlexVWill]

Refguser, Имеют, Brave например, я его использую. Позволяет импортировать сертификаты в собственное хранилище.

spoiler

[Refguser]

AlexVWill, Ок, значит есть исключения из всего зоопарка :)

[Komrus]

Refguser,
Ну например, серверттелефонии Cisco CUCM требовал для нормальной работы сертификатов для всех компонентов. Даже в локальной сети

[dimone73]

Refguser, по домену. А телефон собака что-то не могу найти в настройках, где имя ему поставить. По ip это конечно неправильно. Там ещё попадались отчёты о траблах с сертификатами на yealink-ах. Особый порядок компановки сертификата: ключ+сертификат+сертификат корневой типа такого...

[dimone73]

AlexVWill, я пока тренируюсь, аппарат потом пойдёт в паутину.

[Refguser]

dimone73,

по домену

Вангую проблема в этом. Если я не ошибаюсь серт должен быть выдан на домен, а не IP. (что где как делать на сервере атс - я не в курсе)

[dimone73]

Refguser, да на АТС то не проблема - hostname и hosts на хосте сервера решают. В аппарате не нашел как имя хоста поставить. Hosts на клиентской ПК это не решит.

[AlexVWill]

dimone73, тренироваться можно пока и без доверенных сертификатоа, а когда будет домен при необходимости можно и нормальный сертификат прикрутить. Ну или взять тестовый домен и на нем испытать.

Answer 2

[Komrus]

> Создал в openssl с ключами корневой сертификат, серверный и клиентский сертификаты

Клиентский сертификат для телефона - подписан ранее созданным корневым сертфикатом?
Созданный корневой сертификат - положен в Windows в "доверенные корневые центры сертификации"?

В поле CN клиентского серификата - что напиасано?

А если IP адрес телефонного аппарата прописатььв локальный DNS (дать ему хоть имя tel111.company.loc - во Вашем внутреннем домене)
И это имя прописать в CN ?

PS. Наверное, стоит указать для Вашего вопроса ещё и таг "Цифровые сертификаты"

Comments

[dimone73]

По адресу к сожалению сертификат, это пожалуй неправильно... Как я догадываюсь в настройках аппарата ещё надо имя хоста ему задать, в CISCO было такое, Yealink что то не найду.