Задать вопрос
@dimone73

Как заставить браузер доверять сертификату web-сервера с SIP-телефона?

Хочу перевести web-интерфейс телефона Yealink на HTTPS. Поделитесь пожалуйста кому удавалось сделать все полностью с сертификатами. Создал в openssl с ключами корневой сертификат, серверный и клиентский сертификаты по образу и подобию TLS/SIP. Правда вместо доменного имени в аппарате - IP адрес. Загрузил корневой и серверный с ключем сертификат на телефон. Загрузил клиентский и серверный сертификаты как в само хранилище сертификатов в Windows7, так и просто в браузер Mozilla. Все равно браузер не доверяет. Опыт небольшой имеется - с веб-сайтом управления АТС получилось "закрыть замочек" https, тут что-то ни в какую...
  • Вопрос задан
  • 248 просмотров
Подписаться 1 Средний 5 комментариев
Пригласить эксперта
Ответы на вопрос 3
@AlexVWill
Все равно браузер не доверяет. Опыт небольшой имеется - с веб-сайтом управления АТС получилось "закрыть замочек" https, тут что-то ни в какую...

По идее и не должен. Потому что браузер должен доверять корневому ЦС. А они ограниченны разработчиками браузера, если браузер например на Chromium, то он использует централизованное хранилище корневых сертификатов, Chrome root storage, откуда как раз берет для доверия корневой сертификат,, а через него всей цепочке доверенных сертификатов.
Читать. У тебя же сертификат самописный, не подписанный никаким доверенным ЦС, поэтому браузер и не будет ему доверять по умолчанию. Можно в настройках браузера сделать так, что он не будет каждый раз выводить страницу-предупреждение, но зеленого замочка не будет. А то, что ты сделаал как то доверие какому то Web сайту, так наверное это внешний сайт, и на него ставил что-то вроде Let's encrypt через certbot, который как раз подписан корневым сертификатом ISRG Root X1, которому браузер доверяет.
spoiler
Selection_193.png
Ответ написан
@Komrus
CIO в системном интеграторе.
> Создал в openssl с ключами корневой сертификат, серверный и клиентский сертификаты

Клиентский сертификат для телефона - подписан ранее созданным корневым сертфикатом?
Созданный корневой сертификат - положен в Windows в "доверенные корневые центры сертификации"?

В поле CN клиентского серификата - что напиасано?

А если IP адрес телефонного аппарата прописатььв локальный DNS (дать ему хоть имя tel111.company.loc - во Вашем внутреннем домене)
И это имя прописать в CN ?

PS. Наверное, стоит указать для Вашего вопроса ещё и таг "Цифровые сертификаты"
Ответ написан
Daemon23RUS
@Daemon23RUS
Решение есть, но чисто потешить свое ЧСВ.
Что надо иметь: Домен (пусть будет mydomen.tld) и консоль линукс (не заворачивался в винде, но думаю что и там тоже можно)
Дано 50 Yealink. у каждого ИП во внутренней сети с 192.168.1.100 по 150.
Решение: WILD letsencrypt
Заводим 50 записей A по типу abonent-01.phones.mydomen.tld со внутренним IP 192.168.1.1хх для каждого телефона.
получаем WILD letsencrypt dns challenge сертификат (через DNS challenge) для phones.mydomen.tld (в консоли linux тем же certboot)
Полученный сертификат, раскидываем на 50 аппаратов.
Подключаемся по https://abonent-01.phones.mydomen.tld - БИНГО ! получилось "закрыть замочек" для всех 50ти.
Раз в 3 месяца повторяем процедуру DNS челенджа с заменой сертификата на 50 аппаратах.
Вот только зачем все это, при том что настроив единожды Yealink "забываеш" про него на несколько лет (или до момента когда его надо из кабинета в кабинет перенести как подменный.
P.S. Это не единственный метод.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы