Как заставить браузер доверять сертификату web-сервера с SIP-телефона?

Question

[dimone73]

Хочу перевести web-интерфейс телефона Yealink на HTTPS. Поделитесь пожалуйста кому удавалось сделать все полностью с сертификатами. Создал в openssl с ключами корневой сертификат, серверный и клиентский сертификаты по образу и подобию TLS/SIP. Правда вместо доменного имени в аппарате - IP адрес. Загрузил корневой и серверный с ключем сертификат на телефон. Загрузил клиентский и серверный сертификаты как в само хранилище сертификатов в Windows7, так и просто в браузер Mozilla. Все равно браузер не доверяет. Опыт небольшой имеется - с веб-сайтом управления АТС получилось "закрыть замочек" https, тут что-то ни в какую...

Comments

[Ziptar]

Ну и при чем здесь клиентский сертификат вообще?

Загрузил клиентский и серверный сертификаты как в само хранилище сертификатов в Windows7

А надо корневой в хранилище доверенных корневых цс

[dimone73]

Ziptar, да загрузил и тот и тот...и туда и сюда. Наверное причина - в адресе вместо домена в CN сертификата

[Ziptar]

dimone73, не должно быть никаких проблем с этим, в CN допустим и ip адрес. Разве что гугл/мозилла опять гайки подкрутили невесть зачем, но сомнительно.

[Ziptar]

Но вообще в CN можно любую фигню писать, расширение Subject Alt Name c IP адресом тоже должно работать

[Ziptar]

https://letsencrypt.org/2025/07/01/issuing-our-fir...
хехе

Answer 1

[AlexVWill]

Все равно браузер не доверяет. Опыт небольшой имеется - с веб-сайтом управления АТС получилось "закрыть замочек" https, тут что-то ни в какую...

По идее и не должен. Потому что браузер должен доверять корневому ЦС. А они ограниченны разработчиками браузера, если браузер например на Chromium, то он использует централизованное хранилище корневых сертификатов, Chrome root storage, откуда как раз берет для доверия корневой сертификат,, а через него всей цепочке доверенных сертификатов.
Читать. У тебя же сертификат самописный, не подписанный никаким доверенным ЦС, поэтому браузер и не будет ему доверять по умолчанию. Можно в настройках браузера сделать так, что он не будет каждый раз выводить страницу-предупреждение, но зеленого замочка не будет. А то, что ты сделаал как то доверие какому то Web сайту, так наверное это внешний сайт, и на него ставил что-то вроде Let's encrypt через certbot, который как раз подписан корневым сертификатом ISRG Root X1, которому браузер доверяет.

spoiler

Comments

[dimone73]

Ну как-то же я заставил доверять Apach-у на веб-сервере управления АТС. И замочек есть и нету предупреждения. Сначала на Firefoxe, затем получилось на всех остальных браузерах системы Win7. А Yealink не сдается.

[dimone73]

хотя и давно это было....

[AlexVWill]

dimone73, Я написал как - например установив сертификат Let's encrypt. А, стесняюсь спросить, нафига замочек для сайтов для внутреннего использования? Мне например абсолютно фиолетово, есть ли на них замочек или нет, если сайт только для web-интерфейса внутри локальной сети - я ему по умолчанию доверяю, для чего его еще как то подписывать иначе?

[Refguser]

AlexVWill, В ФФ своё хранилище сертификатов и ТС туда загрузил всё (как он утверждает). Так что с ФФ фокус может удаться. (да и с хромом по идее тоже - серт минцифры же как-то легализует... наверное.. я не в курсе ;) )

Но я категорически согласен, что в локалке эти приключения нафик не нужны.

[Refguser]

dimone73,

Ну как-то же я заставил доверять Apach-у

По IP или по домену?

[AlexVWill]

Refguser,

да и с хромом по идее тоже - серт минцифры же как-то легализует... наверное.. я не в курсе

А он его и не легализует по моему. Я точно не помню, и сейчас не могу проверить, но по моему там сертификат тоже отображается как ненадежный. Но с помощью него просто можно установить HTTPS соединение с сайтом, который поддерживает сертификаты минцифры.
Ну и на всякий случай, в целях безопасности напомню, что не стоит устанавливать сертификат минцифры как доверенный для всей ОС или для рабочего браузера, лучше поставить его только на тот браузер, который будет использован исключительно для цели работы с такими серверами, которым этот сертификат нужен.

[Refguser]

AlexVWill,

не стоит устанавливать сертификат минцифры как доверенный для всей ОС

В целом правильно, но фишка в том, что все хромобраузеры не имеют собственного хранилища (как FF), а используют системное.

[AlexVWill]

Refguser, Имеют, Brave например, я его использую. Позволяет импортировать сертификаты в собственное хранилище.

spoiler

[Refguser]

AlexVWill, Ок, значит есть исключения из всего зоопарка :)

[Komrus]

Refguser,
Ну например, серверттелефонии Cisco CUCM требовал для нормальной работы сертификатов для всех компонентов. Даже в локальной сети

[dimone73]

Refguser, по домену. А телефон собака что-то не могу найти в настройках, где имя ему поставить. По ip это конечно неправильно. Там ещё попадались отчёты о траблах с сертификатами на yealink-ах. Особый порядок компановки сертификата: ключ+сертификат+сертификат корневой типа такого...

[dimone73]

AlexVWill, я пока тренируюсь, аппарат потом пойдёт в паутину.

[Refguser]

dimone73,

по домену

Вангую проблема в этом. Если я не ошибаюсь серт должен быть выдан на домен, а не IP. (что где как делать на сервере атс - я не в курсе)

[dimone73]

Refguser, да на АТС то не проблема - hostname и hosts на хосте сервера решают. В аппарате не нашел как имя хоста поставить. Hosts на клиентской ПК это не решит.

[AlexVWill]

dimone73, тренироваться можно пока и без доверенных сертификатоа, а когда будет домен при необходимости можно и нормальный сертификат прикрутить. Ну или взять тестовый домен и на нем испытать.

Answer 2

[Komrus]

> Создал в openssl с ключами корневой сертификат, серверный и клиентский сертификаты

Клиентский сертификат для телефона - подписан ранее созданным корневым сертфикатом?
Созданный корневой сертификат - положен в Windows в "доверенные корневые центры сертификации"?

В поле CN клиентского серификата - что напиасано?

А если IP адрес телефонного аппарата прописатььв локальный DNS (дать ему хоть имя tel111.company.loc - во Вашем внутреннем домене)
И это имя прописать в CN ?

PS. Наверное, стоит указать для Вашего вопроса ещё и таг "Цифровые сертификаты"

Comments

[dimone73]

По адресу к сожалению сертификат, это пожалуй неправильно... Как я догадываюсь в настройках аппарата ещё надо имя хоста ему задать, в CISCO было такое, Yealink что то не найду.

[Komrus]

dimone73,

1) Посмотрите в Admin Guide от телефона раздел
DHCP Option 12 Hostname on the IP Phone

Там - и как по dhcp имя выдать, и каке имя по дефолту стоит...

2) Никакие LetsEncrypt'ы (которые тут советуют) для создания локальной инфраструктуры серификатов - не обязтельны. Всё генериться ручками через OpeSSL при желании.

[dimone73]

DHCP Option 12 Hostname on the IP Phone что-то я прошляпил момент!

Answer 3

[Daemon23RUS]

Решение есть, но чисто потешить свое ЧСВ.
Что надо иметь: Домен (пусть будет mydomen.tld) и консоль линукс (не заворачивался в винде, но думаю что и там тоже можно)
Дано 50 Yealink. у каждого ИП во внутренней сети с 192.168.1.100 по 150.
Решение: WILD letsencrypt
Заводим 50 записей A по типу abonent-01.phones.mydomen.tld со внутренним IP 192.168.1.1хх для каждого телефона.
получаем WILD letsencrypt dns challenge сертификат (через DNS challenge) для phones.mydomen.tld (в консоли linux тем же certboot)
Полученный сертификат, раскидываем на 50 аппаратов.
Подключаемся по https://abonent-01.phones.mydomen.tld - БИНГО ! получилось "закрыть замочек" для всех 50ти.
Раз в 3 месяца повторяем процедуру DNS челенджа с заменой сертификата на 50 аппаратах.
Вот только зачем все это, при том что настроив единожды Yealink "забываеш" про него на несколько лет (или до момента когда его надо из кабинета в кабинет перенести как подменный.
P.S. Это не единственный метод.

Comments

[dimone73]

"Вот только зачем все это" - если выставлять в с паутину с TLS+SRTP + сертификаты, и при этом держать web через http, то мне сдается это неправильным.

[Daemon23RUS]

dimone73, Если http Yealink (да и https) светит наружу - это беда, тут никакой сертификат не поможет.
Суть в том, что пока Вы не пользуетесь Web интерфейсом Yealink, глубоко фиолетово есть там сертификат или нет. Настроив единожды Yealink "забываеш" про него на несколько лет. Каждый год платить за Wild сертификат и ежегодно обновлять его на 50 устройствах или делать это бесплатно но раз в 3 месяца. И не пользоваться ....

[Ziptar]

dimone73, неправильно светить ип телефоном в интернет. Правильно - веб интерфейсы отключить, телефоны от интернета изолировать, а для настройки использовать provisioning.