Как правильно настроить сертификат для работы Asterisk на CentOS?

Question

[Степан]

Пытаюсь построить связь WebRTC с сервером Asterisk.
Имею Asterisk 13.19 на CentOS который нормально функционирует через SIP клиенты. Произвел настройку по мануалу:
wiki.asterisk.org
В результате при попытках подключиться получаю ошибку:

ERROR[5435]: tcptls.c:695 handle_tcptls_connection: Problem setting up ssl connection: error:00000005:lib(0):func(0):DH lib, System call EOF
WARNING[5435]: tcptls.c:782 handle_tcptls_connection: FILE * open failed!

Смотрю на баги подключения:

openssl s_client -connect xxx.xxx.xxx.xxx:8089 -bugs

получаю следующий вывод:

CONNECTED(00000003)
depth=0 CN =  xxx.xxx.xxx.xxx:, O = ООО
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN =  xxx.xxx.xxx.xxx:, O = ООО
verify error:num=21:unable to verify the first certificate
verify return:1

и там дальше сертификат и тд
Судя по первой ошибке я так решил что соединение не может пройти из-за баженного сертификата.
Вопрос заключается вот в чем:
1) Как можно решить эту проблему самоподписанным сертификатом? потому что назначение проекта в личных целях, а не для публичного доступа
2) Решит ли данную проблему платный сертификат?

Answer 1

[Кот Абсолютный]

Тут как раз недавно обсуждали такую проблему. Самоподписанный сертификат, который не проходит валидацию. Для прохождения валидации нужно одно из двух:
- поместить сертификат в хранилище (обычно /etc/ssl/certs, но например в центосе в /etc/pki/tls/certs) и создать на него линк специального вида:

ln -s certname.crt `openssl x509 -hash -noout -in certname.crt`.0

- получить сертификат от мирового СA (за деньги, но можно попробовать LE)

Comments

[Степан]

попробовал первый вариант, результат остался тем же, релоаднул астериск, даже ребутнул vds, не помогло к тому же пути в настройках астериска переписал на новое место. Все то же самое.

Получил сертификат через sslforfree
но еще не устанавливал на сервер потому что домен на который получил сертификат не используется еще на сервере да и борьба с сертификатами на таком уровне для меня новинка, при настройке nginx подобных проблем не встречал

[Кот Абсолютный]

Нужно добиться того, чтобы openssl s_client перестал выдавать ошибку. Астериск сам ессно соединение не проверяет, он только openssl запрашивает.

[Максим Гришин]

Нарвался на то же самое, что спрашивающий, да, обошел установкой платного сертификата. Похоже, Астериск проверяет свой серт в момент SIP-регистрации по TLS, потому что на wireshark трейсе с phonerlite (TLS) -> asterisk поймал ошибку TLS со стороны сервера вместо server hello. Как-то нелогично имхо.