TLS untuk 2 Client

bagaimana konfigurasi di sip.conf untuk 2 user membuat TLS nya ?

Coba ikutin tutorial ini pak : Asterisk Secure Calling Tutorial

saya sudah coba ikuti tutorial di link tersebut,tapi hanya untuk 1 user seperti berikut misalnya

tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscafile=/etc/asterisk/keys/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1 ;none of the others seem to work with Blink as the client

apakah kalau 2 user di buat seperti ini misalnya

tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/keys1/asterisk.pem
tlscafile=/etc/asterisk/keys1/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1 ;none of the others seem to work with Blink as the client

tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/keys2/asterisk.pem
tlscafile=/etc/asterisk/keys2/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1 ;none of the others seem to work with Blink as the client

Di sip.conf cukup 1 config TLS saja :

tlsenable=yes
tlsbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscafile=/etc/asterisk/keys/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1 ;none of the others seem to work with Blink as the client

Tapi bikin customer cert nya menggunakan key server itu, perhatikan ini :

./ast_tls_cert -m client -c /etc/asterisk/keys/ca.crt -k /etc/asterisk/keys/ca.key -C phone1.mycompany.com -O "My Super Company" -d /etc/asterisk/keys -o malcolm
  • The “-m client” option tells the script that we want a client certificate, not a server certificate.
  • The “-c /etc/asterisk/keys/ca.crt” option specifies which Certificate Authority (ourselves) that we’re using.
  • The “-k /etc/asterisk/keys/ca.key” provides the key for the above-defined Certificate Authority.
  • The “-C” option, since we’re defining a client this time, is used to define the hostname or IP address of our SIP phone
  • The “-O” option defines our organizational name.
  • The “-d” option is the output directory of the keys."
  • The “-o” option is the name of the key we’re outputting.

-C itu bisa menggunakan alamat IP Address si UserA misalnya
-d lokasi tempat certifcatenya untuk si UserA tersebut, dimana rekomendasinya disamakan dengan lokasi cert server

  • o untuk nama certificatenya misalnya userA, userB, jadi nanti ada file :
    userA.crt
    userA.csr
    userA.key
    UserA.pem

userB.crt
userB.csr
userB.key
UserB.pem

kalau di extentention.conf nya ada tambahan gak ? masalahnya melakukan panggilan sesama client yang menggunakan TLS tidak bisa
saya buat seperti ini jadinya

[ilham]
exten => 100,1,Dial(SIP/100)
exten => 100,2,Hangup ()

exten => 101,1,Dial(SIP/101)
exten => 101,2,Hangup ()

Di extensions.conf tidak ada tambahan, TLS di level SIP nya.

Coba debug saja, perhatikan errornya dimana pada saat dial tersebut.

setelah saya debug error disini mas

chan_sip.c:3641 retrans_pkt: Retransmission timeout reached on transmission 2e69697e4e3c5e571644b3686c1c35e9@172.16.23.5:5060 for seqno 102 (Non-critical Request) – See https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions

permisi mas, mau tanya nih,

tentang konfigurasi yg untuk client cert dan server cert TLS di asterisk.

untuk opsi -C yang di command membuat client cert nya itu diisi ip client atau ip server seperti pada -C yang ada di perintah membuat server cert ya ?

terimakasih

based on https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial

The “-C” option, since we’re defining a client this time, is used to define the hostname or IP address of our SIP phone

permisi saya mau tanya. saya lagi nyobain bikin tls tapi error waktu mau regis sip client nya dengan error seperti ini

root@denny-K43SJ:/etc/asterisk# tail -f /var/log/asterisk/messages | tee debug1.txt
[Jun 2 14:20:09] ERROR[3161] pjsip: ssl0x7efbf4000 Error loading certificate chain file ‘/etc/asterisk/keys3/asterisk.crt’

mohon bantuannya terimakasih