FreeSwitch-TLS认证客户端证书

("FreeSwitchTLS认证客户端证书FreeSwitch是基于Asterisk定制的SIPServer，支持TLS认证客户端证书，本文主要讲解FreeSwitchCA、Server、Client配套证书制作方法，以及Server单方认证客户端证书过程，如下简易流程图所示，即Server、Client双方建立Hello通讯后，Server要求Client发送Client持有的证书，以便Server确认Client持有证书是可靠的，并与Server属于同一个CA所签发的证书，仅通过Server认证后才于后续通讯。证书制作1、生成CA根证书：1）生成必要的目录：mkdir-pssl&&cdssl。2）生成CA根证书：opensslreq-outcafile.pem-new-x509-keyoutcakey.pem-nodes-days730-sha1。CountryName(2lettercode)[AU]:CNStateorProvinceName(fullname)[Some-State]:GDLocalityName(eg,city)[]:SZOrganizationName(eg,company)[InternetWidgitsPtyLtd]:GSOrganizationalUnitName(eg,section)[]:TESTCommonName(e.g.serverFQDNorYOURname)[]:FreeswitchROOTCAEmailAddress[]:空2、生成Server证书：1）生成Server证书请求文件和私钥：opensslreq-new-outserver.req-newkeyrsa:2048-keyoutserver.key-nodes-sha1。CountryName(2lettercode)[AU]:CNStateorProvinceName(fullname)[Some-State]:GDLocalityName(eg,city)[]:SZOrganizationName(eg,company)[InternetWidgitsPtyLtd]:GSOrganizationalUnitName(eg,section)[]:TESTCommonName(e.g.serverFQDNorYOURname)[]:FreeswitchServerCAEmailAddress[]:空Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:空Anoptionalcompanyname[]:空2）使用CA证书给Server证书签名：opensslx509-req-CAkeycakey.pem-CAcafile.pem-CAcreateserial-inserver.req-outserver.crt-days730-sha13）拼合Server证书与私钥：catserver.crtserver.key>agent.pem。3、生成Client证书：1）生成Client证书请求文件和私钥：opensslreq-new-outclient.req-newkeyrsa:2048-keyoutclient.key-sha1。EnterPEMpassphrase:123456Verifying-EnterPEMpassphrase:123456CountryName(2lettercode)[AU]:CNStateorProvinceName(fullname)[Some-State]:GDLocalityName(eg,city)[]:SZOrganizationName(eg,company)[InternetWidgitsPtyLtd]:GSOrganizationalUnitName(eg,section)[]:TESTCommonName(e.g.serverFQDNorYOURname)[]:SIPClientEmailAddress[]:空Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:空Anoptionalcompanyname[]:空2）使用CA给Client证书签名：opensslx509-req-CAkeycakey.pem-CAcafile.pem-CAcreateserial-inclient.req-outclient.crt-days730-sha1配置FreeSwitch以下演示以WindowsFreeSwitch配置为例，LinuxFreeSwitch与其一致。1、在FreeSwitchconf目录下创建ssl文件夹，并将agent.pem、cafile.pem文件复制到ssl目录。2、打开FreeSwitchconf/vars.xml，将“internal_ssl_enable”设置为“true”，“internal_ssl_dir”指向ssl文件夹，无“internal_ssl_dir”参数则增加一行。3、打开FreeSwitchconf/sip_profiles/internal.xml，设置“tls-cert-dir”为“$${internal_ssl_dir}”，“tls-verify-policy”修改为“all”。4、启动FreeSwitch。话机配置1、登录AndroidPhone话机，进入AdvancedSettings→GenneralSettings，将client.crt、client.key以及client私钥密码（本文示例中的Client私钥为123456）填入到相应位置。2、AndroidPhone使用TLS协议注册FreeSwitch上的账号（默认ID：1001-1020，PWD：1234）。3、抓取注册数据包，可以从SecureSocketsLayer→TLSv1RecordLayer:HandshakeProtocol:Certificate→HandshakeProtocol:Certificate→Certificates中看到话机发送Client证书，经SIP-Server校检后即账号即可注册功能。",)