تلفن 021 88316704
Show menu

برای راه اندازی TLS در تلفن های تحت شبکه، داکیومنت ها و مقالات مختلفی تهیه شده و در دسترس عموم قرار دارند. لذا ما در این آموزش قصد نداریم وارد جزئیات شویم و بیشتر به دنبال آن هستیم تا نکات مهم و مواردی را که باید در تنظیمات تلفن (تلفن های ایسین مدل های ES282 و ES270) و مرکز تلفن به آن ها توجه شود تا ارتباط SIP از طریق TLS و مدیا از طریق SRTP برقرار گردد، مرور کنیم.

توجه: با توجه به محبوبیت مرکز تلفن FreePBX و محصولات Yeastar، تنظیمات این تلفن ها را بر روی این دو مرکز تلفن تحت شبکه بررسی کرده ایم.

برای برقراری ارتباط SIP بر بستر امن TLS، نیاز است تا کلاینت، سرور را تایید نماید و از قابل اعتماد بودن آن اطمینان حاصل کرده و سپس ارتباط برقرار شود (One Way). از طرفی این امکان نیز وجود دارد که سرور نیز بخواهد، کلاینت را بررسی و صحت آن را تایید (Two Way). برای این پروسه ها نیاز به یک سری Certificate می باشد که باید هر دو طرف آن ها را در اختیار داشته باشند.

پس اولین گام در راه اندازی و تنظیم TLS، ایجاد Certificate ها برای سرور و کلاینت ها می باشد.

توجه: برای درک بهتر فرایند SSL/TLS می توانید به این مقاله مراجعه نمایید.

نکته: در بیشتر تلفن های تحت شبکه، مدل یک طرفه پیاده سازی شده است؛ به همین دلیل در این مقاله نیز این مدل را بررسی خواهیم کرد و به همین دلیل هم در FreePBX و هم در مرکز تلفن یستار، گزینه ی Verify Client بر روی NO ست شده و یا غیر فعال می باشد و در نتیجه certificate ای هم برای کلاینت ساخته نمی شود!

تنظیمات برای مرکز تلفن یستار:

برای ساخت certificate های مورد نیاز برای سرور می توانید به این لینک مراجعه نمایید.

پس از ساخت فایل asterisk.pem و ca.crt برای سرور، می بایست فایل asterisk.pem را داخل مرکز تلفن یستار بارگذاری کنید. پس به مسیر زیر بروید:

Web UI > Settings > Security > Certificate

و فایل را آپلود کنید. پس از بارگذاری از شما خواسته می شود تا سرور را ریبوت کنید.

TLS-escene-1

در گام دوم می بایست TLS را فعال نمایید. پس به مسیر زیر بروید:

Web UI > Settings > General > SIP > TLS

TLS-escene-2

و تنظیمات را همچون شکل زیر انجام دهید:

TLS-escene-3

Enable TLS: TLS را فعال می کند.

TLS Port: پورت اختصاص داده شده به TLS. به صورت پیش فرض 5061 می باشد.

TLS Verify Server: در صورتی که به عنوان کلاینت عمل کند، صحت سرور را بررسی می کند.

TLS Verify Client: همانطور که توضیح داده شد، در این صورت سرور نیز کلاینت را Verify می کند که در این جا غیر فعال می باشد.

TLS Client Method: متد مورد استفاده برای کلاینت که معمولا tlsv1_v2 می باشد. ولی می توانید با تولید کننده تلفن تحت شبکه نوع آن را چک کنید.

سپس تنظیمات را ذخیره و دستگاه را ریبوت کنید.

در گام بعدی باید TLS را برای داخلی(های) مورد نظر فعال کنید. پس به مسیر زیر بروید:

Web UI > Settings > Extensions

با انتخاب داخلی مورد نظر، آن را ویرایش کرده و وارد تب Advanced شوید:

TLS-escene-4

در این قسمت، Transport را بر روی TLS قرار دهید و سپس ذخیره و reload کنید.

در مرحله بعدی می بایست این داخلی را بر روی تلفن رجیستر کنید. اما قبل از آن باید CA را داخل تلفن آپلود کنید. پس وارد محیط تلفن ایسین شده و به مسیر زیر بروید:

Phone Web UI > Security > Trusted Certificates

TLS-escene-5

در این جا باید فایل ca.crt ساخته شده در گام اول را آپلود کنید. پس از آپلود می بایست تلفن را ریبوت کنید تا اعمال گردد.

در گام آخر وارد تنظیمات اکانت شده و داخلی مورد نظر را رجیستر کنید:

TLS-escene-6

دقت کنید آدرس سرور به صورت IP:5061 تعریف شده که 5061 پورت تعریف شده برای TLS در مرکز تلفن می باشد. همچنین برای فعال سازی SRTP در بخش Advanced آن را مانند شکل زیر تنظیم کنید:

TLS-escene-7

نکته ی مهم: تلفن و مرکز تلفن باید زمان و ساعت یکسان و درست داشته باشند. پس بهتر است از SNTP استفاده کنید.

 

تنظیمات برای مرکز تلفن FreePBX:

کلیه تنظیمات تلفن و مفاهیم کلی برای FreePBX نیز مشابه آنچه که در بالا گفته شد، می باشد. تنها کافی است دو نکته را در نظر بگیرید:

1- برای certificate ساختن لازم نیست روش دستی با OpenSSL را استفاده نمایید. تنها کافی است ماژول Certificate Management را به کار بگیرید و از certificate پیش فرض self-signed استفاده کنید.

TLS-escene-8

2- در مرحله ی بعد باید تنظیمات SIP را انجام دهید. در FreePBX در حال حاضر PJSIP به صورت پیش فرض مورد استفاده قرار می گیرد. اما نگران نباشید چرا که تنظیمات آن با Chan_SIP مشابه هستند.

برای PJSIP به صورت زیر تنظیمات را انجام دهید. از منوی Settings و سپس Asterisk SIP Settings در تب Chan_pjsip:

TLS-escene-9

توجه: certificate ساخته شده در بخش certificate management مورد استفاده قرار گرفته است.

TLS-escene-10

تنظیمات را ذخیره و سپس apply کنید. همچنین نیاز است تا سرویس استریسک را ریستارت نمایید که از طریق ارتباط SSH با سرور، لازم است دستور زیر اجرا شود:

/etc/init.d/asterisk restart

در گام آخر نیز، از مسیر /etc/asterisk/keys فایل ca.crt را برداشته و در تلفن آپلود کنید. سایر تنظیمات نیز مشابه توضیحات قبلی می بایست انجام شود.

نکته: برای برداشتن فایل Ca.crt از روی سرور FreePBX، می توانید از نرم افزار WinSCP استفاده کنید.

اولین کسی باشید که از برنامه های آموزشی ما باخبر می شود


احساس رضایت را با ساعیان ارتباط آینده پیشرو تجربه کنید
آدرس : تهــــران، خیابان مطهـــــری
خیابان اورامان، پلاک ۳۴، واحد ۱۰۴
تلفن‌:‌
۰۲۱   88315442
۰۲۱   ۸۸۳۱۶۷۰۴
۰۲۱   ۸۸۳۱۶۷۱۸
۰۲۱   ۸۸۸۲۶۱۱۷
۰۲۱   ۸۸۳۱۵۳۸۴
[email protected]
arrow-down تماس با ما
کلیه حقوق این وبسایت متعلق به شرکت ساعیان ارتباط آینده پیشرو می‌باشد
scroll to top