Bonjour,
j’ ai une question peut être idiote mais elle concerne le tls.
J’ ai suivi ce lien pour configurer un template tls
ok tout est fonctionnel apparemment mais que faire ensuite?
comment mon poste mitel va vérifer le certificat ainsi que la clé privée?
merci pour votre aide
Pour être plus précis:
dois je créer un répertoire accessible sur mon serveur depuis l’ extérieur, vers lequel le poste va aller chercher tout ce dont il a besoin?
ou ce répertoire existe déjà? si oui sous quelle forme https://monserveur/…???
un exemple serait apprécié
merci
Bonjour
Je réagis à ce topic, car je suis un peu dans la même situation.
J’ai suivi la procédure, la même, tout semble bien aller.
Pour mes postes Mitel, j’ai ajouté dans la configuration du template de télécharger le certicat de confiance du serveur. Pour le Yealink je l’ai ajouté manuellement.
Chacun semble être connecté correctement…mais ils arrivent a appeler l’extérieur, mais ne peuvent recevoir des appels ni de l’extérieur ni en interne.
J’ai des erreurs pjsip:
[2023-11-24 16:31:45.2002] ERROR[606828]: res_pjsip.c:852 ast_sip_create_dialog_uac: Endpoint 'z5ipqxln': Could not create dialog to invalid URI 'z5ipqxln'. Is endpoint registered and reachable?
[2023-11-24 16:31:45.2002] ERROR[606828]: chan_pjsip.c:2698 request: Failed to create outgoing session to endpoint 'z5ipqxln'
voire sip
[2023-11-24 16:31:45.0612] Via: SIP/2.0/TLS 192.168.63.107;branch=z9hG4bK8647b57d39ec415c2
[2023-11-24 16:31:45.0612] Max-Forwards: 70
[2023-11-24 16:31:45.0612] From: “FlD” sips:2k63zr8a@192.168.63.2:5061;tag=a457e95fdd
[2023-11-24 16:31:45.0612] To: sips:10001@192.168.63.2:5061;user=phone
[2023-11-24 16:31:45.0612] Call-ID: f07469f80bd7859d
[2023-11-24 16:31:45.0612] CSeq: 996215181 INVITE
[2023-11-24 16:31:45.0612] Accept-Language: fr
[2023-11-24 16:31:45.0612] Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, OPTIONS, UPDATE, PRACK, SUBSCRIBE, INFO, PUBLISH
[2023-11-24 16:31:45.0612] Allow-Events: talk, hold, conference, LocalModeStatus
[2023-11-24 16:31:45.0612] Contact: “FlD” sips:2k63zr8a@192.168.63.107:5061;+sip.instance=“urn:uuid:00000000-0000-1000-8000-00085D46354D”
[2023-11-24 16:31:45.0612] Supported: path, gruu, 100rel, replaces
[2023-11-24 16:31:45.0612] User-Agent: Aastra 6869i/5.0.0.147
[2023-11-24 16:31:45.0612] Content-Type: application/sdp
[2023-11-24 16:31:45.0612] Content-Length: 416
[2023-11-24 16:31:45.0612]
[2023-11-24 16:31:45.0612] v=0
[2023-11-24 16:31:45.0612] o=MxSIP 0 1 IN IP4 192.168.63.107
[2023-11-24 16:31:45.0613] s=SIP Call
[2023-11-24 16:31:45.0613] c=IN IP4 192.168.63.107
[2023-11-24 16:31:45.0613] t=0 0
[2023-11-24 16:31:45.0613] m=audio 3000 RTP/AVP 9 18 0 8 101
[2023-11-24 16:31:45.0613] a=rtpmap:9 G722/8000
[2023-11-24 16:31:45.0613] a=rtpmap:18 G729/8000
[2023-11-24 16:31:45.0613] a=rtpmap:0 PCMU/8000
[2023-11-24 16:31:45.0613] a=rtpmap:8 PCMA/8000
[2023-11-24 16:31:45.0613] a=rtpmap:101 telephone-event/8000
[2023-11-24 16:31:45.0613] a=silenceSupp:off - - - -
[2023-11-24 16:31:45.0613] a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:SVx7Jy5GKzI2TDs1WkZeenViJixWIk1FO3V6OCVB
[2023-11-24 16:31:45.0613] a=fmtp:18 annexb=no
[2023-11-24 16:31:45.0613] a=fmtp:101 0-15
[2023-11-24 16:31:45.0613] a=ptime:20
[2023-11-24 16:31:45.0613] a=sendrecv
[2023-11-24 16:31:45.0613]
[2023-11-24 16:31:45.0614] <— Transmitting SIP response (504 bytes) to TLS:192.168.63.107:40958 —>
[2023-11-24 16:31:45.0614] SIP/2.0 401 Unauthorized
[2023-11-24 16:31:45.0614] Via: SIP/2.0/TLS 192.168.63.107;rport=40958;received=192.168.63.107;branch=z9hG4bK8647b57d39ec415c2
[2023-11-24 16:31:45.0614] Call-ID: f07469f80bd7859d
[2023-11-24 16:31:45.0614] From: “FlD” sips:2k63zr8a@192.168.63.2;tag=a457e95fdd
[2023-11-24 16:31:45.0614] To: sips:10001@192.168.63.2;user=phone;tag=z9hG4bK8647b57d39ec415c2
[2023-11-24 16:31:45.0614] CSeq: 996215181 INVITE
[2023-11-24 16:31:45.0614] WWW-Authenticate: Digest realm=“asterisk”,nonce=“1700839905/2514c238f5b59011b670ab34f9525f44”,opaque=“391d0e6300bf5947”,algorithm=MD5,qop=“auth”
[2023-11-24 16:31:45.0614] Server: Wazo PBX
[2023-11-24 16:31:45.0614] Content-Length: 0
Au final, avez vous trouver une solution qui marche?
merci d'avanceBonjour Florent,
non désolé, j’ en suis toujours au même point, j’ ai fini par laisser tomber et je n’ ai pas pris le temps de me remettre dessus.
désolé de ne pas pouvoir vous aider
Bonjour,
Cette erreur montre que le poste n’est pas enregistré ou joignable. Il faudrait regarder les traces sip sur le register. Aussi si tu fais *10 sur le poste il se passe quoi ?
Bonjour,
Bon au final je pense avoir trouvé.
Jocelyn, si vous êtes toujours intéressé, voici la procédure (il y a peut être plus simple!)
Pour commencer j’ai générer de nouvelles clés avec le générateur ast_tls_cert (n’ayant pas trouvé l’outil, je l’ai récupérer dans les sources d’un asterisk 20)
J’ai donc eu le fichier ca.crt et asterisk.crt et asterisk.key en particulier
Les fichiers asterisk.crt et asterisk.key sont utilisé par asterisk. Ce sont ces fichiers cibles que j’ai utilisé dans WAzo UI partie transport TLS en remplacement de ceux existants
Egalement dans l’interface Wazo-UI, dans le transport tls:
J’ai ajouté les cipher : ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES128-SHA,AES256-GCM-SHA384,AES128-GCM-SHA256,AES256-SHA256,AES128-SHA256,AES256-SHA,AES128-SHA
Et j’ai ajouté le ca_list_file : avec le ca.crt généré précedement
Dans le template global_tls, bien indiquer sdes et non srtp.
Un redemarrage d’asterisk et c’est bon coté serveur.
Coté terminaux. J’en ai de 2 marques : Yealink (T46s) et Mitel (6869i)
Pour les Yealink: j’ai ajouté en provisionning le fichier ca.crt préalablement converti en .pem (commande `openssl x509 -in ca.crt -out ca.pem). Simplement configurer le poste d’utiliser TLS, port 5061 et SRTP rien d’autre.
Pour les postes Mitel : Ils demande obligatoirement un certificat local et clé locale. Donc il faut reprendre le script ast_tls_cert et générer un certificat client -utilisant les fichier ca.crt et ca.key précédemment générés):
./ast_tls_cert -m client -c ca.crt -k ca.key -O “Organisation” -o client
Il faudra convertir le fichier client.crt en pem (même commande que précédemment) et le fichier clientkey en client_key.pem : openssl rsa -in client.key -text > client_key.pem
Pourquoi ? Parce que mitel ne veut que du .pem
Enfin en provisionning, en plus de modifier les ports et transport, il faudra donc indiquer :
sips trusted certificates: ca.pem
sips root and intermediate certificates: ca.pem
sips local certificate: client.pem
sips private key: client_key.pem
J’ai vérifié en supprimant la partie client, les appels ne peuvent plus fonctionner…
ET la finalité, j’ai bien le petit cadenas qui apparait sur les postes Yealink et Mitel!
Je pense avoir été complet, si des points nécessite une précision je reste à disposition.
J’ai juste une question complémentaire:
J’ai essayé de revoir la config des postes justement en particulier le coté provisionning.
Pour Mitel, avec un template ce le fait assez bien. Par contre pas très propre car je suis obligé de mettre en dur adresse ip serveur et port 5061, mais dans l’ensemble cela le fait.
Par contre Yealink, c’est vraiment pas top, car ma configuration spécifique avec le port et adresse, ca se rajoute à la config de base…enfin vraiment pas top. Obliger de gérer cela dans le fichier de l’adresse mac, mais le provisionning n’en est plus vraiment un
Y a t il un moyen de gérer cela plus correctement pour les 2 marques?
merci
Bonjour Florent,
merci beaucoup pour ce retour d’ infos, c’ est vraiment sympa 
Bonjour
Je finalise un peu l’installation du TLS et je me rends compte d’un problème.
Lors d’un premier provisionning le téléphone utilise le compte autoprov lié à un compte apL*****hv et un mot de passe associé.
Or quand j’essaye d’utiliser mon code de provisionning, j’ai un problème de média. En effet mon poste est configuré pour faire du SRTP, et je suppose le compte temporaire wazo ne l’est pas, donc je nepeux pas utilsier le code.
Y a t il moyen de configurer ce compte virtuel pour qu il passe en SRTP?
merci