オープンソースPBX　Asteriskについて語ろう part8

オープンソースPBX　A ..

530:anonymous@fusianasan
22/09/08 13:13:36.44 ZpR25rVU.net
>>524
できる限りレスしてみます。
＞＞tlscertfile=/etc/asterisk/key/privkey_cert.pem
＞ここでつかっている秘密鍵をLet's Encryptで証明書と一緒に生成するのかな。
これは、Let's Encrypt が生成した privkey.pem と cert.pem を繋げたものです。
privkey.pem だけだと上手く動作しなかったのですが、繋げてみたら動作しました。
＞＞tlscafile=/etc/asterisk/key/fullchain.pem
＞で、こちらが、さっきの証明書を証明するための上流の公開鍵（証明書）のことかな。
これは、Let's Encrypt が生成してくれる fullchain.pem そのものです。
＞＞transport=udp,tls ← udp は LAN内用
＞＞
＞＞で、内線側の設定に、以下の内容を入れればOK。
＞＞transport=tls
＞
＞？これは、内線端末のアカウントに関する記述なら、
＞LAN内端末との通信が暗号化されるってことにならないのかな。
間違えました。general に udp,tls と書いてしまうと、LAN専用の内線番号のところに
udp のみを個別設定しなければなくなりますね。general を udp とするのが安全ですね。
ルータで 5060/udp を止め、5061/tcp のみを通してやったうえで、戸外専用の内線番号
に tls のみを個別設定すると言うのが正しいです。その上で、context で操作範囲に差を
設けることで安全性を高めます。
＞＞encryption=yes ; RTPを暗号化しない場合は no
＞この暗号化は、共通鍵で行われるのだろうか。
そのあたりは分かりません。
SIP-TLS/RTP と SIP-TLS/sRTP の両方で動作を確認しているのですが、sRTP にすると
若干遅延が大きくなるのが気になりました。個人なら SIP さえ暗号化していれば、そう
そう問題なさそうな気はしますね。

次ページ

続きを表示

1を表示