Thursday, August 6

Hướng dẫn cấu hình bảo mật MyPBX (Phần 5) – Cách sử dụng TLS trong MyPBX

1. Cách đăng ký điện thoại IP với MyPBX qua TLS
MyPBX đang hoạt động như một máy chủ SIP, điện thoại IP đăng ký với MyPBX dưới dạng tiện ích mở rộng qua TLS.

1.1 Kích hoạt TLS trong giao diện Web MyPBX

Nhấp vào “PBX–SIP settings–General” để nhận cài đặt về TLS, mặc định bị tắt.

· Cổng TLS
Cổng được sử dụng để đăng ký Sip. Mặc định là 5061.
· Máy chủ xác minh TLS
Khi sử dụng MyPBX làm máy khách TLS, có xác minh chứng chỉ máy chủ hay không. Theo mặc định, đó là ‍ No
· Xác minh khách hàng TLS
Khi sử dụng MyPBX làm máy chủ TLS, có xác minh chứng chỉ máy khách hay không. Đó là ‍ không có bản quyền theo mặc định.
· TLS bỏ qua tên thông thường
Đặt tham số này là ‍ không có tên, thì tên chung phải giống với tên miền hoặc tên miền.
· Phương pháp khách hàng TLS
Khi sử dụng MyPBX làm máy khách TLS, chỉ định giao thức cho các kết nối TLS bên ngoài. Bạn có thể chọn nó là tlsv1, sslv2 hoặc sslv3.

Ghi chú:
1. Vì lý do bảo mật, chúng tôi khuyên bạn nên bật ‍ TL TLS Xác minh ứng dụng khách và vô hiệu hóa ‍ TL TLS Bỏ qua tên chung, trong trường hợp đó, MyPBX sẽ xác minh Chứng chỉ IP, tên chung trong CA phải giống với IP hoặc tên miền của nó Tên.
2. Phương thức máy khách TLS: nó khởi động phương thức TLS của điện thoại IP; bạn có thể liên hệ với nhà sản xuất điện thoại IP để có được điều đó.
3. Bạn cần khởi động lại MyPBX để có hiệu lực sau khi bật TLS.

1.2. Chuẩn bị toàn bộ chứng chỉ cho TLS

Dưới đây là các chứng chỉ của điện thoại MyPBX và IP cho đăng ký TLS như ảnh chụp màn hình ở trên:
MyPBX’s CA: CA.crt.
MyPBX’s server certificate: asterisk.pem.
IP phone’s CA: CA.crt or CA.csr.
IP phone’s server certificate: client.pem.

Chứng chỉ được tạo thông qua bộ công cụ OpenSSL, bạn có thể biên dịch gói nguồn từ http://www.openssl.org/ hoặc tải xuống công cụ được sử dụng tại đây, liên kết tải xuống: www.yeastar.com/doad/tools/TLS_CA_Tool.rar
Bạn có thể tìm thấy các tập tin bên trong gói như thế này:

Ca.bat: Make the CA.crt for IP phone and MyPBX
Client.bat: make the ‍“client.pem”, it’s the ‍“IP phone’s server certificate”.
Server.bat: make the ‍“asterisk.pem”, it’s the ‍“MyPBX’s server certificate”.
Dưới đây là các bước để thực hiện tất cả các chứng chỉ.

Bước 1. Chuẩn bị MyPBX từ CA: CA.crt

Nhấp đúp chuột vào ca.bat

Chỉ cần làm theo hướng dẫn để nhập thông tin của MyPBX từng bước.
Trong ví dụ này, địa chỉ IP MyPBX là 192.168.4.142.

Ca.crt này giống như trong thư mục /TLS_CA_Tool/ca/trusted/

MyPBX’s CA: CA.crt được tạo thành công.

Bước 2 Chuẩn bị ‍ ăn asterisk.pem, ‍ Giấy chứng nhận máy chủ MyPBX

Chúng tôi cần CA.crt và CA.key để tạo chứng chỉ máy chủ.
Nhấp đúp chuột vào server server server.bat.

Làm theo hướng dẫn từng bước thông tin đầu vào và đảm bảo thông tin bạn có đầu vào khớp với thông tin bạn đã nhập trong Bước 1.

Kiểm tra toàn bộ thông tin sau đó nhập vào y để tiếp tục. Khi hoàn tất, bạn có thể tìm thấy asterisk.pem như hình ảnh sau đây.

asterisk.pem, chứng chỉ máy chủ ‍MyPBX được tạo thành công.

Lưu ý: Chúng tôi có thể sao chép asterisk.pem, ca.crt sang thư mục khác trước khi tạo chứng chỉ IP phone.

Bước 3. Chuẩn bị chứng chỉ điện thoại IP, ca.crt

Nhấp đúp chuột vào ‍ ca ca.bat, nhập thông tin của điện thoại IP từng bước.

Trong ví dụ này, địa chỉ IP của điện thoại IP là 192.168.4.71.

Khi hoàn tất, chúng ta có thể tìm thấy ca.crt trong thư mục này.

Ca.crt trong thư mục  /TLS_CA_Tool/ca/trusted giống như trên.

Chứng chỉ điện thoại IP đã kết thúc.

Lưu ý: Nếu bạn đã có CA cho điện thoại IP của riêng mình, bạn có thể đổi tên nó thành CA.crt và sao chép nó vào thư mục ‍ khăn / TLS_CA_Tool / ca / ​​tin cậy trước khi tạo ‍‍ client client.pem.

Bước 4. Chuẩn bị ‍ “client.pem”, “IP phone’s server certificate”

Nhấp đúp chuột vào ‍“client.bat”.

Nhập thông tin điện thoại IP từng bước trong tập lệnh này; đảm bảo nội dung giống như Bước 3.

Xác nhận tất cả thông tin chúng tôi nhập trước khi nhấp vào y để hoàn thành hướng dẫn này.

“IP phone’s server certificate” đã sẵn sàng.

Lưu ý: Chúng tôi có thể sao chép client.pem, ca.crt sang thư mục khác trước khi tải lên.

Tất cả các chứng chỉ được chuẩn bị.

1.3. Tải lên chứng chỉ

1.3.1 Tải lên chứng chỉ IP điện thoại IP
Trong ví dụ này, mô hình IP phone điện thoại là Yealink T28.

Bước 1. Tải lên ‍ Điện thoại IP IP Chứng chỉ máy chủ của Nhật Bản (client.pem).

Nhấp vào ‍ “Security–Server Certificates” Để tải lên client.pem

Nhấp vào ‍ “Chọn tập tin” và tải lên chứng chỉ máy chủ IP điện thoại IP. Điện thoại IP sẽ tự khởi động lại khi quá trình tải lên kết thúc.

Khi điện thoại IP khởi động lại, chúng ta có thể kiểm tra trạng thái chứng chỉ.

Bước 2. Tải lên chứng chỉ tin cậy.

Chứng chỉ tin cậy là ca.crt của MyPBX. Nó sẽ được gửi đến MyPBX trong quá trình đăng ký để được ủy quyền.
Nhấp vào ‍ “Security–Trusted Certificates”, tải lên MyPBX từ ca.crt.

Khi hoàn tất, chúng ta có thể kiểm tra nội dung của CA.crt giống như hình ảnh bên dưới.

Các chứng chỉ ở phía điện thoại IP được tải lên.

1.3.2 Tải lên chứng chỉ MyPBX
Trong ví dụ này, mô hình của MyPBX là MyPBX U200 (firmware version: 15.18.0.22)

Bước 1. Tải lên chứng chỉ máy chủ MyPBX (asterisk.pem)

Nhấp vào ‍ PBX->Advanced Settings->Certificates”, sau đó nhấp vào “Upload Certificates”, chọn ‍ “PBX Certificates”, sau đó tải lên asterisk.pem.

Nhấp vào Lưu để tải lên, bạn sẽ cần khởi động lại MyPBX để có hiệu lực.

Nhấp vào ‍ Phục hồi lại ngay bây giờ để khởi động lại MypBX. Khi hoàn tất, chúng ta có thể chuyển sang Bước 2.

Bước 2. Tải lên chứng chỉ tin cậy.

Chứng chỉ tin cậy trong MyPBX phải là ca.crt của điện thoại IP.
Nhấp vào ‍ Tải lên Chứng chỉ Tải lên và chọn ‍ Chứng chỉ đáng tin cậy trong các cửa sổ Loại, sau đó tải lên điện thoại IP.

Nhấp vào ‍“Save”, sau đó nhấp vào ‍”Apply Changes”.

Các chứng chỉ ở phía MyPBX được tải lên.

1.4. Đăng ký điện thoại IP với MyPBX qua TLS

Trước khi đăng ký điện thoại IP vào MyPBX, chúng tôi cần tạo tiện ích mở rộng SIP ở phía MyPBX hoặc chỉnh sửa phần mở rộng hiện có. Trong ví dụ này, số mở rộng là 303.
Chúng ta cần thiết lập giao thức TLS trong trang này, nhấp vào lưu và ‍ “Apply Changes”.

Mở trang cấu hình điện thoại IP, nhập thông tin đăng ký của tiện ích mở rộng 303.

Nhấp vào ‍ “Confirm” để áp dụng các thay đổi, sau đó tiện ích mở rộng 303 được đăng ký qua TLS.
Chúng tôi cũng có thể kiểm tra trạng thái trong ‍“Extension Status”.

Nếu bạn có bất kỳ vấn đề nào về tiện ích mở rộng Sổ đăng ký, vui lòng chạy theo dõi gói trong ‍ “Reports–System Logs–Packet Capture Tool” chụp gói dữ liệu, nhập địa chỉ IP điện thoại IP, chọn cổng eth, sau đó nhấp vào ‍“Start”. Bạn có thể đăng ký lại điện thoại IP, sau đó nhấp vào “Stop” và tải xuống gói để phân tích qua Wireshark. Bạn cũng có thể gửi nó cho chúng tôi để phân tích.

2. Cách đăng ký trung kế SIP đến nhà cung cấp VoIP qua TLS

Nếu bạn đã có trung kế SIP từ nhà cung cấp đang sử dụng TLS, chúng tôi có thể định cấu hình nó trong MyPBX và chọn TLS trong trung kế, đây là hai ví dụ cho bạn.
VoIP Trunk:

Nhà cung cấp dịch vụ trung kế (P-P).

Nếu bạn gặp vấn đề khi đăng ký với nhà cung cấp qua TLS, bạn cũng có thể chạy theo dõi gói tin trong trang ‍ “System Log” bằng cách sử dụng ‍“Packet Capture Tool”, sau đó gửi cho nhà cung cấp hoặc cho chúng tôi để phân tích.

Bài viết liên quan