Для управлениями сертификатами SSL в графическом интерфейсе FreePBX 13 создан специальный модуль - Certificate Management. Но, перед тем как перейти к его настройке, давайте вспомним, для чего же нужен сертификат и что же такое SSL в Asterisk?
SSL и FreePBX
Сертификат SSL позволяет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаваться защищенное соединение между web – сервером и клиентским устройством. SSL сертификат включает в себя информацию о его владельце и открытый ключ. Выдачей SSL сертификатов занимается специальный центр сертификации (Certification authority), честность которого априори неоспорима.
Помимо этого, сертификат позволяет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP.
Генерация CSR
Приступаем к получению сертификата. Центр сертификации попросит вас предоставить сгенерированный CSR файл (Certificate Signing Request). Это является обязательной частью подачи заявления на сертификат, и содержит в себе различные данные об организации, такие как наименование, полное имя домена, код страны и прочие.
Перейдем во вкладку Admin -> Certificate Management. В открывшемся окне модуля нажимаем + Generate CSR. Откроется окно генерации CSR файла:
Разберемся поподробнее с каждым из пунктов:
- Name - имя для сгенерированного CSR файла. Когда файл будет сгенерирован, он будет иметь название, как указано в этом поле
- Common Name (Host Name) (CN) - полное имя домена
- Organization Name (O) - полное наименование организации, как указано в учредительных документах
- Organization Unit (OU) - наименование подразделения (отдела), на который выписывается данный сертификат
- Country (C) - код страны из двух букв. В нашем случае RU.
- State/Province (ST) - наименование области или края, в котором вы находитесь. В нашем случае мы оставили это поле пустым
- City or Locality (L) - укажите город. Мы указали Moscow
По окончанию настроек нажмите Generate CSR. После того, как CSR файл будет сгенерирован, он станет доступен для скачивания в главном интерфейсе модуля. Для его загрузки, нажмите на кнопку Download CSR. Сам файл представляет из себя ключ, заключенный в теги начала и окончания:
-----BEGIN CERTIFICATE REQUEST----- MIIC0zCCAbsCAQAwgY0xFDASBgNVBAMTC21lcmlvbmV0LnJ1MRgwFgYDVQQKEw9N ZXJpb24gTmV0d29ya3MxCzAJBgNVBAsTAklUMQswCQYDVQQGEwJSVTEMMAoGA1UE CBMDUUxEMQ8wDQYDVQQHEwZNb3Njb3cxIjAgBgkqhkiG9w0BCQEWE2ludmFsaWRA ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKvJYr== -----END CERTIFICATE REQUEST-----
После этого, вам необходимо написать заявление в центр сертификации и приложить к нему этот файл, после чего вы сможете получить свой SSL сертификат.
Загрузка сертификата
После того, как мы получили сертификат от сертификационного центра (CA), его необходимо загрузить на сервер. Нажимаем на кнопку New Certificate и выбираем Upload Certificate
- Name - имя для сертификата
- Description - описание сертификата. Используется только внутри модуля и не влияет на импорт сертификата.
- Passphrase - кодовая фраза, то есть пароль. Необходима для доступа к сертификату и генерации сертификатов на стороне клиента. Если вы не укажете пароль в данном поле, то вам придется указывать его каждый раз, когда потребуется новый сертификат. К тому же, отсутствие пароля приводит к незащищенности приватного ключа сертификата.
- CSR Reference - в данном поле выберите сгенерированный CSR файл на предыдущем этапе.
- Поле Certificate - откройте файл сертификата, который вам предоставил сертификационный центр и полностью копируйте его в это поле, начиная от тэга «-----BEGIN CERTIFICATE-----» до «-----END CERTIFICATE-----»
- Поле Trusted Chain - порой, центр сертификации (CA), помимо самого сертификата может предоставить вам целый набор файлов. Они называется Trusted Chain, то есть цепочки доверия. Последовательно откройте каждый из файлов и скопируйте их содержимое в это поле.
По окончанию настроек нажмите Generate Certificate. По окончанию настроек вы сможете увидеть ваш сертификат в общем списке. В процессе эксплуатации он доступен для редактирования:
Бесплатный сертификат Let’s Encrypt
Интерфейс FreePBX 13 имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра Let’s Encrypt. Чтобы воспользоваться бесплатным сертификатом, у вашего сервера должно быть настроено доменное имя, и его оно должно резолвиться по его IP – адресу.
Помимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола:
- outbound1.letsencrypt.org
- outbound2.letsencrypt.org
- mirror1.freepbx.org
- mirror2.freepbx.org
бесплатные гайды
