ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

ƒл€ управлени€ми сертификатами SSL в графическом интерфейсе FreePBX 13 создан специальный модуль - Certificate Management. Ќо, перед тем как перейти к его настройке, давайте вспомним, дл€ чего же нужен сертификат и что же такое SSL в Asterisk?


SSL и FreePBX

—ертификат SSL позвол€ет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаватьс€ защищенное соединение между web Ц сервером и клиентским устройством. SSL сертификат включает в себ€ информацию о его владельце и открытый ключ. ¬ыдачей SSL сертификатов занимаетс€ специальный центр сертификации (Certification authority), честность которого априори неоспорима.

ѕомимо этого, сертификат позвол€ет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP.


√енераци€ CSR

ѕриступаем к получению сертификата. ÷ентр сертификации попросит вас предоставить сгенерированный CSR файл (Certificate Signing Request). Ёто €вл€етс€ об€зательной частью подачи за€влени€ на сертификат, и содержит в себе различные данные об организации, такие как наименование, полное им€ домена, код страны и прочие.

ѕерейдем во вкладку Admin -> Certificate Management. ¬ открывшемс€ окне модул€ нажимаем + Generate CSR. ќткроетс€ окно генерации CSR файла:

√енераци€ CSR FreePBX 13

–азберемс€ поподробнее с каждым из пунктов:

  • Name - им€ дл€ сгенерированного CSR файла.  огда файл будет сгенерирован, он будет иметь название, как указано в этом поле
  • Common Name (Host Name) (CN) - полное им€ домена
  • Organization Name (O) - полное наименование организации, как указано в учредительных документах
  • Organization Unit (OU) - наименование подразделени€ (отдела), на который выписываетс€ данный сертификат
  • Country (C) - код страны из двух букв. ¬ нашем случае RU.
  • State/Province (ST) - наименование области или кра€, в котором вы находитесь. ¬ нашем случае мы оставили это поле пустым
  • City or Locality (L) - укажите город. ћы указали Moscow

ѕо окончанию настроек нажмите Generate CSR. ѕосле того, как CSR файл будет сгенерирован, он станет доступен дл€ скачивани€ в главном интерфейсе модул€. ƒл€ его загрузки, нажмите на кнопку Download CSR. —ам файл представл€ет из себ€ ключ, заключенный в теги начала и окончани€:

-----BEGIN CERTIFICATE REQUEST-----
MIIC0zCCAbsCAQAwgY0xFDASBgNVBAMTC21lcmlvbmV0LnJ1MRgwFgYDVQQKEw9N
ZXJpb24gTmV0d29ya3MxCzAJBgNVBAsTAklUMQswCQYDVQQGEwJSVTEMMAoGA1UE
CBMDUUxEMQ8wDQYDVQQHEwZNb3Njb3cxIjAgBgkqhkiG9w0BCQEWE2ludmFsaWRA
ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKvJYr==
-----END CERTIFICATE REQUEST-----

ѕосле этого, вам необходимо написать за€вление в центр сертификации и приложить к нему этот файл, после чего вы сможете получить свой SSL сертификат.


«агрузка сертификата

ѕосле того, как мы получили сертификат от сертификационного центра (CA), его необходимо загрузить на сервер. Ќажимаем на кнопку New Certificate и выбираем Upload Certificate

ƒобавить SSL сертификат FreePBX
  • Name - им€ дл€ сертификата
  • Description - описание сертификата. »спользуетс€ только внутри модул€ и не вли€ет на импорт сертификата.
  • Passphrase - кодова€ фраза, то есть пароль. Ќеобходима дл€ доступа к сертификату и генерации сертификатов на стороне клиента. ≈сли вы не укажете пароль в данном поле, то вам придетс€ указывать его каждый раз, когда потребуетс€ новый сертификат.   тому же, отсутствие парол€ приводит к незащищенности приватного ключа сертификата.
  • CSR Reference - в данном поле выберите сгенерированный CSR файл на предыдущем этапе.
  • ѕоле Certificate - откройте файл сертификата, который вам предоставил сертификационный центр и полностью копируйте его в это поле, начина€ от тэга Ђ-----BEGIN CERTIFICATE-----ї до Ђ-----END CERTIFICATE-----ї
  • ѕоле Trusted Chain - порой, центр сертификации (CA), помимо самого сертификата может предоставить вам целый набор файлов. ќни называетс€ Trusted Chain, то есть цепочки довери€. ѕоследовательно откройте каждый из файлов и скопируйте их содержимое в это поле.

ѕо окончанию настроек нажмите Generate Certificate. ѕо окончанию настроек вы сможете увидеть ваш сертификат в общем списке. ¬ процессе эксплуатации он доступен дл€ редактировани€:

—писок сертификатов FreePBX
Ѕесплатный сертификат LetТs Encrypt

»нтерфейс FreePBX 13 имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра LetТs Encrypt. „тобы воспользоватьс€ бесплатным сертификатом, у вашего сервера должно быть настроено доменное им€, и его оно должно резолвитьс€ по его IP Ц адресу.

ѕомимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола:

  1. outbound1.letsencrypt.org
  2. outbound2.letsencrypt.org
  3. mirror1.freepbx.org
  4. mirror2.freepbx.org

ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных