Certificate Management, установка, обзор – Asterisk IP-телефония

Что будет в курсе?

Итак, как мы уже сказали, курс займет 14 дней. Это email курс – мы пришлем 5 писем, в каждом из которых вы найдете отдельный блок обучения. По окончанию вас ждет серьезное испытание – тестирование. Если вы сможете его сдать, то мы выпишем на ваше имя сертификат с уникальным номером. Разберемся подробнее.

Почему?

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Расчет сервера

Сразу после того, как вы оставите и подтвердите свой адрес электронной почты, мы пришлем первое занятие. Урок будет посвящен подготовке сервера и сопутствующего оборудования. По окончанию этого блока вы научитесь:

• FXO/FXS – что это такое и в каком случае нужны?
• SIP и PRI – что выбрать и в чем разница?
• Как пользоваться калькулятором инсталляции IP – АТС Asterisk?
• Домашнее задание №1

У вас будет 1 день на выполнение урока и домашнего задания. Урок не самый сложный, вы все успеете.

Установка и настройка Asterisk через консоль (CLI)

Через 1 день, вас мы пришлем второй блок. Он будет посвящен установке и настройки Asterisk из исходников “хардовым” способом – через командную строку (CLI, command line interface). А если подробно:

• Видео – установка Asterisk из консоли
• Asterisk – настройка с нуля через CLI
• Домашнее задание №2

3 дня на выполнение.

Установка и настройка через FreePBX (GUI)

Через 3 дня после предыдущего урока, вас будет ждать 3 урок. В нем вас ждет все тоже самое, но в упрощенном виде – мы рассмотрим установку дистрибутива FreePBX Distro и настройку через графический интерфейс FreePBX:

• Видео – установка FreePBX Distro
• Видео – настройка FreePBX (графическая оболочка Asterisk)
• Домашнее задание №3

На этот блок мы отводим 3 дня. А еще дадим 2 дня на отдых, чтобы переварить полученный знания по установке. Итого, через 5 дней пришлем следующий блок обучения.

Безопасность сервера Asterisk

Через 5 дней новый блок. Вы должны были переварить информацию и набраться сил. Итак, блок будет посвящено очень важной теме – безопасности IP – АТС Asterisk. Научимся:

• Повышение безопасности Asterisk
• Какие порты открыть для Asterisk/FreePBX?
• FreePBX – обнаружение слабых паролей
• Конфигурация Firewall в FreePBX
• Настройка SSL в FreePBX
• Лучшие практики по защите SSH подключения
• Генератор устойчивых паролей
• Домашнее задание №4

2 дня на этот блок.

Траблшутинг Asterisk

Через 3 дня, пришлем финальный блок по исправлению неисправностей и траблшутингу Asterisk.

• Как снять логи с Asterisk с помощью FreePBX?
• Время хранения логов в Asterisk
• Обзор модуля Asterisk Log
• Проблемы со слышимостью в Asterisk
• Sngrep: установка и использование
• Домашнее задание №5

На изучение и домашнее задание у вас 3 дня.

Delete self-signed ca

Вы можете в любое время удалить самоподписанный центр сертификации, нажав красную кнопку с надписью «Delete Self-Signed CA».

Затем появится запрос, предупреждающий вас, что все сертификаты,
которые полагались на этот самоподписанный центр сертификации, будут признаны
недействительными. После того, как вы удалили самоподписанный центр
сертификации, вы можете создать еще один, нажав «New Certificate», затем «Generate
Self-Signed Certificate».

Generate let’s
encrypt certificate

Сертификаты Let’s Encrypt — это полностью 100% бесплатные сертификаты, которые создаются с помощью автоматизированного процесса, предназначенного для устранения текущего сложного процесса ручного создания, проверки, подписания, установки и обновления сертификатов для защищенных веб-сайтов.

Generate
self-signed certificate

Самоподписанные сертификаты не рекомендуется использовать,
так как многие браузеры отклоняют эти сертификаты, однако они могут быть
полезны для внутреннего тестирования.

Ваша АТС также генерирует самоподписанный сертификат при
первой загрузке.

Если вы ранее удаляли самодписанный центр сертификации, форма добавления сертификата будет выглядеть так:

• Host Name: имя хоста системы. Должно
  быть полное доменное имя.
• Description: описание этого сертификата.
• Organization Name: название организации,
  используется в процессе создания центра сертификации.

В противном случае экран нового сертификата будет выглядеть так:

Import locally

Чтобы вручную импортировать ваши сертификаты, вам нужно поместить
файлы * .key и * .crt в /etc/asterisk/keys. Затем нажмите кнопку «Import
Locally». После этого ваши сертификаты появятся в списке сертификатов АТС.

Setting a default certificate

Установка сертификата по умолчанию изменяет настройки
сертификата ТОЛЬКО в дополнительных настройках. Это заставит указанный
сертификат быть по умолчанию для параметров в расширенных настройках, которые
требуют сертификаты. Он также поместит стандартный набор сертификата и его ключ
в /etc/asterisk/keys/integration для использования другими приложениями.

Чтобы выбрать сертификат по умолчанию, наведите указатель мыши на пустой столбец в списке сертификатов. Появится серая галочка. Нажмите эту галочку, чтобы сделать сертификат по умолчанию.

После того, как этот процесс завершится, галочка изменится с серого
на зеленый цвет и останется после того, как вы уберете курсор.

Ssl и freepbx

Сертификат SSL позволяет вашему FreePBX иметь уникальную цифровую подпись, с помощью которой, каждый раз при обращении к интерфейсу будет создаваться защищенное соединение между web – сервером и клиентским устройством. SSL сертификат включает в себя информацию о его владельце и открытый ключ.

Помимо этого, сертификат позволяет совершать звонки по защищенному транспортному протоколу TLS и шифровать голосовые потоки через SRTP.

Upload certificate

• Name: название сертификата.
• Description: описание сертификата.
• Passphrase: ключевая фраза закрытого
  ключа. Это будет использоваться для расшифровки закрытого ключа и
  сертификата. Они будут храниться без указания пароля в системе, чтобы
  предотвратить сбои в обслуживании.
• CSR Reference: запрос на подпись сертификата для
  ссылки. Если выбрано «Нет», вы сможете загрузить свой личный ключ.
• Private Key: вставьте свой закрытый ключ.
• Certificate: вставьте свой сертификат.
• Trusted Chain: вставьте свою доверенную
  цепь.

Чтобы просмотреть сертификаты для копирования, необходимо открыть файлы TLS с помощью простого текстового редактора, а не обязательно приложения по умолчанию, настроенного на рабочей станции.

Бесплатный сертификат let’s encrypt

Интерфейс FreePBX 13 имеет встроенную возможность настройки бесплатного SSL сертификата с помощью сертификационного центра Let’s Encrypt. Чтобы воспользоваться бесплатным сертификатом, у вашего сервера должно быть настроено доменное имя, и его оно должно резолвиться по его IP – адресу.

Помимо этого, следующие хосты должны быть добавлены в разрешенные в настройках фаервола:

1. outbound1.letsencrypt.org
2. outbound2.letsencrypt.org
3. mirror1.freepbx.org
4. mirror2.freepbx.org

Генерация csr

Приступаем к получению сертификата. Центр сертификации попросит вас предоставить сгенерированный CSR файл (Certificate Signing Request). Это является обязательной частью подачи заявления на сертификат, и содержит в себе различные данные об организации, такие как наименование, полное имя домена, код страны и прочие.

Загрузка сертификата

После того, как мы получили сертификат от сертификационного центра (CA), его необходимо загрузить на сервер. Нажимаем на кнопку New Certificate и выбираем Upload Certificate

• Name – имя для сертификата
• Description – описание сертификата. Используется только внутри модуля и не влияет на импорт сертификата.
• Passphrase – кодовая фраза, то есть пароль. Необходима для доступа к сертификату и генерации сертификатов на стороне клиента. Если вы не укажете пароль в данном поле, то вам придется указывать его каждый раз, когда потребуется новый сертификат. К тому же, отсутствие пароля приводит к незащищенности приватного ключа сертификата.
• CSR Reference – в данном поле выберите сгенерированный CSR файл на предыдущем этапе.
• Поле Certificate – откройте файл сертификата, который вам предоставил сертификационный центр и полностью копируйте его в это поле, начиная от тэга «—–BEGIN CERTIFICATE—–» до «—–END CERTIFICATE—–»
• Поле Trusted Chain – порой, центр сертификации (CA), помимо самого сертификата может предоставить вам целый набор файлов. Они называется Trusted Chain, то есть цепочки доверия. Последовательно откройте каждый из файлов и скопируйте их содержимое в это поле.

По окончанию настроек нажмите Generate Certificate. По окончанию настроек вы сможете увидеть ваш сертификат в общем списке. В процессе эксплуатации он доступен для редактирования:

Курс asterisk. уровень 2. телефонное оборудование и безопасность в «специалист»

Финал

Ура! Вы прошли блок. Пришлем пару полезных для администратора Asterisk книг и ссылку на тестирование. В случае успешного прохождения теста, вас будет ждать именно сертификат.

Этот домен припаркован компанией timeweb