聽著很高大上（實際也很實用）的加密機制，在FreeSWITCH里配置支持竟然這么簡單！

Greate FreeSWITCH and Greate Programmer！

① cd /usr/local/freeswitch/bin（以默認的安裝路徑為例）

② 產(chǎn)生root的證書

./gentls_cert setup -cn 你的域名 -alt DNS:dns服務器的域名 -org 企業(yè)名稱

③ 產(chǎn)生Server的證書

./gentls_cert create_server -cn 你的域名 -alt DNS:dns服務器的域名 -org 企業(yè)名稱

④ 查看證書的明細

openssl x509 -noout -inform pem -text -in /usr/local/freeswitch/conf/ssl/agent.pem

⑤ 修改vars.xml文件

<!-- Internal SIP Profile --><X-PRE-PROCESS cmd="set" data="internal_auth_calls=true"/><X-PRE-PROCESS cmd="set" data="internal_sip_port=5060"/><X-PRE-PROCESS cmd="set" data="internal_tls_port=5061"/><X-PRE-PROCESS cmd="set" data="internal_ssl_enable=false"/><X-PRE-PROCESS cmd="set" data="internal_ssl_dir=$${base_dir}/conf/ssl"/> 將internal_ssl_enable=false改為true

至此，重啟reload mod_sofia服務器已經(jīng)支持TLS了，但是此時所有的客戶端下載的都是root的證書。這種情況下服務器可能會遭受MITM攻擊（Man-in-the-Middle Attack）。

更安全的做法是為每一個客戶端生成一個客戶端證書。

⑥ 產(chǎn)生客戶端證書

./gentls_cert create_client -cn client -out client

OK，抓包看看吧。

支持TLS的客戶端的注冊等信令交互已經(jīng)肉眼無法識別了。

如果這個客戶端還支持SRTP，好吧，媒體流也加密了，這下安全級別就上去了。

?

轉(zhuǎn)載于:https://www.cnblogs.com/yoyotl/p/4975273.html

總結(jié)

以上是生活随笔為你收集整理的FreeSWITCH的TLS加密的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。