Howto:Debugging SRTP/SIPS connections: Difference between revisions
(New page: ===Question:=== Was tun, wenn keine Verbindung über SIP/TLS zustande kommt? Fehlermeldung im Trace: Remote server certificate mismatch: IP0010-2b-00-a3 (194.204.29.9) ===Answer:=== ...) |
No edit summary |
||
Line 26: | Line 26: | ||
Allerdings muss der Client aus "IP0010-2b-00-a3" dann noch eine IP-Adresse machen können. | Allerdings muss der Client aus "IP0010-2b-00-a3" dann noch eine IP-Adresse machen können. | ||
Das geht, indem man auf dem Client einen lokalen DNS-Entry für "IP0010-2b-00-a3" anlegt. | Das geht, indem man auf dem Client einen lokalen DNS-Entry für "IP0010-2b-00-a3" anlegt. | ||
[[Category:Howto|{{PAGENAME}}]] |
Revision as of 11:30, 19 November 2012
Question:
Was tun, wenn keine Verbindung über SIP/TLS zustande kommt?
Fehlermeldung im Trace:
Remote server certificate mismatch: IP0010-2b-00-a3 (194.204.29.9)
Answer:
Wenn die genannte Fehlermeldung im Trace zu finden ist, hat der TLS-Layer des Client das Sevrer-Zertifikat aktzeptiert. Hier ist es der SIP-Stack, der mit dem Server-Zertifikat nicht einverstanden ist. Der SIP-Stack baut eine Verbindung zu "194.204.29.9" und bekommt vom Server ein Zertifikat "IP0010-2b-00-a3". Das kommt dem SIP-Stack verdächtig vor.
Das würde ein Browser auch tun, wenn man eine Verbindung zu "banking.postbank.de" aufbaut und der Server ein Zertifikat für "blabla.nonsense.de" vorlegt. Auch wenn das Server-Zertifikat offiziell signiert ist und der TLS-Layer grünes Licht gibt, wird der Browser das nicht aktzeptieren.
Zertifikat und Rufziel müssen zusammenpassen. Entweder, man trägt ins Server-Zertifikat "194.204.29.9" als Alternativ-Name ein, oder andersherum: Man sorgt dafür, dass der SIP-Stack eine Verbindung zu "IP0010-2b-00-a3" aufbaut. Man könnte "IP0010-2b-00-a3" also als Proxy eintragen. Allerdings muss der Client aus "IP0010-2b-00-a3" dann noch eine IP-Adresse machen können. Das geht, indem man auf dem Client einen lokalen DNS-Entry für "IP0010-2b-00-a3" anlegt.