Howto:Debugging SRTP/SIPS connections
Question:
Was tun, wenn keine Verbindung über SIP/TLS zustande kommt?
Fehlermeldung im Trace:
Remote server certificate mismatch: IP0010-2b-00-a3 (194.204.29.9)
Answer:
Wenn die genannte Fehlermeldung im Trace zu finden ist, hat der TLS-Layer des Client das Sevrer-Zertifikat aktzeptiert. Hier ist es der SIP-Stack, der mit dem Server-Zertifikat nicht einverstanden ist. Der SIP-Stack baut eine Verbindung zu "194.204.29.9" und bekommt vom Server ein Zertifikat "IP0010-2b-00-a3". Das kommt dem SIP-Stack verdächtig vor.
Das würde ein Browser auch tun, wenn man eine Verbindung zu "banking.postbank.de" aufbaut und der Server ein Zertifikat für "blabla.nonsense.de" vorlegt. Auch wenn das Server-Zertifikat offiziell signiert ist und der TLS-Layer grünes Licht gibt, wird der Browser das nicht aktzeptieren.
Zertifikat und Rufziel müssen zusammenpassen. Entweder, man trägt ins Server-Zertifikat "194.204.29.9" als Alternativ-Name ein, oder andersherum: Man sorgt dafür, dass der SIP-Stack eine Verbindung zu "IP0010-2b-00-a3" aufbaut. Man könnte "IP0010-2b-00-a3" also als Proxy eintragen. Allerdings muss der Client aus "IP0010-2b-00-a3" dann noch eine IP-Adresse machen können. Das geht, indem man auf dem Client einen lokalen DNS-Entry für "IP0010-2b-00-a3" anlegt.