Howto:Debugging SRTP/SIPS connections: Difference between revisions

Revision as of 11:57, 19 November 2012

Question:

Was tun, wenn keine Verbindung über SIP/TLS zustande kommt?

Fehlermeldung im Trace:

 Remote server certificate mismatch: IP0010-2b-00-a3 (194.204.29.9)

Answer:

Wenn die genannte Fehlermeldung im Trace zu finden ist, hat der TLS-Layer des Client das Server-Zertifikat aktzeptiert. Hier ist es der SIP-Stack, der mit dem Server-Zertifikat nicht einverstanden ist. Der SIP-Stack baut eine Verbindung zu "194.204.29.9" und bekommt vom Server ein Zertifikat "IP0010-2b-00-a3". Das kommt dem SIP-Stack verdächtig vor.

Das würde ein Browser auch tun, wenn man eine Verbindung zu "banking.postbank.de" aufbaut und der Server ein Zertifikat für "blabla.nonsense.de" vorlegt. Auch wenn das Server-Zertifikat offiziell signiert ist und der TLS-Layer grünes Licht gibt, wird der Browser das nicht akzeptieren.

Zertifikat und Rufziel müssen zusammenpassen. Entweder, man trägt ins Server-Zertifikat "194.204.29.9" als Alternativ-Name ein, oder andersherum: Man sorgt dafür, dass der SIP-Stack eine Verbindung zu "IP0010-2b-00-a3" aufbaut. Man könnte "IP0010-2b-00-a3" also als Proxy eintragen. Allerdings muss der Client aus "IP0010-2b-00-a3" dann noch eine IP-Adresse machen können. Das geht, indem man auf dem Client einen lokalen DNS-Entry für "IP0010-2b-00-a3" anlegt.

English

@@ Line 9: / Line 9: @@
 ===Answer:===
 Wenn die genannte Fehlermeldung im Trace zu finden ist,
-hat der TLS-Layer des Client das Sevrer-Zertifikat aktzeptiert.
+hat der TLS-Layer des Client das Server-Zertifikat aktzeptiert.
 Hier ist es der SIP-Stack, der mit dem Server-Zertifikat nicht einverstanden ist.
 Der SIP-Stack baut eine Verbindung zu "194.204.29.9" und bekommt vom Server ein Zertifikat "IP0010-2b-00-a3".
@@ Line 27: / Line 27: @@
 Das geht, indem man auf dem Client einen lokalen DNS-Entry für "IP0010-2b-00-a3" anlegt.
-[http://translate.google.de/#auto/en/%3D%3D%3DQuestion%3A%3D%3D%3D%0AWas%20tun%2C%20wenn%20keine%20Verbindung%20%C3%BCber%20SIP%2FTLS%20zustande%20kommt%3F%0A%0AFehlermeldung%20im%20Trace%3A%0A%0A%20%20Remote%20server%20certificate%20mismatch%3A%20IP0010-2b-00-a3%20%28194.204.29.9%29%0A%0A%0A%3D%3D%3DAnswer%3A%3D%3D%3D%0AWenn%20die%20genannte%20Fehlermeldung%20im%20Trace%20zu%20finden%20ist%2C%0Ahat%20der%20TLS-Layer%20des%20Client%20das%20Sevrer-Zertifikat%20aktzeptiert.%0AHier%20ist%20es%20der%20SIP-Stack%2C%20der%20mit%20dem%20Server-Zertifikat%20nicht%20einverstanden%20ist.%0ADer%20SIP-Stack%20baut%20eine%20Verbindung%20zu%20%22194.204.29.9%22%20und%20bekommt%20vom%20Server%20ein%20Zertifikat%20%22IP0010-2b-00-a3%22.%0ADas%20kommt%20dem%20SIP-Stack%20verd%C3%A4chtig%20vor.%0A%0ADas%20w%C3%BCrde%20ein%20Browser%20auch%20tun%2C%20wenn%20man%20eine%20Verbindung%20zu%20%22banking.postbank.de%22%20aufbaut%0Aund%20der%20Server%20ein%20Zertifikat%20f%C3%BCr%20%22blabla.nonsense.de%22%20vorlegt.%0AAuch%20wenn%20das%20Server-Zertifikat%20offiziell%20signiert%20ist%20und%20der%20TLS-Layer%20gr%C3%BCnes%20Licht%20gibt%2C%0Awird%20der%20Browser%20das%20nicht%20akzeptieren.%0A%0AZertifikat%20und%20Rufziel%20m%C3%BCssen%20zusammenpassen.%0AEntweder%2C%20man%20tr%C3%A4gt%20ins%20Server-Zertifikat%20%22194.204.29.9%22%20als%20Alternativ-Name%20ein%2C%0Aoder%20andersherum%3A%0AMan%20sorgt%20daf%C3%BCr%2C%20dass%20der%20SIP-Stack%20eine%20Verbindung%20zu%20%22IP0010-2b-00-a3%22%20aufbaut.%0AMan%20k%C3%B6nnte%20%22IP0010-2b-00-a3%22%20also%20als%20Proxy%20eintragen.%0AAllerdings%20muss%20der%20Client%20aus%20%22IP0010-2b-00-a3%22%20dann%20noch%20eine%20IP-Adresse%20machen%20k%C3%B6nnen.%0ADas%20geht%2C%20indem%20man%20auf%20dem%20Client%20einen%20lokalen%20DNS-Entry%20f%C3%BCr%20%22IP0010-2b-00-a3%22%20anlegt. English]
+[http://translate.google.de/#de/en/%3D%3D%3DQuestion%3A%3D%3D%3D%0AWas%20tun%2C%20wenn%20keine%20Verbindung%20%C3%BCber%20SIP%2FTLS%20zustande%20kommt%3F%0A%0AFehlermeldung%20im%20Trace%3A%0A%0A%20%20Remote%20server%20certificate%20mismatch%3A%20IP0010-2b-00-a3%20%28194.204.29.9%29%0A%0A%0A%3D%3D%3DAnswer%3A%3D%3D%3D%0AWenn%20die%20genannte%20Fehlermeldung%20im%20Trace%20zu%20finden%20ist%2C%0Ahat%20der%20TLS-Layer%20des%20Client%20das%20Server-Zertifikat%20aktzeptiert.%0AHier%20ist%20es%20der%20SIP-Stack%2C%20der%20mit%20dem%20Server-Zertifikat%20nicht%20einverstanden%20ist.%0ADer%20SIP-Stack%20baut%20eine%20Verbindung%20zu%20%22194.204.29.9%22%20und%20bekommt%20vom%20Server%20ein%20Zertifikat%20%22IP0010-2b-00-a3%22.%0ADas%20kommt%20dem%20SIP-Stack%20verd%C3%A4chtig%20vor.%0A%0ADas%20w%C3%BCrde%20ein%20Browser%20auch%20tun%2C%20wenn%20man%20eine%20Verbindung%20zu%20%22banking.postbank.de%22%20aufbaut%0Aund%20der%20Server%20ein%20Zertifikat%20f%C3%BCr%20%22blabla.nonsense.de%22%20vorlegt.%0AAuch%20wenn%20das%20Server-Zertifikat%20offiziell%20signiert%20ist%20und%20der%20TLS-Layer%20gr%C3%BCnes%20Licht%20gibt%2C%0Awird%20der%20Browser%20das%20nicht%20akzeptieren.%0A%0AZertifikat%20und%20Rufziel%20m%C3%BCssen%20zusammenpassen.%0AEntweder%2C%20man%20tr%C3%A4gt%20ins%20Server-Zertifikat%20%22194.204.29.9%22%20als%20Alternativ-Name%20ein%2C%0Aoder%20andersherum%3A%0AMan%20sorgt%20daf%C3%BCr%2C%20dass%20der%20SIP-Stack%20eine%20Verbindung%20zu%20%22IP0010-2b-00-a3%22%20aufbaut.%0AMan%20k%C3%B6nnte%20%22IP0010-2b-00-a3%22%20also%20als%20Proxy%20eintragen.%0AAllerdings%20muss%20der%20Client%20aus%20%22IP0010-2b-00-a3%22%20dann%20noch%20eine%20IP-Adresse%20machen%20k%C3%B6nnen.%0ADas%20geht%2C%20indem%20man%20auf%20dem%20Client%20einen%20lokalen%20DNS-Entry%20f%C3%BCr%20%22IP0010-2b-00-a3%22%20anlegt. English]
 [[Category:Howto|{{PAGENAME}}]]

Howto:Debugging SRTP/SIPS connections: Difference between revisions

Revision as of 11:57, 19 November 2012

Question:

Answer:

Navigation menu

Search