locked
TLS vs MTLS RRS feed

  • Вопрос

  • Скажите, плз, чем же всё-таки принципиально отличаются протоколы MTLS и TLS? И там и там вроде сертификаты нужны, и шифруются оба.

    MTLS разве что на основе взаимной аутентификации, это пожалуй единственное поястение по нему в инете)

    В OCS 2007 я так понял меняй - не меняй порты протокалам, коммутикатор всё равно по умолчанию конектится (у tcp 5060, у tls и mtls один на двоих 5061), тобишь либо mtls можно использовать либо tls, а если приспичило оба?

    В мануале, напимано что они "рекомендованы", но похоже что "необходимы"). Возможно порт ещё может в сертификате указан?!

    Насчёт сертификата вопросик, странно одно, создал сертификат, server.study.local его имя (собственно по серваку), теперь когда хочу по mtls или tls подключиться должен писать в коммуникаторе именно название сервака, а не его IP (скажу сразу с dns всё в поряде, тем более tcp работает и так и так)?! 

    Напомните, плз, нужно ли сливать сертификаты в расшаренную папку в сети, и как это делается?!

    10 января 2008 г. 0:55

Все ответы

  • 1. как коенктится на другой порт:

    xxx.xxx.xxx:yyy или domain.name:yyy, где ууу - -номер порта

    2.с точки зрения OCS,  tls - клиент-сервер, mtls - сервер-сервер.

    3. при подключении используя tls или mtls происходит сравнение имени подключения с именем сертификата. в сертификате указано имя а не ip, вот соединение и не проходит.

    4.клиент должен доверять корневому центру сертификатов, выдавшему сертификат серверу OCS.

    самый простой способ - развернуть Microsoft Enterprise CA, т.к. его сертифика добавится в доверенный автоматически. Но  это отдельная тема.    

    10 января 2008 г. 6:39
  • Порт в сертификате (обычно) не хранится.

    10 января 2008 г. 22:37
  •  

    Спасибо большое за такое хорошее развёрнутое сообщение.

     

    Тока на один вопросик в конце ответа нет, на этапе сертификации в OCS, просят создать расшаренную папку в сети и собственно туда положить созданный сертификат, есть ли в этом необходимость?

     

    Вы говорили что нужно в сертификате вместо имени сервака указать его ип, но когда создаёшь сертификат там всё как бы на автомате и не ясно где вместо имени ип-сервака поставить?!

     

    В комутикаторе, можно ведь поставить и автоматическую кофигурацию и ничего вручную не прописывать, только у меня это никогда не работало, писшет что сервер не достпен?!

    11 января 2008 г. 16:02
  • 1. На этом этапе, если я правильно понял о чем идёт речь, нужно установить сертификат и применить его к службам. Способов получения сертификата несколько. Простейший - установить его заренее. В документации всё подробно описано.

    2. Видимо я не совсем точно выразился. В сертификате указываем имя. В настройках коммуникатора тоже указываем имя а не IP.

    3. Автоматическая конфигурация означает что коммуникатор лезет в днс смотреть определённую запись и по ней определяет имя и порт сервера. как создать запись описано в документации. Чтоб найти быстрее можно выполнить поиск по слову "SRV"

     

    P.S

    вот здесь вся требуемая вам информация

     

    http://www.microsoft.com/downloads/details.aspx?FamilyId=723347C6-FA1F-44D8-A7FA-8974C3B596F4&displaylang=en

     

    http://www.microsoft.com/downloads/details.aspx?FamilyId=1068BEB2-4370-4C66-A3DC-55BDD032B857&displaylang=en

    12 января 2008 г. 17:50
  •  Alexander Donin - CROC написано:

    как создать запись описано в документации. Чтоб найти быстрее можно выполнить поиск по слову "SRV"

    Поясню коротко - нужно создать в оснастке DNS для домена запись SRV с именем _sipinternaltls, указывающую на OCS сервер и порт 5061.

    13 января 2008 г. 3:46
  • Спасибо, пунк 3 выполнил, работает.

    Сразу вопрос, если я и тлс и тсп в днс пропишу, при соединение, что клиент выбирет?

     

    По первым двум всё ещё остаются вопрос: Как прописать в сертификате ip-сервака, чтобы потом указать в комуникаторе ip-сервака, а не имя?!

     

    14 января 2008 г. 14:45
  •  

    К тому же клиенты OCS 2.7 только по TLS и работают. Это в LCS 2005 была возможность выбирать из TLS и TCP.
    15 января 2008 г. 23:02
  •  

      Не знаю насчёт TCP в LCS 2005, у меня в OCS 2007 ТCP прекрасно работают.

     

    Мне кто-нибудь подскажет насчёт моего вопроса насчёт "как сделать сертификат с ip" ? 

    Этот вопрос что-то игнорируют. 

     

    16 января 2008 г. 14:58