Данное руководство пошагово описывает:

• Настройку 3CX Phone System with Secure SiP (TLS) (предназначенной для шифрования протокола SIP)
• Создание сертификатов в Simple CA
• Импорт этих сертификатов при помощи утилит Microsoft
• Настройка шифрования для IP-телефонов, а именно для 3CXPhone, Eyebeam, Snom.

Подготовка

Скачайте Simple CA отсюда
Распакуйте архив в папку C:\SimpleCA\, именно в корень диска С:, так рекомендуют разработчики.
Убедитесь что время и дата установлены корректно, а также выставлены соответствующие региональные настройки. Процесс создания сертификата напрямую зависит от этих параметров.
 

Настройка TLS в 3CX Phone System

Часть 1. Подготовка сертификата

Шаг 1. Запустите Simple CA, если это первый запуск, то необходимо будет создать Корневой Сертификат (Root Certificate Authority). Simple CA запустит следующий диалог для его создания:



Наиболее важно указать Common Name, введите 3CXPHONE и нажмите OK.

Часть 2. Создание сертификата для 3CX Phone System

Шаг 1. В меню Server Certificates выберите New Server Certificate Request



Вы создаете сертификат, который позже будет установлен на один из интерфейсов 3CX Phone System для проверки TLS запросов.



Шаг 2. В поле Common Name укажите IP-адрес на который буду приходить TLS-запросы. Нажмите ОК.
Сохраните сертификат.

Шаг 3. Подписание сертификата для сервера



В меню Server Certificates выберите Sign Server Certificate Request.



В этом окне вы указываете информацию, которая будет доступна для чтения при  просмотре свойств сертификата.

Шаг 4. Подтверждение



Нажмите ОК. Вас попросят ввести пароль, который вы использовали по создании Корневого сертификата. Укажите пароль и нажмите ОК. Simple CA создаст два файла, подписанный сертификат (с расширением .cer) и ключ дешифрования (с расширением .key).

Шаг 5. Путь к файлам сертификатов



Откройте папку C:\SimpleCA\certificates. Нам нужны два файла с расширениями (.crt) и (.key). Они понадобятся далее.

Шаг 6. Создание сертификата 3CX



Откройте Консоль Управления – Настройки – Дополнительно - вкладка Безопасность, текстовым редактором откройте файл .crt, выделите весь текст в файле и скопируйте в поле Сертификат.
Открой текстовым редактором файл .key, выделите текст и скопируйте в поле Ключ.
Нажмите кнопку Вкл. Secure SIP и ОК.

Замечание: Если сервер имеет более одной сетевой карты, адрес который был указан в процессе создания сертификата должен совпадать с адресом выбранным во вкладке «Безопасность».

Шаг 7. Перезапустите сервис 3CX Phone System (раздел Статус Сервисов). Теперь 3CX готова для получения TLS-запросов.
 

Настройка TLS для IP-телефонов

Настройка Secure SIP для 3CXPhone

Шаг 1. Зарегистрируйте 3CXPhone на АТС
Шаг 2. Перейдите в меню настроек – Connection – Дополнительно. Измените «SIP транспорт» - TLS.



Шаг 3. Нажмите Сертификат – Импорт. Вы должны импортировать файл root_cert_3CXPHONE.pem, который мы создали в Шаге 2, Часть 1.
Появится сообщение что сертификат импортирован, нажмите ОК и 3CXPhone перерегистрируется в режиме TLS.
 

Настройка TLS для Counter Path Eyebeam

Eyebeam использует Хранилище Сертификатов Windows, поэтому сначала нужно установить сертификат.

Шаг 1. На ПК , где установлен Eyebeam, откройте Internet Explorer, перейдите Tools - Internet Options-  вкладка Content - Certificates, откроется диалоговое окно менеджера сертификатов, нажмите кнопку Импорт, запустится Мастер Импорта Сертификатов.



Шаг 2. Импорт сертификата



Импортируйте файл root_cert_3CXPHONE.pem, мы его создали в Шаге 2, Часть 1.

Шаг 3. Выберите хранилище для сертификата



Выберите  Place all certificates in the following store. Нажмите Обзор и выберите Trusted Root Certification Authorities. Нажмите OK.
Нажмите Finish для завершения работы Мастера. Теперь сертификат импортирован в Хранилище Сертификатов Windows и готов к использованию в Eyebeam.

Шаг 4. Настройка Eyebeam

1. Запустите Eyebeam и перейдите в SIP Account Settings.
2. Выберите аккаунт, для которого нужно настроить Secure SIP и нажмите Properties.
3. В поле Domain укажите IP-адрес 3CX Phone System:5061, например 192.168.1.20:5061. Это TLS порт по умолчанию.



4. Выберите вкладку Security, измените Signaling Transport на TLS и выберите тип Media Encryption. По умолчанию - Make unencrypted calls, accept all calls. Нажмите ОК.

5. Eyebeam зарегистрируется в режиме TLS.
 

Настройка TLS для телефонов Snom

Шаг 1. Откройте веб-интерфйес телефона.
Шаг 2. Перейдите Setup > Trusted Certificates. Нажмите кнпку Browse и загрузите файл root_cert_3CXPHONE.pem.
Шаг 3. Перейдите Setup->Identity 1 и в поле Account укажите внутренний номер (например “107”). В поле Password укажите пароль для этого номера (например “107”) и в поле Registrar укажите  IP-адрес сервера 3CX Phone System, например 192.168.1.20.
Шаг 4. В поле Outbound Proxy укажите x.x.x.x:5061;transport=tls, где x.x.x.x это  IP-адрес сервера 3CX Phone System  (например: “192.168.1.20:5061;transport=tls”)
Шаг 5. В поле Authentication Username укажите ID внутреннего номера (например: “107”)
Шаг 6. Нажмите кнопку Save, которая находится внизу страницы. Нажмите кнопку Re-Register внизу страницы. Теперь аппарат Snom зарегистрирован на 3CX Phone System в режиме TLS.