SSL

В статье переводим bpm’online на HTTPS я описал процесс перевода сайта приложения на использование безопасного протокола https. Но, не так давно, центр сертификации StartCom был заблокирован основными браузерами и больше не считается надежным. Не спешите покупать платный сертификат, в этой статье я опишу, как бесплатно получить надежный сертификат и забыть о проблеме раз и на долго 🙂

Let’s Encrypt — это OpenSource центр сертификации, который предоставляет API для получения бесплатных сертификатов на 90 дней. Вам не нужно заходить на сайт, регистрироваться, покупать сертификаты. Достаточно выполнить один запрос и настроить автоматическое обновление. В официальной документации весь процесс автоматизирован для Linux\Unix платформ и в будущей версии webitel Вы найдете инструменты для получения и продления сертификатов.

Как быть с Windows? Я нашел несколько утилит, но одна мне особенно понравилась своей простотой — letsencrypt-win-simple. Все, что Вам нужно — это скачать архив с последней версией, распаковать его и запустить в консоли PowerShell утилиту:

LetsEncrypt

Вам будет предложено только 2 действия: ввести свой email и выбрать сайт для установки нового сертификата из списка доступных сайтов. Утилита автоматически сгенерирует сертификат и установит его на выбранном вами сайте:

Перезапускаем приложение и проверяем наш сайт:

Если у Вас установлен bpm’online on-site и Вы хотите использовать webitel с WebRTC, то без наличия HTTPS это сделать у Вас не получиться. Я уже описывал процесс перевода webitel на использование сертификатов безопастности, а сегодня поговорим о bpm’online.

Процесс получения бесплатного сертификата такой же, как и для webitel, единственное отличие — это создание PFX файла для IIS:

pfx

Сертификат необходимо загрузить в хранилище “Веб-служб” в меню “Сертификаты сервера” IIS:

сертификат

Назначим сертификат на нужный нам сайт с bpm’online через меню “Привязки”:

Для того, что бы корректно работали WebSocket на HTTPS, нам необходимо перевести сайт на использование Microsoft WebSocket сервера. Для этого сайт должен быть размещен минимум на Windows 8 или Windows 2012 Server и компонент WebSocket — установлен:

WebSocket

Теперь, когда у нас уже есть сертификат и установлены WebSocket, перейдем к конфигурации сайта bpm’online. Все указанные ниже изменения я делаю на сайте версии 7.8.0.1005.

Учитывая последние события, возникла необходимость обезопасить нашу внутреннюю связь. Для этих целей уже давно существует SIPS и SRTP. Давайте посмотрим, как это все работает.

Когда мы используем обычный SIP, то каждый звонок выглядит вот так:

SIP

Достаточно встать вразрез между нами и провайдером, и все звонки, как на ладони. Более того, перехватив RTP трафик, можно и разговоры подслушать.

Сегодня поговорим о безопасных разговорах 🙂 Вы конечно же поняли: шифрование в SIP. Хочу научить FreeSWITCH использовать TLS (вместо UDP) и шифровать голос по SRTP (с помощью ZRTP), в качестве клиента будет телефон Yealink.

Довго шукав, як швидко оновити сертифікат Apache-SSL в Debian, ось простий спосіб:

cd /etc/apache2/ssl
openssl genrsa -out support.it-sfera.com.key 1024
chmod 600 support.it-sfera.com.key
openssl req -new -key support.it-sfera.com.key -out support.it-sfera.com.csr
openssl x509 -req -days 730 -in support.it-sfera.com.csr -signkey support.it-sfera.com.key -out support.it-sfera.com.crt
mv apache.pem apache.pem.old
cp support.it-sfera.com.key apache.pem
cat support.it-sfera.com.crt >> apache.pem
chmod 600 apache.pem
invoke-rc.d apache2 restart