FreeSWITCH的TLS加密

听着很高大上（实际也很实用）的加密机制，在FreeSWITCH里配置支持竟然这么简单！

Greate FreeSWITCH and Greate Programmer！

① cd /usr/local/freeswitch/bin（以默认的安装路径为例）

② 产生root的证书

./gentls_cert setup -cn 你的域名 -alt DNS:dns服务器的域名 -org 企业名称

③ 产生Server的证书

./gentls_cert create_server -cn 你的域名 -alt DNS:dns服务器的域名 -org 企业名称

④ 查看证书的明细

openssl x509 -noout -inform pem -text -in /usr/local/freeswitch/conf/ssl/agent.pem

⑤ 修改vars.xml文件

<!-- Internal SIP Profile -->
  <X-PRE-PROCESS cmd="set" data="internal_auth_calls=true"/>
  <X-PRE-PROCESS cmd="set" data="internal_sip_port=5060"/>
  <X-PRE-PROCESS cmd="set" data="internal_tls_port=5061"/>
  <X-PRE-PROCESS cmd="set" data="internal_ssl_enable=false"/>
  <X-PRE-PROCESS cmd="set" data="internal_ssl_dir=$${base_dir}/conf/ssl"/>
将internal_ssl_enable=false改为true

至此，重启reload mod_sofia服务器已经支持TLS了，但是此时所有的客户端下载的都是root的证书。这种情况下服务器可能会遭受MITM攻击（Man-in-the-Middle Attack）。

更安全的做法是为每一个客户端生成一个客户端证书。

⑥ 产生客户端证书

./gentls_cert create_client -cn client -out client

OK，抓包看看吧。

支持TLS的客户端的注册等信令交互已经肉眼无法识别了。

如果这个客户端还支持SRTP，好吧，媒体流也加密了，这下安全级别就上去了。