<div dir="ltr"><div dir="ltr">Hello,</div><div dir="ltr"><br></div><div>After countless hours on, this I found the root cause of HTTPS settings on Debian Buster.</div><div><br></div><div>All this came from ast_tls_cert script using 1024 bits-long keys where Debian's defaut was to require at least 2048-long keys !</div><div>Simply passing -b 2048 to ast_tls_cert solved it.</div><div><br></div><div>1. May I suggest mentioning explicitly this possibility in wiki page [1] ?</div><div><br></div><div>2. What would you say of adding an extra input argument to have certificates built for a specific duration (default is 365 days and some may expect a different duration) ?<br></div><div><br></div><div>Cheers<br></div><div><br></div><div>[1] <a href="https://wiki.asterisk.org/wiki/display/AST/Configuring+Asterisk+for+WebRTC+Clients">https://wiki.asterisk.org/wiki/display/AST/Configuring+Asterisk+for+WebRTC+Clients</a></div><div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 8 janv. 2020 à 10:04, Olivier <<a href="mailto:oza.4h07@gmail.com">oza.4h07@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Hello,<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le lun. 6 janv. 2020 à 19:01, Olivier <<a href="mailto:oza.4h07@gmail.com" target="_blank">oza.4h07@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>May I add I could successfully (if pjsip show transports has any meaning) add a PJSIP TLS-transport with:</div><div><br></div><div>[transport-tls]<br>type=transport<br>protocol=tls<br>bind=<a href="http://0.0.0.0:5061" target="_blank">0.0.0.0:5061</a><br>cert_file=/etc/asterisk/keys/asterisk.crt<br>priv_key_file=/etc/asterisk/keys/asterisk.key<br>method=tlsv1<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le lun. 6 janv. 2020 à 18:33, Olivier <<a href="mailto:oza.4h07@gmail.com" target="_blank">oza.4h07@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hello,</div><div><br></div><div>On a newly re-installed Asterisk 16.7.0 on Debian Buster, I can't find a way to enable HTTPS.</div><div>Asterisk is running as asterisk:asterisk:</div><div><br></div><div>asterisk 11097  0.3  6.7 741352 67984 ?        Ssl  17:53   0:06 /usr/sbin/asterisk -g -f -p -U asterisk</div><div><br></div><div># cat /etc/asterisk/http.conf</div><div>[general]<br>servername=Asterisk<br>enabled=yes<br>bindaddr=0.0.0.0<br>bindport=8088<br>tlsenable=yes<br>tlsbindaddr=<a href="http://0.0.0.0:8089" target="_blank">0.0.0.0:8089</a><br>tlscertfile=/etc/asterisk/keys/asterisk.pem<br>;tlsprivatekey=keys/asterisk.key<br></div><div><br></div><div># ls -lR /etc/asterisk/keys<br>/etc/asterisk/keys:<br>total 32<br>-rw-rw-r-- 1 asterisk asterisk 1229 janv.  6 16:00 asterisk.crt<br>-rw-rw-r-- 1 asterisk asterisk  586 janv.  6 15:59 asterisk.csr<br>-rw-rw-r-- 1 asterisk asterisk  887 janv.  6 15:59 asterisk.key<br>-rw-rw-r-- 1 asterisk asterisk 2116 janv.  6 16:00 asterisk.pem<br>-rw-rw-r-- 1 asterisk asterisk  158 janv.  6 15:59 ca.cfg<br>-rw-rw-r-- 1 asterisk asterisk 1773 janv.  6 15:59 ca.crt<br>-rw-rw-r-- 1 asterisk asterisk 3311 janv.  6 15:59 ca.key<br>-rw-rw-r-- 1 asterisk asterisk  132 janv.  6 15:59 tmp.cfg</div><div><br></div><div># grep TLS /var/log/asterisk/full | tail -1<br>[Jan  6 18:24:45] ERROR[11221] tcptls.c: TLS/SSL error loading cert file. </etc/asterisk/keys/asterisk.pem></div><div><br></div><div># su - asterisk --shell /bin/sh --command 'cat /etc/asterisk/keys/asterisk.pem'<br>-----BEGIN RSA PRIVATE KEY-----<br>MIICXAIBAAKBgQCxllxfOR9sFwyKiKPZErUcBF1zlwTVZ9XvemA/8yQY7aIVw2ce<br>...<br>RE3X5iJqFIRupoIQZQJBAJnDX8dCQbqLvmAV6/Ubiz0XHjHzLEkhMKtF/ksbgou1<br>zykmu2rlUbnZ+DPFj/lw9WH7DaIxtogZ7qKSp0dd95g=<br>-----END RSA PRIVATE KEY-----<br>-----BEGIN CERTIFICATE-----<br>MIIDXzCCAUcCAQEwDQYJKoZIhvcNAQELBQAwNTEcMBoGA1UEAwwTQXN0ZXJpc2sg<br>...<br>XkVjfneCBgllQhLrnb9oUBuHQCy3qtlPkXpXfAtIsodnoV1mrpI3+iKH7xWc4AtQ<br>Rbrt<br>-----END CERTIFICATE-----<br></div><div><br></div><div><br></div><div>Any clue ?</div><div><br></div><div>Best regards<br></div></div></blockquote></div></blockquote><div><br></div><div><br></div><div>After tens of trying different settings, I tried this morning to simply copy certs files from a running FreePBX 15 instance to my Debian Buster target. To my surprise, it worked as for the very first time, I now have  :</div><div><br></div><div># asterisk -rx 'http show status'<br>HTTP Server Status:<br>Prefix: <br>Server: Asterisk/16.7.0<br>Server Enabled and Bound to [::]:8088<br><br>HTTPS Server Enabled and Bound to [::]:8089</div><div><br></div><div><br></div><div>Now, to fully solve the issue, I need to understand why things didn't work previously and now do work correctly.<br></div><div><br></div><div>Current /etc/asterisk/keys is:</div><div># ls -alR keys<br>keys:<br>total 56<br>drwxr-xr-x 3 asterisk asterisk 4096 janv.  8 09:31 .<br>drwxrwxr-x 3 asterisk asterisk 4096 janv.  8 09:35 ..<br>-rw------- 1 asterisk asterisk 1675 janv.  8 09:31 api_oauth.key<br>-rw------- 1 asterisk asterisk  451 janv.  8 09:31 api_oauth_public.key<br>-rw-r--r-- 1 asterisk asterisk  191 janv.  8 09:31 ca.cfg<br>-rw-r--r-- 1 asterisk asterisk 1724 janv.  8 09:31 ca.crt<br>-rw-r--r-- 1 asterisk asterisk 3243 janv.  8 09:31 ca.key<br>-rw------- 1 asterisk asterisk 1712 janv.  8 09:31 default.crt<br>-rw------- 1 asterisk asterisk 1610 janv.  8 09:31 default.csr<br>-rw------- 1 asterisk asterisk 3247 janv.  8 09:31 default.key<br>-rw------- 1 asterisk asterisk 4959 janv.  8 09:31 default.pem<br>drwxr-xr-x 2 asterisk asterisk 4096 janv.  8 09:31 integration<br>-rw-r--r-- 1 asterisk asterisk 1024 janv.  8 09:31 .rnd<br><br>keys/integration:<br>total 24<br>drwxr-xr-x 2 asterisk asterisk 4096 janv.  8 09:31 .<br>drwxr-xr-x 3 asterisk asterisk 4096 janv.  8 09:31 ..<br>-rw------- 1 asterisk asterisk 4959 janv.  8 09:31 certificate.pem<br>-rw------- 1 asterisk asterisk 1712 janv.  8 09:31 webserver.crt<br>-rw------- 1 asterisk asterisk 3247 janv.  8 09:31 webserver.key</div><div><br></div><div>Asterisk is running as asterisk:asterisk.</div><div><br></div><div>/etc/asterisk/http.conf is:</div><div># cat http.conf <br><br>[general]<br>enabled=yes<br>enablestatic=no<br>bindaddr=::<br>bindport=8088<br>prefix=<br>sessionlimit=100<br>session_inactivity=30000<br>session_keep_alive=15000<br>tlsenable=yes<br>tlsbindaddr=[::]:8089<br>tlscertfile=/etc/asterisk/keys/integration/certificate.pem<br>tlsprivatekey=/etc/asterisk/keys/integration/webserver.key<br></div><div><br></div><div># cat /etc/asterisk/keys/ca.cfg<br></div><div>[req]<br>distinguished_name = req_distinguished_name<br>prompt = no<br>default_md = sha256<br>[ca]<br>default_md = sha256<br>[req_distinguished_name]<br>CN=localhost<br>O=localhost<br>[ext]<br>basicConstraints=CA:TRUE</div><div><br></div><div><br></div><div>Is there a way to find how FreePBX generated the /etc/asterisk/keys tree ?</div><div><br></div><div>Best regards<br></div></div></div>
</blockquote></div></div>