Ale bez ohledu na to - zásadní problém v SFLPhone vidím v tom, že to projde (což by nemělo). Čili - i kdybych zadal správné certifikáty na správná místa, tak co z toho ?! Co by se změnilo, když to projde stejně vždycky ? Nic.
Čili - buď je ještě někde třeba nastavit vyžadování správného ověření (nevím kde), nebo je v programu chyba a nastavování těchto položek je na ....
Zkoušel jsem také známější Linphone, tam ověřování naopak neprošlo - a mně se kontrolu nepodařilo správně nastavit. Viz http://forum.odorik.cz/viewtopic.php?f= ... =20#p25811
Zdravím.
EDIT: Že by ?
Kód: Vybrat vše
$ openssl s_client -connect sip.odorik.cz:5061
CONNECTED(00000003)
depth=0 C = CZ, ST = czech, L = brno, O = odorik.cz, OU = odorik.cz, CN = odorik.cz
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = CZ, ST = czech, L = brno, O = odorik.cz, OU = odorik.cz, CN = odorik.cz
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=CZ/ST=czech/L=brno/O=odorik.cz/OU=odorik.cz/CN=odorik.cz
i:/C=CZ/ST=czech/L=brno/O=odorik.cz/OU=odorik.cz/CN=odorik.cz
...
Start Time: 1435696946
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
Kód: Vybrat vše
hugo@zly-hugo:~$ openssl s_client -CAfile /tmp/1.pem -connect sip.odorik.cz:5061
CONNECTED(00000003)
depth=1 C = CZ, ST = czech, L = brno, O = odorik.cz, OU = odorik.cz, CN = odorik.cz
verify return:1
depth=0 C = CZ, ST = czech, L = brno, O = odorik.cz, OU = odorik.cz, CN = odorik.cz
verify return:1
---
Certificate chain
0 s:/C=CZ/ST=czech/L=brno/O=odorik.cz/OU=odorik.cz/CN=odorik.cz
i:/C=CZ/ST=czech/L=brno/O=odorik.cz/OU=odorik.cz/CN=odorik.cz
...
Start Time: 1435696893
Timeout : 300 (sec)
Verify return code: 0 (ok)
Možná, že selfsigned certifikáty, které přitom nejsou CA, mají nějaký atribut, podle kterého se to pozná.
Tudíž ten serverový NENÍ selfsigned. A možná tedy není nepřípustné, aby 2 certifikáty v chain-u měly shodné CN, nevím. Ale stejně si myslím, že to opravdu není dobrý nápad. Je to přinejmenším matoucí nejen pro mě, ale třeba i pro ověřovací SW.