<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:DengXian;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@DengXian";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Hi All,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Sorry for the bad example, it’s actually E.g: I used ./gentls_cert setup -cn 52.35.22.204 -alt DNS: 52.35.22.204 -org 52.35.22.204.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Below is the view of one cert:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>root@ip-172-31-28-201:/usr/local/freeswitch/conf/ssl# openssl x509 -noout -inform pem -text -in /usr/local/freeswitch/conf/ssl/agent.pem<o:p></o:p></p><p class=MsoNormal>Certificate:<o:p></o:p></p><p class=MsoNormal> Data:<o:p></o:p></p><p class=MsoNormal> Version: 3 (0x2)<o:p></o:p></p><p class=MsoNormal> Serial Number:<o:p></o:p></p><p class=MsoNormal> be:37:19:a3:98:6e:82:19<o:p></o:p></p><p class=MsoNormal> Signature Algorithm: sha1WithRSAEncryption<o:p></o:p></p><p class=MsoNormal> <span style='background:yellow;mso-highlight:yellow'>Issuer: CN=52.35.22.204, O=52.35.22.204</span><o:p></o:p></p><p class=MsoNormal> Validity<o:p></o:p></p><p class=MsoNormal> Not Before: Nov 12 21:20:24 2016 GMT<o:p></o:p></p><p class=MsoNormal> Not After : Nov 11 21:20:24 2022 GMT<o:p></o:p></p><p class=MsoNormal> <span style='background:yellow;mso-highlight:yellow'>Subject: CN=52.35.22.204, O=52.35.22.204</span><o:p></o:p></p><p class=MsoNormal> Subject Public Key Info:<o:p></o:p></p><p class=MsoNormal> Public Key Algorithm: rsaEncryption<o:p></o:p></p><p class=MsoNormal> Public-Key: (2048 bit)<o:p></o:p></p><p class=MsoNormal> Modulus:<o:p></o:p></p><p class=MsoNormal> 00:bd:01:6a:df:ae:35:f2:82:1f:ca:af:cf:7b:97:<o:p></o:p></p><p class=MsoNormal> 2f:ec:a5:2d:ec:7c:3d:0a:c3:fb:e2:17:d3:78:b6:<o:p></o:p></p><p class=MsoNormal> dc:c6:60:b6:14:eb:6e:5e:96:c2:ef:bf:d8:9f:a7:<o:p></o:p></p><p class=MsoNormal> 19:a1:36:a5:82:37:5b:8b:0a:5d:95:00:9c:11:f0:<o:p></o:p></p><p class=MsoNormal> 90:77:e6:34:f1:36:b3:c9:62:8e:82:28:d3:41:fd:<o:p></o:p></p><p class=MsoNormal> 0a:3e:67:32:57:c2:52:71:8a:9b:99:4c:e0:4b:e4:<o:p></o:p></p><p class=MsoNormal> 15:e0:53:0c:46:d0:98:1a:05:8e:79:f4:c6:d4:0b:<o:p></o:p></p><p class=MsoNormal> b8:16:ea:24:80:1c:67:67:12:16:c4:29:f1:d5:81:<o:p></o:p></p><p class=MsoNormal> ab:4b:b6:a4:b7:f7:a7:ad:11:34:ef:9c:70:dc:a9:<o:p></o:p></p><p class=MsoNormal> 4a:da:9f:dd:14:71:7e:7d:b1:91:ab:f6:fb:f3:fd:<o:p></o:p></p><p class=MsoNormal> a0:9f:56:ab:89:eb:91:fd:1e:74:d6:55:a0:bb:6e:<o:p></o:p></p><p class=MsoNormal> 1d:94:1d:08:c7:26:2d:85:45:46:b4:44:84:e5:ed:<o:p></o:p></p><p class=MsoNormal> 68:83:e6:25:2b:fd:82:d5:7c:67:ce:32:d9:15:d1:<o:p></o:p></p><p class=MsoNormal> de:00:85:62:d7:f7:ad:a8:c2:17:a1:55:c3:64:08:<o:p></o:p></p><p class=MsoNormal> a3:9e:d8:6d:55:f7:4d:a9:4f:73:75:31:74:3c:21:<o:p></o:p></p><p class=MsoNormal> 3b:1e:27:6b:fb:3c:40:49:80:55:0c:dd:90:fe:4c:<o:p></o:p></p><p class=MsoNormal> da:8c:a4:10:d8:bf:1b:12:15:56:81:0a:15:64:04:<o:p></o:p></p><p class=MsoNormal> cc:d3<o:p></o:p></p><p class=MsoNormal> Exponent: 65537 (0x10001)<o:p></o:p></p><p class=MsoNormal> X509v3 extensions:<o:p></o:p></p><p class=MsoNormal> Netscape Comment:<o:p></o:p></p><p class=MsoNormal> FS Server Cert<o:p></o:p></p><p class=MsoNormal> X509v3 Basic Constraints:<o:p></o:p></p><p class=MsoNormal> CA:FALSE<o:p></o:p></p><p class=MsoNormal> X509v3 Subject Key Identifier:<o:p></o:p></p><p class=MsoNormal> 74:5E:4B:09:21:37:50:1F:BB:F1:A8:D5:1D:6D:D7:36:D9:D5:EE:AD<o:p></o:p></p><p class=MsoNormal> X509v3 Authority Key Identifier:<o:p></o:p></p><p class=MsoNormal> keyid:0B:51:AF:BF:BF:8F:2A:94:8A:18:B6:70:4F:9A:0B:FA:EB:4B:49:FC<o:p></o:p></p><p class=MsoNormal> DirName:/CN=52.35.22.204/O=52.35.22.204<o:p></o:p></p><p class=MsoNormal> serial:F5:5B:BD:AA:25:4E:16:0B<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> X509v3 Subject Alternative Name:<o:p></o:p></p><p class=MsoNormal> <span style='background:yellow;mso-highlight:yellow'>DNS:52.35.22.204</span><o:p></o:p></p><p class=MsoNormal> Netscape Cert Type:<o:p></o:p></p><p class=MsoNormal> SSL Server<o:p></o:p></p><p class=MsoNormal> X509v3 Extended Key Usage:<o:p></o:p></p><p class=MsoNormal> TLS Web Server Authentication<o:p></o:p></p><p class=MsoNormal> Signature Algorithm: sha1WithRSAEncryption<o:p></o:p></p><p class=MsoNormal> e7:35:1e:9a:70:6c:1c:61:2f:c8:50:8f:5d:a8:7d:73:cc:a4:<o:p></o:p></p><p class=MsoNormal> c0:7a:54:02:65:91:49:82:0b:86:7f:45:44:91:b2:14:32:c3:<o:p></o:p></p><p class=MsoNormal> d6:50:5c:41:28:f3:80:ca:ea:2b:c3:2c:d7:d8:09:90:11:8b:<o:p></o:p></p><p class=MsoNormal> fe:4e:8d:35:4f:ca:ec:cb:6b:05:ee:63:e3:17:17:4f:be:bb:<o:p></o:p></p><p class=MsoNormal> f7:85:f4:4a:3a:34:b6:4f:c1:5c:d7:07:7e:f5:d5:a5:ae:40:<o:p></o:p></p><p class=MsoNormal> 3c:25:2a:70:24:6d:0e:3c:e4:e1:64:43:7a:6e:10:ad:a2:9e:<o:p></o:p></p><p class=MsoNormal> 38:d5:e3:91:de:4f:e5:60:27:44:58:7c:2a:42:2a:f2:6f:19:<o:p></o:p></p><p class=MsoNormal> 60:d5:01:48:01:39:1a:18:30:3a:f5:e7:d8:fd:c6:00:22:a4:<o:p></o:p></p><p class=MsoNormal> f7:4b:44:c9:c7:4d:02:2a:d3:d4:1b:f2:e6:35:63:7b:c9:0d:<o:p></o:p></p><p class=MsoNormal> 69:2c:38:7f:04:e1:5e:9a:0c:13:21:50:d5:78:3b:22:f4:11:<o:p></o:p></p><p class=MsoNormal> f4:09:73:e8:58:c5:c4:ba:33:28:88:cc:28:c7:7b:1b:73:11:<o:p></o:p></p><p class=MsoNormal> 06:15:ad:29:1a:25:47:0c:91:be:6d:20:7d:88:6e:6a:a1:53:<o:p></o:p></p><p class=MsoNormal> a6:95:84:cc:d3:bc:10:18:e5:43:fa:5c:96:c3:7b:ce:98:c0:<o:p></o:p></p><p class=MsoNormal> d3:dc:81:8c:ea:85:83:69:39:63:2e:fa:a1:03:0e:69:5e:be:<o:p></o:p></p><p class=MsoNormal> c4:52:8c:25<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Any ideas?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks<o:p></o:p></p><p class=MsoNormal>Claire<o:p></o:p></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b>From:</b> xiyu zhao [mailto:claire.zxy@gmail.com] <br><b>Sent:</b> Sunday, November 27, 2016 1:09 PM<br><b>To:</b> freeswitch-users@lists.freeswitch.org<br><b>Subject:</b> SIP TLS failed with FSClient 1.2.3.5<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Hi All,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Please help me when you get a chance.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’ve follow the instruction link below to configure TLS in my freeswitch server, but it failed with my FSClient 1.2.3.5. I copied cafile.pem from my freeswitch to my windows desktop and gived the right directory under “TLS Certificate Directory” shown as below screenshot (also attached). <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><a href="https://freeswitch.org/confluence/display/FREESWITCH/SIP+TLS">https://freeswitch.org/confluence/display/FREESWITCH/SIP+TLS</a><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>But I still cannot log in with tls, console log output, and configuration files are below. Kindly take a look and let me know if additional info is needed.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>P.S. I used IP instead of domain name to create the certificate, is it a problem? E.g: I used ./gentls_cert setup -cn pbx.freeswitch.org -alt DNS: 52.35.22.204 -org 52.35.22.204.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><img border=0 width=362 height=326 style='width:3.7708in;height:3.3958in' id="Picture_x0020_2" src="cid:image001.png@01D248B0.293CF370"><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>Console output:<o:p></o:p></b></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>tport.c:2749 tport_wakeup_pri() tport_wakeup_pri(0x7fcee8050770): events IN<o:p></o:p></p><p class=MsoNormal>tport.c:862 tport_alloc_secondary() tport_alloc_secondary(0x7fcee8050770): new secondary tport 0x7fcee8252ea0<o:p></o:p></p><p class=MsoNormal>tport_type_tcp.c:203 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7fcee8252ea0): Setting TCP_KEEPIDLE to 30<o:p></o:p></p><p class=MsoNormal>tport_type_tcp.c:209 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7fcee8252ea0): Setting TCP_KEEPINTVL to 30<o:p></o:p></p><p class=MsoNormal>tport_type_tls.c:610 tport_tls_accept() tport_tls_accept(0x7fcee8252ea0): new connection from tls/50.187.205.251:56612/sips<o:p></o:p></p><p class=MsoNormal><span style='background:yellow;mso-highlight:yellow'>tport_tls.c:955 tls_connect() tls_connect(0x7fcee8252ea0): events NEGOTIATING</span><o:p></o:p></p><p class=MsoNormal><span style='background:yellow;mso-highlight:yellow'>tport_tls.c:1044 tls_connect() tls_connect(0x7fcee8252ea0): TLS setup failed (error:00000001:lib(0):func(0):reason(1))</span><o:p></o:p></p><p class=MsoNormal>tport.c:2090 tport_close() tport_close(0x7fcee8252ea0): tls/50.187.205.251:56612/sips<o:p></o:p></p><p class=MsoNormal>tport.c:2263 tport_set_secondary_timer() tport(0x7fcee8252ea0): set timer at 0 ms because zap<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>freeswitch@ip-172-31-28-201> sofia status<o:p></o:p></p><p class=MsoNormal> Name Type Data State<o:p></o:p></p><p class=MsoNormal>=================================================================================================<o:p></o:p></p><p class=MsoNormal> external-ipv6 profile <a href="sip:mod_sofia@[::1]:5080">sip:mod_sofia@[::1]:5080</a> RUNNING (0)<o:p></o:p></p><p class=MsoNormal> 172.31.28.201 alias internal ALIASED<o:p></o:p></p><p class=MsoNormal> external profile <a href="sip:mod_sofia@52.35.22.204:5080">sip:mod_sofia@52.35.22.204:5080</a> RUNNING (0)<o:p></o:p></p><p class=MsoNormal> external::example.com gateway <a href="sip:joeuser@example.com">sip:joeuser@example.com</a> NOREG<o:p></o:p></p><p class=MsoNormal> internal-ipv6 profile <a href="sip:mod_sofia@[::1]:5060">sip:mod_sofia@[::1]:5060</a> RUNNING (0)<o:p></o:p></p><p class=MsoNormal> internal-ipv6 profile <a href="sip:mod_sofia@[::1]:5061">sip:mod_sofia@[::1]:5061</a> RUNNING (0) (TLS)<o:p></o:p></p><p class=MsoNormal> internal profile <a href="sip:mod_sofia@52.35.22.204:5060">sip:mod_sofia@52.35.22.204:5060</a> RUNNING (0)<o:p></o:p></p><p class=MsoNormal> <span style='background:yellow;mso-highlight:yellow'>internal profile <a href="sip:mod_sofia@52.35.22.204:5061">sip:mod_sofia@52.35.22.204:5061</a> RUNNING (0) (TLS)</span><o:p></o:p></p><p class=MsoNormal>=================================================================================================<o:p></o:p></p><p class=MsoNormal>4 profiles 1 alias<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>Under vars.xml:<o:p></o:p></b></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="sip_tls_version=sslv23"/><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> <!--<o:p></o:p></p><p class=MsoNormal> TLS cipher suite: default ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> The actual ciphers supported will change per platform.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> openssl ciphers -v 'ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH'<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> Will show you what is available in your verion of openssl.<o:p></o:p></p><p class=MsoNormal> --><o:p></o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="sip_tls_ciphers=ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH"/><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> <!-- Internal SIP Profile --><o:p></o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="internal_auth_calls=true"/><o:p></o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="internal_sip_port=5060"/><o:p></o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="internal_tls_port=5061"/><o:p></o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="internal_ssl_enable=true"/><o:p></o:p></p><p class=MsoNormal> <X-PRE-PROCESS cmd="set" data="internal_ssl_dir=/usr/local/freeswitch/conf/ssl"/><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>Under internel.xml: <o:p></o:p></b></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal> <!-- TLS: disabled by default, set to "true" to enable --><o:p></o:p></p><p class=MsoNormal> <param name="tls" value="true"/><o:p></o:p></p><p class=MsoNormal> <!-- Set to true to not bind on the normal sip-port but only on the TLS port --><o:p></o:p></p><p class=MsoNormal> <param name="tls-only" value="false"/><o:p></o:p></p><p class=MsoNormal> <!-- additional bind parameters for TLS --><o:p></o:p></p><p class=MsoNormal> <param name="tls-bind-params" value="transport=tls"/><o:p></o:p></p><p class=MsoNormal> <!-- Port to listen on for TLS requests. (5061 will be used if unspecified) --><o:p></o:p></p><p class=MsoNormal> <param name="tls-sip-port" value="$${internal_tls_port}"/><o:p></o:p></p><p class=MsoNormal> <!-- Location of the agent.pem and cafile.pem ssl certificates (needed for TLS server) --><o:p></o:p></p><p class=MsoNormal> <!--<param name="tls-cert-dir" value=""/>--><o:p></o:p></p><p class=MsoNormal> <!-- Optionally set the passphrase password used by openSSL to encrypt/decrypt TLS private key files --><o:p></o:p></p><p class=MsoNormal> <param name="tls-passphrase" value=""/><o:p></o:p></p><p class=MsoNormal> <!-- Verify the date on TLS certificates --><o:p></o:p></p><p class=MsoNormal> <param name="tls-verify-date" value="true"/><o:p></o:p></p><p class=MsoNormal> <!-- TLS verify policy, when registering/inviting gateways with other servers (outbound) or handling inbound registration/invite requests how should we verify their certificate --><o:p></o:p></p><p class=MsoNormal> <!-- set to 'in' to only verify incoming connections, 'out' to only verify outgoing connections, 'all' to verify all connections, also 'subjects_in', 'subjects_out' and 'subjects_all' for subject validation. Multiple policies can be$<o:p></o:p></p><p class=MsoNormal> <param name="tls-verify-policy" value="in"/><o:p></o:p></p><p class=MsoNormal> <!-- Certificate max verify depth to use for validating peer TLS certificates when the verify policy is not none --><o:p></o:p></p><p class=MsoNormal> <param name="tls-verify-depth" value="2"/><o:p></o:p></p><p class=MsoNormal> <!-- If the tls-verify-policy is set to subjects_all or subjects_in this sets which subjects are allowed, multiple subjects can be split with a '|' pipe --><o:p></o:p></p><p class=MsoNormal> <param name="tls-verify-in-subjects" value=""/><o:p></o:p></p><p class=MsoNormal> <!-- TLS version default: tlsv1,tlsv1.1,tlsv1.2 --><o:p></o:p></p><p class=MsoNormal> <param name="tls-version" value="$${sip_tls_version}"/><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> <!-- TLS ciphers default: ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH --><o:p></o:p></p><p class=MsoNormal> <param name="tls-ciphers" value="$${sip_tls_ciphers}"/><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks,<o:p></o:p></p><p class=MsoNormal>Clarie<o:p></o:p></p></div></body></html>