kann das self-signed Zertifikat neu generiert werden?
Hintergrund: Die IP-Adresse wurde nach der Einrichtung erneut geändert. Nun stimmt der CN des Zertifikats (IP-Adresse beim self-signed) nicht mit der realen IP-Adresse überein. Ein snom verweigert somit die Auto-Provisionierung aufgrund eines ungültigen Zertifikats. Auch ein Zulassen des “unbekannten Zertifikats” hilft leider nicht.
Alternativ wäre ein eigenes Zertifikat hilfreich, allerdings gibt es hier einen Fehler “error 20 at 0 depth lookup:unable to get local issuer certificate”. Das PEM und Key wurden mit einer pfsense erzeugt.
Edit: Das CA “PBX-CA.pem” liegt in /etc/ssl/certs der Instanz.
Edit2: Ein kombiniertes CA+CERT wird offensichtlich nicht korrekt gelesen, hier wird nur das CA hergenommen und es folgt ein “TLS private key does not belong to this TLS certifcate”.
Wenn Du das Feld “Schnittstellen-DNS-Name” eines Interfaces änderst, so führt dies automatisch zu einem neuen self-signed bzw. Let’s Encrypt Zertifikat.
Prüfe das bitte nochmal und schau Dir das generierte Zertifikat einfach in Deinem Webbrowser an.
Ein hochgeladenes Zertifikat wird automatisch geprüft:
passt es zu der eingestellten Domain?
ist es zeitlich valid?
passen key und pem zusammen?
passt es zu einer bekannten öffentlichen CA
In Deinem Fall klappt der letzte Schritt natürlich nicht. Du willst ein eigenes selbst signiertes Zertifikat hochladen - genau das erzeugt Deine PFSense nämlich. Dieser Modus wird nicht unterstützt.
Den “Schnittstellen-DNS-Name” habe ich nach dem Wechsel der IP-Adresse geändert, es wird allerdings noch die alte IP-Adresse im Zertifikat angezeigt.
Auch ein Neustart der Instanz und des Hosts aktualisiert dieses leider nicht.
Die Provisionierung mit Let’s Encrypt Zertifikat (und lokalem DNS umbiegen) funktioniert, zumindest für 3 Monate. Da später am Standort kein (selbst konfigurierbares) DNAT verfügbar ist sollte die Provisionierung mit einem self-signed Zertifikat funktionieren.
Bleibt also nur noch das neu Erstellen des self-signed Zertifikats.
Edit: “Eine Neuinstallation konnte das Problem beheben” - ob die Wiederherstellung aus einem Anlagen-Backup funktioniert kann ich nicht sagen.
