SNOM im Homeoffice via Port 8884 an MobileHub problem mit Zertifikat

Wir möchten im Homeoffice SNOM D345 (10.1.39.11) einsetzen. Port 8884 (und die anderen gemäss https://www.pascom.net/doc/de/howto/mobile-access/) in der Firewall eingerichtet.

Provisionierungs URL der Schnittstelle mit MobileHub im SNOM WebUI unter Erweiter > Update > Settings URL eingetragen.

Das SNOM meldet nach dem Reboot, dass das Zertifikat im WebUI akzeptiert werden muss (kenne ich von den Lokalen SNOM).

Nun scheint dieses Zertifikat jedoch auch auf die Lokale Schnittstelle und nicht die FQDN Domain der Firewall ausgestellt. Daher erscheint bei ADD EXCEPTION im SNOM folgende Meldung:

Sicherheitswarnung !
Sie oder ein anderer Anwender haben eine nicht authorisierte HTTP POST Anfrage an dieses Telefon geschickt.

Diese Anfrage wurde verworfen und die bestehende authentifizierte Sitzung geschlossen.

Sie müssen sich erneut anmelden, um die Webseite des Telefons zu benutzen.

Müsste das Zertifikat nicht auf die Schnittstelle mit dem MobileHub ausgestellt sein?

OK Workarroung gefunden: Das Zertifikat vom Browser exportieren und ins Telefon uploaden scheint zu funktionieren. Seltsamerweise, muss das Zertifikat als PEM exportiert werden und dann im SNOM als DER hinzugefügt werden.

Das SNOM meldet nun

redirection Provisionierung läuft

jedoch scheint weiter nix zu passieren.

Vielleicht hilft folgende Fehlermeldung von curl weiter:

HTTP/1.1 400 Bad Request
Date: Sat, 13 Jul 2019 05:57:57 GMT
Server: Apache
Content-Type: application/json; charset=utf-8
Content-Length: 155
Connection: close

{"message":"Can't decrypt provisioning url invalid split operation: string (\ufffd}\ufffdXmk\ufffd;\u000f\u000e) separator (/) num (2)","result":"failure"}

Hi,

ich nehme mal an das hier ein self-signed Zertifikat verwendet wird. enspricht hier der CN dem FQDN und somit auch der URL die das Telefon anspricht? Falls nein gibt es aktuell einen Fehler, der dazu führt das das selfsigned nicht mit dem FQDN angepasst wird (beim ersten Inbetriebnehmen des Interfacecontainers wird der CN festgelegt, das self signed wird danach aktuell nicht neu ausgestellt, das wir aber mit 18.10 behoben).

Ansonsten könnte das Problem natürlich auch am Telefon und falscher Uhrzeit leigen, dann wird die TLS Verbindung nicht aufgebaut.

Grüße,
Steve

Das ist korrekt. Das Selfsigned Zertifikat lautet auf die interne IP der Schnittstelle 0. Der externe Zugriff erfolgt jedoch via subdomain.domain.ch (eingetragen unter FQDN der Schnittstelle 1).