<div dir="ltr"><div><span>Hello OpenSips Users:</span></div><div><span><br></span></div><div><span>I'm trying to configure a OpenSips v2.4 proxy with TLS and certificate validation but I do not understand how to provision TLS using DB.</span></div><div><span><br></span></div><div><span>With files everything works, the phone works well and validates the TLS certificate using a certificate signed by one of my authorized CAs on my ca_list file.</span></div><div><span><br></span></div><div><span>But when I try to provision using DB with the same contents (CA_list, certificate, ciphers_list and private_key) I receive a "certificate verify failed" error.</span></div><div><span><br></span></div><div><span>I counld not find any good documentation about using this in v2.4, and the TLS_MGM module documentation does not explain in deep how to get this working:</span></div><div><a href="https://opensips.org/html/docs/modules/2.4.x/tls_mgm.html"><span>https://opensips.org/html/docs/modules/2.4.x/tls_mgm.html</span></a></div><div><span><br></span></div><div><span>Is there any extended documentation about how to use DB provisioning in TLS_MGM module? I'm trying to use only the default domain with the following parameters (private data is obfuscated)<br></span></div><div><span><br></span></div><div><span>`id`,  `domain`,  `address`,  `type`,  `method`,  `verify_cert`,  `require_cert`,  `certificate`,  `private_key`,  `crl_check_all`,  `crl_dir`,  `ca_list`,  `ca_dir`, `cipher_list`, `dh_params`, `ec_curve`<span></span></span></div><div><span>"8"     "default"     "<a href="http://0.0.0.0:5061">0.0.0.0:5061</a>"        "1"   "SSLv23"      "1"   "0"   "-MY_CERTIFICATE" "MY_PRIVATE_KEY"  "0"   \N      "MY_CA_LIST"  \N      "MY_CIPHER_LIST"      \N      \N<br></span></div><div><span><span>"12"  "default"     "<a href="http://0.0.0.0:5061">0.0.0.0:5061</a>"        "2"   "SSLv23"      "1"   "0"   "-MY_CERTIFICATE" "MY_PRIVATE_KEY"  "0"   \N      "MY_CA_LIST"  \N      "MY_CIPHER_LIST"      \N      \N</span></span></div><div><span><br></span></div><div><span>The CA of the cisco-linksys phones is on MY_CA_LIST (works if using files)  but do not work if using DB. Only a note, as my ca_list is quite large, I had to modify tls_mgm table structure and use VARCHAR(1024) instead CHAR(255), but for my tests I think his is not the cause of the problem.<br></span></div><div><span><br></span></div><div><span>This is the complete SSL error when I try to use DB. The macs and serial numbers are obfuscated.<br></span></div><div><span><br></span></div><span> NOTICE:tls_mgm:verify_callback: depth = 0</span><br><span></span><div><span>NOTICE:tls_mgm:verify_callback: subject = /C=US/ST=0000000000/L=CBTXXXXXXXX/O=Cisco Systems/OU=<a href="http://cisco.com/CN=SPA508G">cisco.com/CN=SPA508G</a>, MAC: 0000000000, Serial: CBTXXXXXXXX/emailAddress=<a href="mailto:linksys-certadmin@cisco.com">linksys-certadmin@cisco.com</a><br> NOTICE:tls_mgm:verify_callback: verify error:num=20:unable to get local issuer certificate<br>NOTICE:tls_mgm:verify_callback: something wrong with the cert ... error code is 20 (check x509_vfy.h)<br> NOTICE:tls_mgm:verify_callback: verify return:0<br>ERROR:proto_tls:tls_accept: New TLS connection from <a href="http://1.1.1.1:51757">1.1.1.1:51757</a> failed to accept<br>ERROR:proto_tls:tls_print_errstack: TLS errstack: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed<br>ERROR:proto_tls:tls_read_req: failed to do pre-tls reading<br></span></div><div><span></span><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br></div><div>Somebody can explain more deeply how to make tls_mgm work with DB?</div><div><br></div><div>thanks and regrds,</div><div><br></div><div>Carlos Oliva<br></div><div dir="ltr"><span></span></div><div dir="ltr"><span><font style="font-size:12px" face="Arial, Tahoma, sans-serif" color="#808080"><b><br></b></font></span></div></div></div></div></div></div></div></div></div>