<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">I have looked into using OpenSIPS with optional mutual TLS.  In short, using verify_cert=1 & require_cert=0.  In this case, the OpenSIPs acting as a server sends the TLS “Certificate Request” during the handshake and based on the response
 the OpenSIPs server decides whether to continue (as either server-only TLS or mutual TLS) or terminate the connection.  I have experienced more failures than expected as some remote endpoints are attempting to satisfy the certificate request by sending any
 potential certificate that meets the requested criteria.  <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">During the “Certificate Request” there is an optional parameter allowing the trusted certificate authority distinguished name to be provided in the request.  This is defined in OpenSSL’s SSL_CTX_set_client_CA_list.  Without this directive
 defined the remote client may choose to send a client certificate that meets the only defined parameter (Certificate types); however, in many cases OpenSIPs may reject the client selected certificate.  It does not appear that OpenSIPs controls this optional
 parameter.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I may have missed this definition in OpenSIPs.  This may be a potential feature request.  If it has been omitted, I feel that when OpenSIPs is acting as a TLS server, the existing parameter CA_LIST could be defined in the server domain
 to provide a set of trusted certificate authorities to pass along as the Certificate Request distinguished name.  In this case the remote client peer that is not able to satisfy the scoped Certificate Request can then choose to proceed without mutual authentication
 and continue the handshake without offering a client certificate.  <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b>RFC5246</b> 7.4.6 Client Certificate <a href="https://tools.ietf.org/html/rfc5246#section-7.4.6">
https://tools.ietf.org/html/rfc5246#section-7.4.6</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">TLSv1 Record Layer: Handshake Protocol: Multiple Handshake Messages<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">    Content Type: Handshake (22)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">    Version: TLS 1.0 (0x0301)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">    Length: 14<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">    Handshake Protocol:
<b>Certificate Request</b><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">        Handshake Type: Certificate Request (13)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">        Length: 6<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">        Certificate types count: 3<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">        Certificate types (3 types)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">            Certificate type: RSA Sign (1)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">            Certificate type: DSS Sign (2)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">            Certificate type: ECDSA Sign (64)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">       
<span style="background:yellow;mso-highlight:yellow">Distinguished Names Length: 0</span><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">    Handshake Protocol: Server Hello Done<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">        Handshake Type: Server Hello Done (14)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:#C00000">        Length: 0<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b>OpenSSL SSL_CTX_set_client_CA_list<o:p></o:p></b></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><a href="https://www.openssl.org/docs/man1.0.2/man3/SSL_CTX_set_client_CA_list.html">https://www.openssl.org/docs/man1.0.2/man3/SSL_CTX_set_client_CA_list.html</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thank you for your review,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Phil Whitener<o:p></o:p></p>
<p class="MsoNormal"><a href="mailto:phil.whitener@genesys.com">phil.whitener@genesys.com</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>