
<div dir="ltr"><div>Hi James,</div><div><br></div><div>It could certainly be clearer!</div><div><br></div><div>Here's an extract from my script and some example inserts for a client and server record.</div><div><br></div><div><a href="https://gist.github.com/spacetourist/788ea722901e81d355850842e2b17cda">https://gist.github.com/spacetourist/788ea722901e81d355850842e2b17cda</a><br></div><div><br></div>INSERT INTO opensips_dev.tls_mgm (id, domain, match_ip_address, match_sip_domain, type, method, verify_cert, require_cert, certificate, private_key, crl_check_all, crl_dir, ca_list, ca_dir, cipher_list, dh_params, ec_curve) VALUES (5, 'default', '*', '*', 1, 'TLSv1_2', 0, 0, 0x2D2D2D2D2D424547494E20434...2D2D2D2D0A, 0x2D2D2D2D2D424547494...B45592D2D2D2D2D0A, 0, null, null, null, 'EECDH+AESGCM,EDH+AESGCM,AES256+EECDH,AES256+EDH,!RSA,!SHA', 0x2D2D2D2D2D4245...D2D2D0A, 'secp384r1');<br><br>INSERT INTO opensips_dev.tls_mgm (id, domain, match_ip_address, match_sip_domain, type, method, verify_cert, require_cert, certificate, private_key, crl_check_all, crl_dir, ca_list, ca_dir, cipher_list, dh_params, ec_curve) VALUES (15, 'default', '*', '*', 2, 'TLSv1_2', 0, 0, 0x2D2D2D2...D2D0A, 0x2D2D2D2D2...D2D2D0A, 0, null, null, null, 'EECDH+AESGCM,EDH+AESGCM,AES256+EECDH,AES256+EDH,!RSA,!SHA', 0x2D2D2D2D2D42454...2D0A, 'secp384r1');<br><div><br></div><div>Hope that helps get you moving!</div><div><br></div><div>Callum</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 7 Apr 2023 at 09:12, James Nicholls via Users <<a href="mailto:users@lists.opensips.org">users@lists.opensips.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi all,<br>

<br>

I have an existing opensips 3.3.4 setup that uses modparam to set tls_mgm certificates with separate server_domain and client_domain entries. This works fine for registration and calling using TLS but I want to be able to update certificates with tls_reload so I'm trying to move them to the database instead.<br>

<br>

The tls_mgm table schema added by opensips-cli has a domain and type column. Does "type" mean client/server or is it something else? I have tried having separate entries for client/server certs, or combining them into one row, but I can't get it to work. Everything seems to result in "no TLS client domain found" as below.<br>

<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: ERROR:proto_tls:proto_tls_conn_init: no TLS client domain found<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: ERROR:core:tcp_conn_create: failed to do proto 3 specific init for conn 0x7f3c9f1b5e98<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: DBG:core:tcpconn_destroy: delaying (0x7f3c9f1b5e98, flags 0018) ref = -1 ...<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: ERROR:core:tcp_async_connect: tcp_conn_create failed, closing the socket<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: ERROR:proto_tls:proto_tls_send: async TCP connect failed<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: ERROR:tm:msg_send: send() to (PBX IP):5061 for proto tls/3 failed<br>

Apr 05 16:02:34 (hostname) /usr/sbin/opensips[22277]: ERROR:tm:t_forward_nonack: sending request failed<br>

<br>

Example row in the tls_mgm table:<br>

<br>

          domain: (SIP branded hostname)<br>

match_ip_address: (opensips IP):4003<br>

match_sip_domain: *<br>

            type: 1<br>

          method: TLSv1_2-<br>

     verify_cert: 0<br>

    require_cert: 0<br>

     certificate: -----BEGIN CERTIFICATE----- [...]<br>

     private_key: -----BEGIN RSA PRIVATE KEY----- [...]<br>

   crl_check_all: 0<br>

         crl_dir: NULL<br>

         ca_list: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem<br>

          ca_dir: NULL<br>

     cipher_list: NULL<br>

       dh_params: NULL<br>

        ec_curve: NULL<br>

<br>

Is there any documentation for adding certificates to the tls_mgm table? I haven't found anything in the 3.3.x docs, the only examples use modparam. Hopefully I have got something really obvious wrong.<br>

<br>

Kind regards,<br>

<br>

James Nicholls<br>

<br>

_______________________________________________<br>

Users mailing list<br>

<a href="mailto:Users@lists.opensips.org" target="_blank">Users@lists.opensips.org</a><br>

<a href="http://lists.opensips.org/cgi-bin/mailman/listinfo/users" rel="noreferrer" target="_blank">http://lists.opensips.org/cgi-bin/mailman/listinfo/users</a><br>

</blockquote></div>


<br>

<p dir="ltr" style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em;line-height:1.38;margin-top:0pt;margin-bottom:0pt;text-align:justify"><font size="3" face="Verdana"><span style="font-size:8px;color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline"></span></font></p><div style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em"><img src="https://www.x-on.co.uk/email/footer/banner-03-2023.jpg"><br></div><div style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em"><br></div><div><font size="4" style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em"><b><sup><font face="Verdana">0333 332 0000  |  <a href="https://www.x-on.co.uk" target="_blank">x-on.co.uk</a>  |  <sub> </sub></font></sup></b></font><font size="4" style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em"><b><sub><sup><font face="Verdana"><a href="https://www.linkedin.com/company/x-on" target="_blank"><img src="http://www.x-on.co.uk//images/icon/linkedin.png" width="24" height="24"></a>  <a href="https://www.facebook.com/XonTel" target="_blank"><img src="http://www.x-on.co.uk//images/icon/facebook.png" width="24" height="24"></a>  <a href="https://twitter.com/xonuk" target="_blank"><img src="http://www.x-on.co.uk//images/icon/twitter.png" width="24" height="24"></a></font></sup></sub> </b></font><b style="font-family:Arial,Helvetica,sans-serif;font-size:large"><sup><font face="Verdana">  |  </font></sup></b><b style="font-size:16.9px"><sup><font face="Verdana"><a href="https://practiceindex.co.uk/gp/x-on" target="_blank">Practice Index Reviews</a></font></sup></b><p><font face="Verdana" color="#ff0000" size="1"><b>Our new office address: 22 Riduna Park, Melton IP12 1QT.</b></font></p><p style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em"><span style="font-size:6pt;font-family:Verdana;color:black">X-on

is a trading name of Storacall Technology Ltd a limited company registered in

England and Wales.<br>

Registered Office : Glebe Farm, Down Street, Dummer, Basingstoke, Hampshire, England RG25 2AD. Company Registration No. 2578478.<br>

The information in this e-mail is confidential and for use by the addressee(s)

only. If you are not the intended recipient, please notify X-on immediately on <span>+44(0)333 332 0000</span> and delete the<br>message from your computer. If you are not a named addressee you must not use,

disclose, disseminate, distribute, copy, print or reply to this email. </span><span style="font-size:6pt;font-family:Verdana;color:black">Views

or opinions expressed by an individual<br>within this email may not necessarily

reflect the views of X-on or its associated companies. Although X-on routinely

screens for viruses, addressees should scan this email and any attachments<br>for

viruses. X-on makes no representation or warranty as to the absence of viruses

in this email or any attachments.</span></p>


<p style="font-family:Arial,Helvetica,sans-serif;font-size:1.3em"><span style="font-size:6pt;font-family:Verdana;color:black"></span><font size="2"><span style="font-size:6pt;font-family:Verdana;color:black"></span></font></p></div>