‎Snom D785 TLS Zertifikat host mismatch

Telekom hilft Community

Telekom Business Community

Private customers

Telekom Shops

Contact

Solved

Snom D785 TLS Zertifikat host mismatch

6 years ago

Guten Tag!

meine DTAG SIP Registrierung scheitert durch einen Host Mismatch des Profils.

verwendetes Endgerät: snom D785

Firmware / Release: snomD785-SIP 10.1.20.0

Es trifft ein T-Systems auf ein Deutsche Telekom Zertifikat, dieser führt zum Host Mismatch, weshalb die SIP Registrierung scheitert.

Ich habe bereits die Firmware aktualisiert, in der Hoffnung das die Zertifikate hierdurch aktualisiert werden, leider ohne Erfolg.

Ich hoffe hier kann mir jemand helfen, entweder das korrekte Zertifikat zu erhalten, so dass ich es manuell aktualisiere, oder was ich tun kann.

Eine SIP Nummer, eines anderen Anbieters läuft auf diesem Gerät erfolgreich!

Beste Grüße Daniel

Log File Auszug:

Nov 23 23:23:14.187 [ERROR ] PHN: TPL: Socket Error: 26/40/connected, Tls error, closing
Nov 23 23:23:14.189 [FATAL ] SIP: sip_transport_state_cb context lost
Nov 23 23:23:14.220 [ERROR ] TLS: BIO_new_bio_pair code 336142450, error:14092072:SSL routines:ssl3_get_server_hello:bad message type
Nov 23 23:23:14.270 [ERROR ] TLS: Error 2 at depth 1: unable to get issuer certificate
Nov 23 23:23:14.270 [ERROR ] TLS: Cert s: /C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/CN=TeleSec Business CA 1
Nov 23 23:23:14.270 [ERROR ] TLS: Cert i: /C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2
Nov 23 23:23:14.274 [ERROR ] TLS: Error 62 at depth 0: Hostname mismatch
Nov 23 23:23:14.274 [ERROR ] TLS: Cert s: /C=DE/O=Deutsche Telekom AG/OU=SIP-Trunk.telekom.de/OU=SIP-Trunk/CN=tel.t-online.de/ST=Nordrhein-Westfalen/L=Bonn
Nov 23 23:23:14.274 [ERROR ] TLS: Cert i: /C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/CN=TeleSec Business CA 1
Nov 23 23:23:14.281 [ERROR ] TLS: X509v3 extensions: X509v3 Authority Key Identifier: keyid:86:88:93:1F:8B:EB:55:96:65:D5:47:01:BD:37:8C:7C:CD:A8:C7:A3 X509v3 Subject Key Identifier: 03:B7:D0:66:AB:E1:D3:AF:5C:72:BB:A6:86:AB:7C:33:D4:61:79:47 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Client Authentication, TLS Web Server Authentication X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.7879.13.25 CPS: http://sbca.telesec.de/download/cps2.pdf Policy: 2.23.140.1.2.2 X509v3 Basic Constraints: CA:FALSE X509v3 CRL Distribution Points: Full Name: URI:http://crl.sbca.telesec.de/rl/TeleSec_Business_CA_1.crl Full Name: URI:ldap://ldap.sbca.telesec.de/CN=TeleSec%20Business%20CA%201,OU=T-Systems%20Trust%20Center,O=T-Systems%20International%20GmbH,C=DE?CertificateRevocationList Authority Information Access: OCSP - URI:http://ocsp03.sbca.telesec.de/ocspr CA Issuers - URI:http://crt.sbca.telesec.de/crt/TeleSec_Business_CA_1.crt CA Issuers - URI:ldap://ldap.sbca.telesec.de/cn=TeleSec%20Business%20CA%201,ou=T-Systems%20Trust%20Center,o=T-Systems%20International%20GmbH,c=de?cACertificate X509v3 Subject Alternative Name: DNS:tel.t-online.de, DNS:tel.t-online.de, DNS:hpbx.deutschland-lan.de, DNS:hpbxsec.deutschland-lan.de Signature Algorithm: sha256WithRSAEncryption bf:88:

2369

6 years ago
Guten Morgen @dschroed_1,

vielen Dank für Ihren Beitrag.

Ich bitte um Entschuldigung, dass ich mich erst jetzt bei Ihnen melde.

Ihre Frage habe ich an meine Kollegen aus der Fachabteilung weitergeleitet.

Sobald ich weitere Informationen habe, melde ich mich.

Freundliche Grüße
Marita W.
0
6 years ago
Hallo @dschroed_1,

für nicht zertifizierte Endgeräte übernehmen wir keinen Support.
Folgenden Tipp kann ich Ihnen dazu anbieten:

Wir, die Telekom, stellen bestimmte Zertifikate hier zur Verfügung:

Lieben Gruß Melanie B.
4
Answer
from
6 years ago
Hallo @dschroed_1,

vielen Dank, dass Sie den Weg zur Lösung hier für alle sichtbar gemacht haben.

Lieben Gruß Melanie B.
Answer
from
6 years ago
Vielen Dank für die Info. Ich hatte immer das Phänomen, dass mein Snom immer wieder aufleuchtete sobald es auf der Telekom-Identität war. Mit dem deaktivieren vom fqdn-Check macht es diese Probleme nicht mehr.

Schade aber, dass die Telekom das Problem immer noch nicht gelöst hat!
Answer
from
6 years ago
Danke für die Infos, hat mir auch geholfen. Ich nutze das Snom D385.
Unlogged in user
Answer
from

Accepted Solution

accepted by

6 years ago

Hallo @Melanie B.

Schade, diese Antwort bringt wenig, und zeigt, dass die Bemühungen sehr von Mitarbeiter zu Mitarbeiter bei der Telekom schwankt.

Über die letzten Tage, konnte ich das Problem mit den Einstellungen zusammen mit dem Hersteller snom klären.

Sollte jemand ein ähnliches Problem haben, hier der Lösungsweg zur Konfiguration eines Snom D785 für einen DTAG Privatkundenanschluss:

Manueller Zertifikate Import von der Telekom:

https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate

Da das Gerät zwischen Zertifikat und Hostnamen streng prüft, muss diese Validierung angepasst werden. Hier die IP Adresse vom Gerät ergänzen und ausführen:

http://PHONE_IP/settings.htm?settings=save&check_fqdn_against_server_cert=off

(weitere Informationen zur Funktion:

http://wiki.snom.com/Settings/check_fqdn_against_server_cert), )

Snom Identity Field	Telekom Daten
Displayname	<leer>
Account	Rufnummer Vorwahl Nummer 030xxxx
Password	Telekom Email Passwort
Registrar	tel.t-online.de
Outbound Proxy	<leer> tel.t-online.de
Authentication Username:	Telekom Email

NAT	stun.t-online.de