innovaphone Forum

You are here

Help with Search (new window)
Picture of Klaus-Dieter 5075
Registered 4 years 92 days
Klaus-Dieter 5075 Thursday, 3 September 2020, 03:20 PM
12r2v30 : LDAP/TLS welche CipherSuites werden verwendet?
welche CipherSuites werden von 12r2 verwendet um auf einen LDAP Server mit TLS zuzugreifen??

Wir wollen hier einen OpenLDAP einsetzen bekommen aber immer nur

conn=1031 fd=12 ACCEPT from IP=192.168.70.50:23090 (IP=0.0.0.0:636)
TLS: can't accept: No supported cipher suites have been found..
conn=1031 fd=12 closed (TLS negotiation failure)

(und ich möchte ungern die alten SSLv3 Verschlüsselungen aktivieren)
am schönsten wäre TLSv1.3 oder aber halt TLSv1.2

Picture of Klaus-Dieter 5075
Registered 4 years 92 days
Klaus-Dieter 5075 Friday, 4 September 2020, 06:28 PM
Re: 12r2v30 : LDAP/TLS welche CipherSuites werden verwendet?
so der Wireshark hat es mir verraten:

Handshake Protocol: Client Hello
Handshake Type: Client Hello (1)
Length: 95
Version: TLS 1.2 (0x0303)
Random: 5f512554ecca1811ecca1882ecca18b5ecca18eaecca1905...
 GMT Unix Time: Sep 3, 2020 17:18:12.000000000 UTC
 Random Bytes: ecca1811ecca1882ecca18b5ecca18eaecca1905ecca1920...
Session ID Length: 0
Cipher Suites Length: 26
Cipher Suites (13 suites)
 Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) TLS1.2
 Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) TLS1.2
 Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006b) TLS1.2
 Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067) TLS1.2
 Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d) TLS1.2
 Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) TLS1.2
 Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) TLS1.0
 Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) TLS1.0
 Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039) TLS1.0
 Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033) TLS1.0
 Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) TLS1.0
 Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) TLS1.0
 Cipher Suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)
Extensions Length: 28
Extension: supported_groups (len=4)
 Type: supported_groups (10)
 Length: 4
 Supported Groups List Length: 2
 Supported Groups (1 group)
 Supported Group: secp256r1 (0x0017)
Extension: ec_point_formats (len=2)
 Type: ec_point_formats (11)
 Length: 2
 EC point formats Length: 1
 Elliptic curves point formats (1)
 EC point format: uncompressed (0)
Extension: signature_algorithms (len=10)
 Type: signature_algorithms (13)
 Length: 10
 Signature Hash Algorithms Length: 8
 Signature Hash Algorithms (4 algorithms)
 Signature Algorithm: rsa_pkcs1_sha256 (0x0401)
 Signature Hash Algorithm Hash: SHA256 (4)
 Signature Hash Algorithm Signature: RSA (1)
 Signature Algorithm: rsa_pkcs1_sha384 (0x0501)
 Signature Hash Algorithm Hash: SHA384 (5)
 Signature Hash Algorithm Signature: RSA (1)
 Signature Algorithm: rsa_pkcs1_sha512 (0x0601)
 Signature Hash Algorithm Hash: SHA512 (6)
 Signature Hash Algorithm Signature: RSA (1)
 Signature Algorithm: rsa_pkcs1_sha1 (0x0201)
 Signature Hash Algorithm Hash: SHA1 (2)
 Signature Hash Algorithm Signature: RSA (1)

Picture of Klaus-Dieter 5075
Registered 4 years 92 days
Klaus-Dieter 5075 Friday, 4 September 2020, 06:36 PM
Re: 12r2v30 : LDAP/TLS welche CipherSuites werden verwendet?
Hintergrund zu der Frage:

wir wollen OpenLDAP als Telefonbuch Directory einsetzen.
Dafür gibt es auch einen vorbereiteten Docker Container:

Nur leider kommt es zu oben angegebenen Fehlermeldung.

Ursache: Innovaphone bietet beim TLS Zugriff nur RSA Verfahren an
(TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) während der Container nur das (modernere/sichere?) ECDSA Verfahren anbietet.
.
Wenn gewünscht kann ich eine Konfiguration posten, wie man die beiden dazu bekommt miteinander zu sprechen smile

Picture of Volker Schmid (innovaphone)
Moderator Registered 13 years 18 days
Volker Schmid (innovaphone) Monday, 7 September 2020, 02:56 PM
Re: 12r2v30 : LDAP/TLS welche CipherSuites werden verwendet?
Hallo,
die V13 möglichen CipherSuites sind im Wiki bei Security aufgeführt.
Die Einstellung der Profile erfolgt in der PBX unter IP4/General/TLS .
Die Suites für RSA, DHE_RSA und ECDHE_RSA sind damit für alle Protokolle verwendbar.
Die Verwendung von ECDHE_ECDSA gibt es nur für VoIP-Calls mit aktivem DTLS - nicht generell.
Gruß

Edit: gem. unserer Entwicklung kann man wohl bei TLS 1.2 bleiben und dort zusätzliche Ciphersuites mit der Containeroption LDAP_TLS_CIPHER_SUITE anschalten.
https://github.com/osixia/docker-openldap#tls
← You can define your color theme preference here