管理 TLS 证书

Yeastar P 系列 IPPBX支持 TLS 协议。使用 TLS 协议之前,你需要上传相关的证书到 PBX,或直接在 PBX 上申请 TLS 服务器证书。

背景信息

在 PBX 上启用 TLS 协议后,你需要根据实际情况上传不同的 TLS 证书:
  • 当 PBX 作为 TLS 服务器时,你需要上传服务器证书。

    如果 PBX 要求验证 TLS 客户端(PBX 设置 > SIP 设置 > TLS > 验证 TLS 客户端),你需要分别上传客户端证书到 PBX 和 TLS 客户端,否则无法建立 TLS 连接。更多信息,请参见 上传 TLS 客户端证书.

  • 当 PBX 作为 TLS 客户端时,是否需要上传客户端证书取决于 TLS 服务器的设置。

    如果 PBX 要求验证 TLS 服务器(PBX 设置 > SIP 设置 > TLS > 验证 TLS 服务端),你需要上传服务器证书到 PBX,或直接在 PBX 上申请服务器证书。更多信息,请参见 上传 TLS 服务器证书申请 TLS 服务器证书

上传 TLS 服务器证书

前提条件
准备 .pem 格式的服务器证书。
操作步骤
  1. 登录 PBX 管理网页,进入 安全 > 安全设置 > 证书,点击 添加

    页面弹出一个窗口,要求选择证书类型并上传证书。

    注: 支持上传或申请的服务器证书总数最多为 3 份。
  2. 证书类型 下拉列表中,选择 PBX 证书
  3. 选择 上传证书文件,然后完成以下设置。

    1. 请选择证书 栏,点击 浏览,选择证书上传。
    2. 如果你想要让 PBX 自动刷新证书,勾选 自动刷新证书,并配置 DNS 提供商信息。
      注: 仅支持自动刷新 Let's Encrypt 证书。若该证书不是 Let's Encrypt 证书,则 PBX 会自动申请新的 Let's Encrypt 证书。
      • DNS提供商:从 LEGO's DNS 提供商 列表中搜索并选择你的 DNS 提供商。
      • 鉴权信息:添加一到多个必需的鉴权参数,并填写对应值。
        注: 不同 DNS 提供商鉴权信息不同,你需要在填写前确认具体的鉴权参数名称。
  4. 点击 保存
执行结果
  • 证书上传成功,显示在 证书 列表。
  • 若启用自动刷新证书功能,系统将在证书到期前 7 天,通过配置的 DNS 提供商自动刷新证书。

申请 TLS 服务器证书

你可以直接在 PBX 上申请一个 TLS 服务器证书。
操作步骤
  1. 登录 PBX 管理网页,进入 安全 > 安全设置 > 证书,点击 添加

    页面弹出一个窗口,要求选择证书类型并上传证书。

    注: 支持上传或申请的服务器证书总数最多为 3 份。
  2. 证书类型 下拉列表中,选择 PBX 证书
  3. 选择 申请证书,并完成以下设置。

    • 颁发给:填写需要申请证书的域名。
    • DNS提供商:从 LEGO's DNS 提供商 列表中搜索并选择你的 DNS 提供商。
    • 鉴权信息:添加一到多个必需的鉴权参数,并填写对应值。
      注: 不同 DNS 提供商鉴权信息不同,你需要在填写前确认具体的鉴权参数名称。
  4. 点击 保存
执行结果
  • PBX 会自动通过配置的 DNS 提供商申请 Let's Encrypt 证书。获取的证书文件以域名命名。
  • 若证书申请成功,则 申请状态 显示为 “-”。

上传 TLS 客户端证书

前提条件
准备 .cer.crt 格式的客户端证书。
操作步骤
  1. 登录 PBX 管理网页,进入 安全 > 安全设置 > 证书,点击 添加
    注: 支持上传最多 20 份受信任证书。
  2. 证书类型 下拉列表中,选择 受信任证书
  3. 点击 浏览,选择证书。
  4. 点击 上传
执行结果
证书上传成功,显示在 证书 列表。