Zertifikats-Pfad (Certificate Chain)
Beim Verbindungsaufbau übermittelt der M-net SBC sein Zertifikat an die Gegenstelle (IP-PBX, Softphone, etc.) als Identitätsnachweis. Damit diese die Gültigkeit der Zertifikats-Signatur prüfen kann und das Zertifikat für den verschlüsselten Tunnel akzeptiert, ist der Zertifikats-Pfad (Certificate Chain) ausschlaggebend. Die Zertifikate für business.mnet-voip.de lassen sich über zwei Pfade verifizieren. Abhängig von ggf. bereits existierenden vertrauenswürdigen CA-Zertifikaten bietet sich die Verwendung von Variante A oder B an:
Variante A - SBC Zertifikat: business.mnet-voip.de
signiert von
Root CA: COMODO RSA Certification Authority
X509v3 Subject Key Identifier:
BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4
Download [Root] Comodo RSA Certification Authority (SHA-2)
Variante B - wird nicht mehr unterstützt
Diese Zertifikatskette wird nicht mehr unterstützt:
Intermediate CA: COMODO RSA Organization Validation Secure Server CA
X509v3 Subject Key Identifier:
9A:F3:2B:DA:CF:AD:4F:B6:2F:BB:2A:48:48:2A:12:B7:1B:42:C1:24
Intermediate CA: COMODO RSA Certification Authority (Intermediate)
X509v3 Subject Key Identifier:
BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4
Root CA: AddTrust External CA Root
X509v3 Subject Key Identifier:
AD:BD:98:7A:34:B4:26:F7:FA:C4:26:54:EF:03:BD:E0:24:CB:54:1A
Um die Signatur-Gültigkeit der business.mnet-voip.de-Zertifikate prüfen zu können, muss die Gegenstelle sowohl die Intermediate CA(s) als auch die Root CA kennen. Das bedeutet, alle CA-Zertifikate einer Kette müssen installiert und als „vertrauenswürdig“ deklariert sein. Leider ist es stark Software-abhängig, ob und wie Intermediate- und Root-Zertifikate eingerichtet werden. Teilweise können diese separat eingerichtet werden, teilweise wird ein „Bundle“ oder eine „Chain“ akzeptiert, welche beide Zertifikate enthalten. Sollte eine Gegenstelle gar keine Certificate Chain akzeptieren, kann es u.U. ausreichen, zumindest das Intermediate-Zertifikat einzurichten.