3CX Yealink - Kein Service - 05.10.2021
von Thomas Windscheif / Microlinc
3CX
yealink T48S
yealink T46S
LetsEncrypt
Am 30.September ist das Letsencrypt-Zertifikat "/O=Digital Signature Trust Co./CN=DST Root CA X3" abgelaufen (siehe auch https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190/212.
Leider hat der certbot der den Renewal-Prozess der Lets Encrypt-Zertifikate triggert wohl immer noch die alte Chain genutzt.
Die via TLS (Secure SIP) verbundenen Yealink-Telefone meldeten sich beim Kunden jedenfall mit "Kein Service" ab und wollten sich nur noch verbinden, wenn man das SIP-Konto auf UDP umgestellt hat.
Das Logbuch des Telefons kann man hier herunterladen:
Im Logbuch des Telefons kann man den Fehler wunderbar nachvollziehen:
[255] verify error:num=10:certificate has expired:depth=3:/O=Digital Signature Trust Co./CN=DST Root CA X3
[255] X509_V_ERR_CERT_HAS_EXPIRED issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[255] depth=3:/O=Digital Signature Trust Co./CN=DST Root CA X3
[255] depth=2:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
[255] depth=1:/C=US/O=Let's Encrypt/CN=R3
[255] depth=0:/CN=[Platzhalter]
Lösung ist die erzwungene Erneuerung des Zertifikats via 3CX Command line:
siehe https://www.3cx.com/community/threads/lets-encrypt-certificate-renewal.76721/post-349603
- In der 3CX WebUI den Parameter "TEMPORARY_SELF_SIGNED_CERTIFICATE_GENERATED" auf 1 setzen:
Settings > Parameters
- Unter Debian via SSH anmelden und dann den folgenden Befehl absetzen:
/usr/lib/3cxpbx/PbxConfigTool -renew-certificates - Anschließend die betroffenen Telefone und ggf. die 3CX einmal neustarten
- Unter Windows wechselt man in den Pfad "%PROGRAMFILES%\3CX Phone System\Bin\" und gibt den nachfolgenden Befehl ein:
PbxConfigTool.exe” -renew-certificates