嗨，我想询问有关SIP处理程序-SIP终端对TLS加密的支持。

它需要服务器证书和根CA证书。它们将分别安装在电话服务器和由SIP处理器控制的SIP终端上。

我可以使用我们的加密来生成这些吗？

希望能得到一些帮助。我对认证不是很熟悉。

感谢您的回复。抱歉，我不是很熟悉。我想我真的得读很多书。

我附上了我们想要使用的计划的PDF。

希望这能有所帮助。

再次感谢您。数字证书是一种小文档，它声明特定的加密密钥有效，可以与特定的Internet域名或其他类型的标识符一起使用。他们的主要好处是防止中间人的攻击。

En.wikipedia.org

中间人攻击

在密码学和计算机安全中，中间人攻击(MITM)是一种攻击者秘密中继并可能更改双方之间的通信的攻击，这些双方认为自己正在直接相互通信。MITM的一个例子是主动窃听，在这种情况下，攻击者与受害者建立独立的连接，并在他们之间转发消息，使他们相信他们是通过私人连接直接相互交谈，而实际上整个...

在没有证书验证的情况下，这可以容易地由任何网络运营商执行，或者有时可以由能够黑进DNS服务器或网络路由器的人来执行。中间人攻击的效果将是消除了加密的好处，即对通过加密连接发送的数据进行保密和身份验证。

由We‘s Encrypt颁发的证书可用于保护使用TLS协议的任何类型的连接。大多数情况下，这是用于安全网站的HTTPS，但它也可能是许多其他不同类型的互联网协议(包括SIP)。

我们要加密的证书称为终端实体证书或叶证书，因为它们指的是将使用证书保护连接的实际实体，如Internet服务器。证书由证书颁发机构颁发，该颁发机构本身由称为颁发者证书、中间证书或链证书的证书描述。中间证书由由根证书描述的可信的根证书颁发机构颁发。建立TLS连接的软件将需要有一组它信任的证书颁发机构，然后它可以验证它收到的证书，以查看它们是否是由客户端软件受信任根集的一部分颁发的机构颁发的。

使用像We‘s Encrypt这样的公开信任的CA的优势在于，我们的证书可以被非常广泛的设备和软件信任，因为我们自己的根证书(在某些情况下)和另一个名为IdenTrust的根证书(在大多数情况下)已经包括在许多主流设备和软件的受信任根集中。我们遵循行业规则和审计程序，旨在允许我们签发可以得到普通公众信任的证书。

如果您有一个控制设备的封闭环境，则不一定需要公开信任的证书，因为您可以颁发自己的证书，然后告诉您的设备这些证书是有效的(您知道它们是有效的，因为它们是您自己创建的！)。有多种方法可以做到这一点，最佳选择取决于您的环境的性质，包括客户端和服务器计算机的数量以及有多少不同的人操作它们。

如果您选择使用We‘s Encryption，则需要进行某种可见的更改，以便向证书颁发机构证明您确实控制了您请求的证书所涵盖的域名。

Letsencrypt.org

工作原理-让我们加密-免费的SSL/TLS证书

让我们加密和ACME协议的目标是使设置HTTPS服务器成为可能，并使其自动获得浏览器信任的证书，而无需任何人工干预。这是通过运行证书来实现的。

然后你的We‘s Encrypt软件将获得一个证书，然后你可以将它安装在你的服务中(尽管证书的有效期只有90天，所以编写一种自动续订的方法是非常有价值的)。连接到它的客户端可能已经接受了IdenTrust根，因此如果您将我们提供的中间证书与您的终端实体证书一起提供，客户端可能已经接受该证书是有效的。如果您控制客户端，您还可以将我们的中间证书指定为可信的颁发者证书，以确保客户端接受它。

非常感谢你给我这个有用的信息。

目前正在阅读这篇文章，并引用了您发送的链接。