Мы выпустили исправление для клиентов, на которых повлияла проблема с устаревшим сертификатом перекрестного подписания Let’s Encrypt. Cross-signing certificate by Let’s Encrypt – один из наиболее популярных на сегодня глобальных SSL/TLS сертификатов.
Описание проблемы
3CX устанавливает цепочку сертификатов используя популярный проект certbot, который широко применяется для получения и настройки сертификатов Let’s Encrypt на веб-серверах. Эта технология хорошо работает для браузеров Chrome и Firefox, новых устройств Android и iOS, но может вызывать проблемы совместимости у IoT-устройств, таких как IP-телефоны.
Чтобы решить проблему, необходимо удалить из конфигурации последний сертификат в цепочке. Однако это может вызвать проблемы совместимости со старыми устройствами Andrid (7.1.1 и старше).
3CX автоматически обновляет сертификаты каждые 90 дней. Поэтому, возможно у вас уже установлена актуальная цепочка сертификатов. Если это не так, могут возникать следующие проблемы:
- Не работает автонастройка телефонов.
- Телефон не загружает телефонную книгу и логотип компании.
- Телефон не работает в посменном режиме (переключение между пользователями).
Обратите внимание, что на IP-телефонах должна быть установлена последняя прошивка, включающая новую цепочку сертификатов Let’s Encrypt. Еще летом мы связались с производителями всех поддерживаемых телефонов, чтобы они включили в прошивки новый сертификат для всех актуальных устройств. Если вы до сих пор не обновили прошивки, возможно это придется сделать вручную. Список актуальных прошивок доступен здесь.
Стоит отметить, что проблема с сертификатом не влияет на, собственно, звонки, работу BLF-индикаторов и TLS- подключения SIP-транков.
Необходимые действия
- Если ваша система размещена на “Хостинге 3CX”, ничего делать не нужно.
- Если вы не используете IP-телефоны и не столкнулись с вышеперечисленными проблемами, никаких действий предпринимать не нужно – в течение 90 дней ваша система автоматически обновит цепочку сертификатов.
- Если вы используете собственный FQDN сервера, оцените возможные сложности и примените подходящее в вашем случае решение.
- Если вы или ваши клиенты все-таки столкнулись с вышеуказанными ограничениями, установите данное исправление (Hotfix). Обратите внимание, что хотфикс предназначен только для FQDN и сертификатов от 3CX.
Установка исправления Let’s Encrypt для V16 и V18
Исправление доступно только для пользователей 3CX V16 и V18. Для его установки:
- В интерфейсе управления 3CX перейдите в раздел “Updates”.
- Выберите “3CX FQDN Let’s Encrypt Hotfix”.
Исправление также может быть установлено автоматически, если в системе включено автообновление.