TLS トランクトランスポートプロトコル仕様


あなたのようにTLSを選択すると、 トランク BYOC構内やBYOCクラウドのためのトランスポートプロトコルは、セキュアなトランクを作成することができます。具体的には、BYOCのセキュアトランクにより、リモートVoIPエンドポイントは、SIP TLS(SIPS)およびセキュアRTP(SRTP)を使用してPureCloud安全に通信できます。安全なVoIP通話は、通話の制御(シグナリング)とメディア(音声)の両方を保護します。

詳細については、 トランク転送プロトコルを選択してください

警告:トランク転送プロトコルを選択するときは、 トランク両端を同じプロトコルを使用するように構成することが重要です。同じプロトコルを使用しない場合、 トランクは機能しません。


あなたのようにTLSを選択すると、 トランク BYOC構内のためのトランスポートプロトコル、あなたが直接顧客との間の安全なトランクを確立エンドポイントとPureCloudエッジ。組織固有の認証局は、各署名サーバ証明書発行PureCloudエッジTLS エンドポイント 。組織のルート認証局は、SIPサービスを管理する有効な証明書です。

PureCloud内から組織の公開鍵証明書を取得できます。詳細については、 認証局を構成する

外部トランク構成でトランスポートとメディアのセキュリティ設定を調整できます。詳細については、 外部トランク設定


要件

安全なセットアップするにはトランク BYOCクラウドのために、あなたのキャリアやテレフォニープロバイダは、TLSおよびSRTPを使用してSIPとの安全なVoIP接続をサポートしている必要があります。BYOC Cloudは、セキュアトランクのIPSECをサポートしていません。セキュアなクラウドBYOC設定トランク非セキュアに似ているトランクわずか数、代替設定で。セキュアトランクはそうします。ただし、接続が成功するための追加要件があります。

接続

コールの発信元デバイスがVoIP接続を開始します。ただし、両方のVoIPエンドポイントはサーバーとクライアントの両方として機能します。発信(着信)呼び出しと着信(発信)呼び出しの両方について、両方のエンドポイントにセキュアなTLS接続を構成します。どちらのVoIPエンドポイントは、パブリック認証局によって署名されたX.509証明書と各クライアントを持っている必要がありますエンドポイントサーバーに署名した認証局を信頼する必要があります。

BYOCクラウドのセキュアトランクは、非セキュアカウンターポイントと同じVoIPエンドポイントに接続します。これらの接続アドレスの詳細については、 BYOCクラウドのパブリックSIP IPアドレス

ポートとプロトコルのバージョン

BYOC Cloudは、TLSバージョン1.2プロトコルを使用するエンドポイントのみをサポートします。

サポートされているTLS暗号は次のとおりです。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256

TLSのみのリスナーは、ホストポート5061で使用できます。

証明書の信頼

クライアントは、サーバーへの安全な接続を作成するときに、証明書の有効性を確認します。証明書は、含まれているキーの正当性を承認します。有効な証明書は次のとおりです。

証明する機関

信頼できる認証局は、有効な証明書を発行する必要があります。

カスタマーエンドポイントは、BYOC Cloudエンドポイントを信頼する必要があります。PureCloudは、公開認証局であるDigiCertによって発行されたX.509証明書でBYOCクラウドエンドポイントに署名します。より具体的には、BYOCクラウドエンドポイントに署名するルート認証局は、DigiCert高保証EVルートCAです。ルート公開鍵証明書は次からダウンロードできます。 DigiCert

注意: PureCloud再生したりBYOCクラウド置き換えエンドポイント証明書の秘密鍵の変更を。サーバー証明書自体は予告なく変更される可能性があるため、サーバー証明書自体を信頼しないことが重要です。問題を防ぐために、ルート証明書を信頼するように顧客のエンドポイントを構成します。ルート証明書が変更された場合、 廃止通知が表示されPureCloud リリースノート

BYOCクラウドエンドポイントは、顧客のエンドポイントも信頼する必要があります。BYOC Cloudエンドポイントが顧客のエンドポイントを信頼するには、これらの公的認証局の1つが顧客のエンドポイントに署名する必要があります。

  • Amazon Trust Services
  • コモド/セチゴ
  • DigiCert /シマンテック/ベリサイン
  • 委ねる
  • GoDaddy /スターフィールド
  • ネットワークソリューション
  • テリア・ソネラ
  • ツワテ

サブジェクト名の検証

有効な証明書は、のサブジェクト名含まれている必要があります場所クライアントが接続されていること(URI)を。

セキュア接続のクライアントは、サブジェクト名の検証を使用して、リモートエンドポイント自分自身を予想されるターゲットとして識別するようにします。サーバー証明書に、クライアントの接続先の名前が共通名またはサブジェクトの別名として含まれていない場合、クライアントはその接続を拒否する必要があります。

警告: ターゲット名を検証できない接続は、なりすましおよび接続ハイジャックのリスクがあります。

サブジェクト名の検証を確実に成功させるために、BYOC Cloudへの接続では、次の表を潜在的なエンドポイントのリストとして使用します。

 

一般名
lb01.byoc.us-東1。 mypurecloud.com
lb02.byoc.us東-1。 mypurecloud.com
lb03.byoc.us東1。 mypurecloud.com
lb04.byoc.us東1。 mypurecloud.com

一般名
lb01.byoc.usw2.pure.クラウド
lb02.byoc.usw2.pure.クラウド
lb03.byoc.usw2.pure.クラウド
lb04.byoc.usw2.pure.クラウド

一般名
lb01.byoc.eu-west-1.mypurecloud.ie
lb02.byoc.eu-west-1.mypurecloud.ie
lb03.byoc.eu-west-1.mypurecloud.ie
lb04.byoc.eu-west-1.mypurecloud.ie

一般名
lb01.byoc.eu-central-1.mypurecloud.de
lb02.byoc.eu-central-1.mypurecloud.de
lb03.byoc.eu-central-1.mypurecloud.de
lb04.byoc.eu-central-1.mypurecloud.de

一般名
lb01.byoc.ap-南東-2. mypurecloud.com.au
lb02.byoc.ap-南東-2. mypurecloud.com.au
lb03.byoc.ap-南東-2. mypurecloud.com.au
lb04.byoc.ap-南東-2. mypurecloud.com.au

一般名
lb01.byoc.ap-northeast-1.mypurecloud.jp
lb02.byoc.ap-northeast-1.mypurecloud.jp
lb03.byoc.ap-northeast-1.mypurecloud.jp
lb04.byoc.ap-northeast-1.mypurecloud.jp

一般名
lb01.byoc.apne2.pure.クラウド
lb02.byoc.apne2.pure.クラウド
lb03.byoc.apne2.pure.クラウド
lb04.byoc.apne2.pure.クラウド

一般名
lb01.byoc.euw2.pure.クラウド
lb02.byoc.euw2.pure.クラウド
lb03.byoc.euw2.pure.クラウド
lb04.byoc.euw2.pure.クラウド

一般名
lb01. byoc.cad.pure.クラウド
lb02. byoc.cad.pure.クラウド
lb03. byoc.cad.pure.クラウド
lb04. byoc.cad.pure.クラウド

公的認証機関は、 トランクのSIPサーバーまたはプロキシの値として使用される共通名またはサブジェクトの別名で顧客エンドポイント X.509証明書に署名する必要があります。BYOC エンドポイントホスト名で接続を検証する- IPアドレスは受け入れられません。BYOCクラウドトランクの詳細については、 作成BYOCクラウドトランク

日付検証

有効な証明書は、有効期限を過ぎてはならず、有効期限内でなければなりません。

X.509証明書には有効期間があります。これは、証明書がいつ受け入れられるかを指定する日付範囲です。近くまたは有効期限の日付で、 PureCloud更新エンドポイント拡張検証期間を含む新しい証明書付きの証明書。

警告:アクティブな証明書の有効期限が切れているか、まだ有効でない場合、安全なネットワーク接続は失敗します。

証明書 失効リスト

有効な証明書は、アクティブに発行された証明書であり、機関の失効リストに含まれていない必要があります。

公的認証局がX.509証明書に署名すると、証明書失効リストのアドレスが含まれます。公的認証局は、失効リストに追加することにより、有効期限が切れる前に証明書を失効させることができます。セキュアクライアントは、接続を確立するときに失効リストをチェックし、証明書が有効であることを確認します。通常、公開認証局は、キーペアのセキュリティが侵害された場合、 エンドポイント公開証明書を失効させます。

警告:あなたは正しく顧客を設定しない場合はエンドポイント証明書からのアウトバウンドコールPureCloud失敗することがあります。

SIP URI

SIP URIは、VoIP エンドポイントを接続するメカニズムエンドポイント 。各VoIP エンドポイントには、それぞれのリモートピアに接続するための対応するSIP URIがあります。URIには、プロトコル、宛先番号、およびリモートホストを含むDNSホスト名の形式でSIPデバイスのリモートアドレスが含まれます。

URIには、ホスト名に加えて、接続を制御する属性を含めることもできます。URIのユーザー部分とホスト部分に属性を適用します。URIが正しく動作するためには、URIの適切な部分に属性を適用する必要があります。

プライマリ属性は、 トランク選択とトランスポートプロトコルを指定します。安全な接続では、トランスポートは、 属性 TLSトランスポートプロトコルを指定します。

属性 属性場所 説明
トランスポート ホスト 転送プロトコル UDP | TCP | TLS
TGRP ユーザー トランクグループラベル ユーザー定義の着信SIP終了識別子
トランクコンテキスト ユーザー トランクグループ名前空間 地域固有の名前空間

詳細については、「受信」セクションを参照してください BYOCクラウドのためのSIPルーティングを設定するトランク

着信SIPルーティング

あなたはBYOCクラウドは、TLSを使用するためのセキュアなSIPを使用すると、 PureCloudあなたが着信SIPルーティングにTGRPを使用して、各プロキシの明確なURIのセットを使用することをお勧めします。ただし、インバウンドルーティング方法を選択するときに考慮する必要がある他のオプションがいくつかあります。

TGRP(トランクグループルーティングプロトコル)

ベストプラクティスは、それがすることができますようTGRP構成を使用することであるトランク SIP URIの属性に基づいて選択。TGRP属性はルーティングを制御するため、リクエストURIのホスト名は、X.509証明書の共通名またはサブジェクト代替名として定義された値に設定されます。この構成により、サブジェクト名の検証が成功します。

DNIS(ダイヤル番号識別サービス)

DNISルーティングは、セキュアBYOCクラウドトランクで機能する場合があります。ただし、サブジェクト名の検証により、このルーティングオプション実行可能性が制限される場合があります。キャリアがSIP URIの制御を制限し、代わりにIPアドレスを好む場合、通常DNISルーティングを使用します。X.509証明書のサブジェクト名の検証は、サポートされているホスト名ではなく、IPアドレスに呼び出しが直接送信されると失敗します。

FQDN (完全修飾ドメイン名)

FQDNはセキュアBYOCクラウドトランクで動作する可能性があります; FQDNがあるのでしかし、X.509証明書のサブジェクト名の検証が合格しないと予想されるユーザー -defined。ワイルドカード証明書がサポートできるユーザー -defined名が、理由は、いくつかのSIPデバイスのサポートの欠如の使用されていません。TLSのSRVレコードが利用可能であり、プロキシ証明書にはSRVレコード名が含まれています。ただし、公的認証機関では、一般名およびサブジェクトの別名にアンダースコア文字を使用することは許可されていません。さらに、証明書にリソースレコード名を含めることはできません。リモートSIPデバイスがリソースレコード名証明書を検証すると、検証は失敗します。

詳細については、「受信」セクションを参照してください BYOCクラウドのためのSIPルーティングを設定するトランク

SIP URIを正しく構成するために、次の例はTGRPを使用した接続用です。この例は、各BYOC SIPプロキシ間でコールを配信するために使用される、現在必要なすべてのホストエントリを示しています。また、X.509証明書のサブジェクト名検証に合格するために使用される各プロキシのFQDNホスト名も表示されます。このプロトコルは、リモートエンドポイントが安全な接続を開始することを保証するために提供されています。