TLSトランク転送プロトコルの仕様

When you select TLS as the trunk transport protocol for BYOC Cloud or BYOC Premises, you can create secure trunks using TLS over TCP. Secure trunks for BYOC allow remote VoIP endpoints to communicate with Genesys Cloud securely using SIP TLS (SIPS) and Secure RTP (SRTP). Secure VoIP calls protect both the control (signaling) and the media (audio) of the call.

詳細については、 トランク転送プロトコルを選択するをご覧ください。

警告:  トランク転送プロトコルを選択するときは、 トランク両端を同じプロトコルを使用するように構成することが重要です。 同じプロトコルを使用しない場合、 トランクは機能しません。

要件

BYOC Cloud 用の安全なトランクを設定するには、通信事業者または電話プロバイダーが、TLS over TCP および SRTP を使用した SIP による安全な VoIP 接続もサポートしている必要があります。BYOCクラウドはセキュアトランクのためにIPSECをサポートしていません。安全な BYOC クラウド トランクの設定は、いくつかの代替設定を除いて、安全でないトランクの設定と似ています。セキュア トランクはそうしますが、接続を成功させるには他の要件も必要です。

接続

通話の発信元デバイスが VoIP 接続を開始します。ただし、両方のVoIPエンドポイントがサーバーとクライアントの両方として機能します。発信(着信)コールと着信(着信)コールの両方に対して、両方のエンドポイントにセキュアTLS接続を設定します。両方のVoIPエンドポイントはパブリック認証局によって署名されたX.509証明書を持っている必要があり、各クライアントエンドポイントはサーバーに署名した認証局を信頼している必要があります。両方の接続は一方向またはサーバー側 TLS を使用しますが、相互 TLS (MTLS) はサポートされていません。

BYOC Cloud用のセキュアトランクは、セキュアでない相手と同じVoIPエンドポイントに接続します。 これらの接続アドレスの詳細については、 BYOCクラウドパブリックSIP IPアドレスをご覧ください。

ポートとプロトコルのバージョン

BYOC CloudはTLSバージョン1.2プロトコルを使用するエンドポイントのみをサポートします。

サポートされているTLS暗号は次のとおりです。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA*
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384*
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256*
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384*

* For elliptic curve Diffie-Hellman ephemeral (ECDHE) key exchanges only secp384r1 (NIST/SECG curve over a 384-bit prime field) elliptical curves are supported.

TLSのみのリスナーは、ホストポート5061で利用できます。

証明書の信頼

クライアントは、サーバーへの安全な接続を確立するときに証明書の有効性を確認します。 証明書は含まれているキーの正当性を承認します。 有効な証明書は以下を順守します。

証明する機関

信頼できる認証局は、それが有効であるために証明書を発行する必要があります。

顧客エンドポイントはBYOCクラウドエンドポイントを信頼する必要があります。 Genesys Cloudは、公的認証機関であるDigiCertが発行するX.509証明書でBYOC Cloudエンドポイントに署名します。 具体的には、BYOC クラウド エンドポイントに署名するルート証明機関はリージョンごとに分離されており、DigiCert High Assurance EV Root CA または DigiCert Global Root G2/DigiCert Global Root G3 のいずれかによって承認された証明書を使用します。お住まいの地域に適したルート公開鍵証明書を DigiCert からダウンロードできます。

Root certificates

Genesys Cloud regenerates or replaces the BYOC Cloud endpoint certificates when the private key changes. It is important not to trust the server certificate itself as it could change without notice. You configure the customer endpoints to trust the root certificate to prevent any issues. In the event the root certificate changes, deprecation notifications appear in the Genesys Cloud Release Notes.

証明書のファイル形式

Root CA certificates are available in two different file formats: DER and PEM. Both of these file formats contain the same data, but they differ in how they are encoded. Only download the file format that best suits your system.

  • DER 証明書は、Distinguished Encoding Rules(DER)方式でエンコードされ、バイナリ形式となる。 DER 証明書は、Java ベースのシステムでの使用を意図している。
  • PEM証明書は、Privacy-Enhanced Mail(PEM)方式でエンコードされ、base64エンコードされたフォーマットである。 PEM証明書は、Unixベースのシステムでの使用を意図している。

地域別認証局

DigiCert High Assurance EV Root CA の証明書を使用する地域は以下の通り:

  • アジア・パシフィック(東京)/apne1
  • アジア・パシフィック(ソウル)/apne2
  • アジア・パシフィック(シドニー)/apse2
  • アジア・パシフィック(ムンバイ)/APS1
  • カナダ(中部)/cac1
  • ヨーロッパ(フランクフルト)/euc1
  • ヨーロッパ(アイルランド)/euw1
  • ヨーロッパ(ロンドン)/euw2
  • 南米(サンパウロ)/sae1
  • 米国東部(バージニア北部)/使用1
  • 米国東部(オハイオ州)/use2
  • アメリカ西部(オレゴン州)/usw2

 メモ:   これらの地域では、最終的にDigiCert Global Root G2 および DigiCert Global RootG3 への移行が必要となる。 Genesysは、将来の移行に備えるため、EVルートだけでなく、G2ルートとG3ルートを信頼することを推奨します。

DigiCert High Assurance EVルートCA証明書を、お使いのシステムに最適なファイル形式でダウンロードする。

DigiCert Global Root G2 証明書を、お使いのシステムに最適なファイル形式でダウンロードしてください。

DigiCert Global Root G3 証明書を、お使いのシステムに最適なファイル形式でダウンロードしてください。

DigiCert Global Root G2 および DigiCert Global RootG3 の証明書を使用するリージョンは以下のとおり:

  • アジア・パシフィック(大阪)/apne3 
  • ヨーロッパ(チューリッヒ)/euc2
  • 中東(UAE)/mec1

 メモ:   これらの地域では現在、DigiCert Global Root G2を使用しているが、将来的にはDigiCert Global Root G3に切り替える可能性がある。 Genesysのベストプラクティスは、両方の証明書を信頼することである。

DigiCert Global Root G2 証明書を、お使いのシステムに最適なファイル形式でダウンロードしてください。

DigiCert Global Root G3 証明書を、お使いのシステムに最適なファイル形式でダウンロードしてください。


BYOCクラウドエンドポイントもカスタマー エンドポイントを信頼する必要があります。 BYOC Cloudエンドポイントがカスタマーのエンドポイントを信頼するには、これらの公的認証局の1つがカスタマーのエンドポイントに署名する必要があります。

  • アクタリス
  • アマゾントラストサービス
  • セルタム
  • DigiCert / QuoVadis / Symantec / Thawte / Verisign 
  • 委託
  • グローバルサイン
  • ゴーダディ/スターフィールド 
  • インターネットセキュリティ研究グループ
  • ネットワークソリューション
  • Sectigo / AddTrust / Comodo / UserTrust
  • スイスサイン
  • テリア/テリアソネラ 
  • Trustwave / セキュアトラスト / バイキングクラウド

BYOC クラウド SIP サーバーからセキュアな SIP TLS 接続を受信するすべてのリモートエンドポイン トには、証明書を設定する必要があります。 この証明書は、Genesys Cloud BYOC クラウド SIP サーバが信頼するルート認証局の 1 つが発行する中間認証局によって署名されるか、または一般的に署名されます。 証明書が署名されていない場合、接続は失敗する。 リモート・エンドポイントは、TLSハンドシェイクにおいて、エンドエンティティ証明書とすべての中間認証局を提示すべきである。


証明する機関 ルート証明書のコモンネーム 件名ハッシュ
アクタリス

Actalis 認証ルート CA

930ac5d2

アマゾントラストサービス

Amazon ルート CA 1

ce5e74ef

アマゾントラストサービス

Amazon ルート CA 2

6d41d539

アマゾントラストサービス

アマゾンルートCA 3

8cb5ee0f

アマゾントラストサービス

Amazon ルート CA 4

デ6d66f3

セルタム

サータム CA

442adcac

セルタム

Certum 信頼ネットワーク CA

48bec511

セルタム

Certum 信頼ネットワーク CA 2

40193066

デジサート

DigiCert グローバルルート CA

3513523f

デジサート

DigiCert 高保証 EV ルート CA

244b5494

デジサート

デジサート・グローバルルートG2

607986c7

デジサート

デジサート・グローバルルートG3

dd8e9d41

デジサート

デジサートECC P384 ルートG5

c1223238

デジサート

デジサートRSA4096ルートG5

9ccd262b

デジサート

DigiCert TLS ECC P384 ルートG5

9846683b

デジサート

DigiCert TLS RSA4096 ルート G5

d52c538d

デジサート / クオバディス

QuoVadis ルート CA 2

d7e8dc79

デジサート / クオバディス

QuoVadis ルート CA 3

76faf6c0

デジサート / クオバディス

クオバディス ルート CA 1 G3

749e9e03

デジサート / クオバディス

クオバディス ルート CA 2 G3

064e0aa9

デジサート / クオバディス

クオバディス ルート CA 3 G3

e18bfb83

デジサート

thawte プライマリルートCA

2e4eed3c

デジサート

thawte プライマリルート CA - G2

c089bbbd

デジサート

thawte プライマリルート CA - G3

ba89ed3b

デジサート

thawte プライマリルート CA - G4

854dca2b

デジサート / ベリサイン

ベリサインClass 3パブリック一次認証局 - G5

b204d74a

委託

Entrustルート認証局

6b99d060

委託

Entrust.net認証局 (2048)

aee5f10d

委託

エントラスト ルート認証局 - EC1

106f3e4d

委託

エントラスト ルート認証局 - G2

02265526

委託

エントラスト ルート認証局 - G3

425d82a9

委託

エントラスト ルート認証局 - G4

5e98733a

グローバルサイン

グローバルサイン・ルートE46

フェフド413

グローバルサイン

グローバルサイン・ルートR46

002c0b4f

グローバルサイン

GlobalSign ルート CA - R3

062cdee6

グローバルサイン

GlobalSign ECC Root CA - R4

b0e59380

グローバルサイン

GlobalSign ECC Root CA - R5

1d3472b9

グローバルサイン

GlobalSign ルート CA - R6

dc4d6a89

ゴーダディ/スターフィールド

Go Daddy Class 2 認証機関

f081611a

ゴーダディ/スターフィールド

Go Daddy ルート認証局 - G2

cbf06781

ゴーダディ/スターフィールド

Go Daddyルート認証局 - G3

4b82aaf1

ゴーダディ/スターフィールド

Go Daddy ルート認証局 - G4

fd8d27e1

ゴーダディ/スターフィールド

スターフィールド・クラス2認証機関

f387163d

ゴーダディ/スターフィールド

Starfield ルート認証局 - G2

4bfab552

ゴーダディ/スターフィールド

Starfield ルート認証局 - G3

3661ca00

ゴーダディ/スターフィールド

Starfield ルート認証局 - G4

978d3d03

ゴーダディ/スターフィールド

Starfield Services ルート認証局 - G2

09789157

ゴーダディ/スターフィールド/アマゾントラストサービス

Starfield Services ルート認証局

006016b6

インターネット セキュリティ リサーチ グループ (ISRG)

ISRG Root X1

4042bcee

インターネット セキュリティ リサーチ グループ (ISRG)

ISRG Root X2

0b9bc432

ネットワークソリューション

Network Solutions認証局 (Dec-2029)

4304c5e5

ネットワークソリューション

ネットワーク・ソリューションズ認証局 (2030年12月)

4304c5e5

ネットワークソリューション

Network Solutions EV SSL CA

4df989ce

セクチゴ

AAA証明書サービス

ee64a828

セクチゴ

AddTrust 外部 CA ルート

157753a5

セクチゴ

COMODO ECC認証局

8c118

セクチゴ

COMODO RSA認証局

d6325660

セクチゴ

USERTrust ECC 認証局

f30dd6ad

セクチゴ

USERTrust RSA 認証局

fc5a8f99

セクチゴ

UTN-USERFirst-ハードウェア

b13cc6df

スイスサイン

スイスサイン シルバー CA - G2

57bcb2da

スイスサイン

スイスサインゴールドCA - G2

4f316efb

スイスサイン

スイスサインプラチナCA - G2

翻訳:

テリア

TeliaSonera ルート CA v1

5cd81ad7

テリア

Telia ルート CA v2

8f103249

トラストウェーブ

セキュアなグローバルCA

b66938e9

トラストウェーブ

SecureTrust CA

f39fc864

トラストウェーブ

Trustwave グローバル認証局

f249de83

トラストウェーブ

Trustwave グローバル ECC P256 認証機関

9b5697b0

トラストウェーブ

Trustwave Global ECC P384 認証局

d887a5bb

中間信頼のTLSハンドシェイク

TLSはハンドシェイクを使用して、2つのエンドポイント間の安全な接続をネゴシエートします。 ハンドシェイクは、公的証明書と接続固有の要件の両方を共有します。 クライアントはハンドシェイクを開始し、サーバーから安全な接続を要求します。 サーバーは、独自の署名済み証明書と証明書チェーン内のすべての中間証明書の両方を提供する必要があります。

The BYOC Cloud endpoints provide their own server certificate and all intermediate certificates in the certificate chain when acting as the server during the TLS handshake. The customer endpoints should only trust the DigiCert root certificate authority listed above.

BYOC Cloudエンドポイントは、上記のプロバイダからのルート認証局証明書のみを信頼します。 カスタマーのエンドポイントは、TLSハンドシェイク中にサーバーとして動作する場合、独自のサーバー証明書と証明書チェーン内のすべての中間証明書機関証明書の両方を提供する必要があります。

サブジェクト名検証

有効な証明書には、クライアントが接続した場所のサブジェクト名(URI)が含まれている必要があります。

セキュア接続のクライアントは、サブジェクト名検証を使用して、リモートエンドポイントが自分自身を予期されるターゲットとして識別していることを確認します。 サーバー証明書に、クライアントが接続されている名前が共通名またはサブジェクト代替名として含まれていない場合、クライアントはその接続を拒否する必要があります。

警告:  警告ターゲット名を検証できない接続は、なりすましや接続ハイジャックの危険があります。

サブジェクト名の検証が確実に成功するように、BYOC Cloudへの接続は次の表を潜在的なエンドポイントのリストとして使用します。

米国東部(N. バージニア)/ us-east-1

コモン ネーム

LB01.VOICE.USE1.PURE.CLOUド

lb02.voice.use1.pure.cloud(ピュアクラウド)

lb03.voice.use1.pure.cloud(ピュアクラウド

lb04.voice.use1.pure.cloud(ピュアクラウド

USイースト2(オハイオ州)/us-east-2

コモン ネーム

lb01.voice.use2.us-gov-pure.cloud

lb02.voice.use2.us-gov-pure.cloud

lb03.voice.use2.us-gov-pure.cloud

lb04.voice.use2.us-gov-pure.cloud

米国西部(オレゴン)/ us-west-2

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

カナダ(Canada Central)/ ca-central-1

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

南米(サンパウロ)/SAE1

コモン ネーム

LB01.VOICE.SAE1.PURE.CLOUD(ピュアクラウド

LB02.VOICE.SAE1.PURE.CLOUD(ピュアクラウド

LB03.VOICE.SAE1.PURE.CLOUD(ピュアクラウド

LB04.VOICE.SAE1.PURE.CLOUD(ピュアクラウド

EU(アイルランド)/ eu-west-1

コモン ネーム

lb01.voice.euw1.pure.cloud

lb02.voice.euw1.pure.cloud

lb03.voice.euw1.pure.cloud

lb04.voice.euw1.pure.cloud

EU(ロンドン)/ eu-west-2

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

EU(フランクフルト)/ eu-central-1

コモン ネーム

LB01.VOICE.EUC1.PURE.CLOUド

LB02.VOICE.EUC1.PURE.CLOUD

LB03.VOICE.EUC1.PURE.CLOUD(ピュアクラウド

LB04.VOICE.EUC1.PURE.CLOUD(ピュアクラウド

ヨーロッパ(チューリッヒ)/euc2

コモン ネーム

LB01.VOICE.EUC2.PURE.CLOUD

LB02.VOICE.EUC2.PURE.CLOUD

LB03.VOICE.EUC2.PURE.CLOUD

LB04.VOICE.EUC2.PURE.CLOUD

中東(UAE)/mec1

コモン ネーム

LB01.VOICE.MEC1.PURE.CLOUD

LB02.VOICE.MEC1.PURE.CLOUD

LB03.VOICE.MEC1.PURE.CLOUD

LB04.VOICE.MEC1.PURE.CLOUD

アジアパシフィック(東京)/ ap-northeast-1

コモン ネーム

LB01.VOICE.APNE1.PURE.CLOUD(ピュアクラウド

LB02.VOICE.APNE1.PURE.CLOUD(ピュアクラウド

LB03.VOICE.APNE1.PURE.CLOUD(ピュアクラウド

LB04.VOICE.APNE1.PURE.CLOUD(ピュアクラウド

アジア太平洋(ソウル)/ap-northeast-2

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

アジアパシフィック(シドニー)/ ap-southeast-2

コモン ネーム

LB01.VOICE.APSE2.PURE.CLOUD(ピュアクラウド

LB02.VOICE.APSE2.PURE.CLOUD(ピュアクラウド

LB03.VOICE.APSE2.PURE.CLOUD(ピュアクラウド

LB04.VOICE.APSE2.PURE.CLOUD(ピュアクラウド

アジア太平洋(ムンバイ)/ap-south-1

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

アジア・パシフィック(大阪)/apne3

コモン ネーム

lb01.pc-voice.usw3.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw3.pure.cloud

lb04.pc-voice.usw3.pure.cloud

パブリック認証局は、トランクのSIP Servers値またはProxies値として使用される共通名またはサブジェクト代替名を使用して、カスタマーエンドポイントX.509証明書に署名する必要があります。 BYOCエンドポイントはホスト名で接続を検証します - IPアドレスは受け入れられません。 BYOCクラウドトランクの詳細については、BYOCクラウドトランクを作成するをご覧ください。

日付検証

有効な証明書は、有効期限内であり、有効期限を過ぎていない必要があります。

X.509証明書には有効期間があります。有効期間は、証明書がいつ受け入れられるかを指定する日付範囲です。 有効期限が近いか、有効期限が近づいた日付に、Genesys Cloudは、延長された検証期間を含む新しい証明書でエンドポイント証明書を更新します。

警告:  警告:アクティブな証明書の有効期限が切れているかまだ有効でない場合、安全なネットワーク接続は失敗します。

証明書 失効リスト

有効な証明書は、有効に発行された証明書でなければならず、当局の失効リストに含まれていない必要があります。

公的認証局がX.509証明書に署名するときには、証明書失効リストのアドレスが含まれます。 公的認証局は、失効リストに証明書を追加することにより、有効期限が切れる前に証明書を取り消すことができます。 セキュアクライアントは、接続を確立したときに失効リストを確認し、証明書が有効であることを確認します。 公開鍵認証局は通常、鍵ペアのセキュリティが危険にさらされると、エンドポイントの公開証明書を取り消します。

警告:  警告: カスタマー エンドポイント証明書を正しく設定しないと、Genesys Cloudからのアウトバウンドコールが失敗する可能性があります。

SIP URI

The SIP URI is a mechanism that connects a VoIP endpoint. Each VoIP endpoint has a corresponding SIP URI to connect to the respective remote peer. The URI contains the remote address of the SIP device in the form of a DNS host name that includes the protocol, destination number, and remote host.

In addition to the host name, the URI can also contain attributes to control the connection. You apply attributes to the user portion and the host portion of the URI. For the URI to operate correctly, you must apply attributes to the appropriate portion of the URI.  

一次属性はトランク選択とトランスポートプロトコルを指定します。 安全な接続では、トランスポートは、 属性 TLSトランスポートプロトコルを指定します。

属性 属性の場所 説明
トランスポート ホスト 転送プロトコル UDP | TCP | TLS
TGRP ユーザー  トランクグループラベル ユーザ定義のインバウンドSIP終了識別子
トランクコンテキスト ユーザー  トランクグループネームスペース 地域固有の名前空間

詳細については、BYOCクラウドトランクのSIPルーティングを設定するの『受信』セクションを参照してください。

着信SIPルーティング

TLSを使用してBYOC Cloudに安全なSIPを使用する場合、Genesys Cloudでは、インバウンドSIPルーティングにTGRPを使用する各プロキシに一連の異なるURIを使用することをお勧めします。 ただし、インバウンドルーティング方法を選択する際に考慮すべき他の方法がいくつかあります。

TGRP(トランクグループルーティングプロトコル)

The best practice is to use a TGRP configuration as it allows for trunk selection based on the attributes of the SIP URI. TGRP attributes control routing so the host name of the request URI is set to a value defined as the common name or subject alternate name of the X.509 certificate. This configuration allows the subject name validation to succeed.

DNIS(ダイヤル番号識別サービス)

DNIS routing may work with Secure BYOC Cloud trunks; however, subject name validation may limit the feasibility of this routing option. You typically use DNIS routing when the carrier limits control of the SIP URI and instead prefers an IP address. If calls are sent directly to an IP address rather than a supported host name, subject name validation of the X.509 certificates fails.

FQDN (完全修飾ドメイン名)

FQDNはセキュアBYOCクラウドトランクで動作する可能性があります; FQDNがあるのでしかし、X.509証明書のサブジェクト名の検証が合格しないと予想されるユーザー -defined。 ワイルドカード証明書がサポートできるユーザー -defined名が、理由は、いくつかのSIPデバイスのサポートの欠如の使用されていません。

TLSのSRVレコードが利用可能であり、プロキシ証明書にはSRVレコード名が含まれています。 ただし、公開認証局は、サービス名とトランスポート名のSRVレコードで使用される一般名とサブジェクト代替名にアンダースコア文字を使用することを許可していません。 リモートSIPデバイスが証明書の共通名を検証する場合、ドメイン名のみを検証します。 サービスとトランスポートを含むリソースレコード名全体を検証するわけではありません。

詳細については、BYOCクラウドトランクのSIPルーティングを設定するの『受信』セクションを参照してください。

SIP URIを正しく構成するために、次の例はTGRPを使用した接続用です。 この例では、各BYOC SIPプロキシ間でコールを配布するために使用されている、現在必要なすべてのホストエントリを示しています。 また、X.509証明書のサブジェクト名検証に合格するために使用される各プロキシのFQDNホスト名も表示されます。 このプロトコルは、リモートエンドポイントが安全な接続を確実に開始するために提供されています。

 

BYOC Premises のトランク転送プロトコルとして TLS を選択すると、顧客のエンドポイントと Genesys Cloud Edge の間で直接 TCP 経由の TLS を使用して安全なトランクを確立します。組織固有の認証機関が、各Genesys Cloud Edge TLSエンドポイントに署名するサーバー証明書を発行します。組織のルート証明機関は、SIP サービスを管理する有効な証明書です。

Genesys Cloud内から組織の公開鍵証明書を取得できます。 詳細については、 認証局を設定するをご覧ください。

外部トランク設定でトランスポートとメディアセキュリティ設定を調整できます。 詳細については、 外部トランク設定をご覧ください。