TLSトランク転送プロトコルの仕様

TLSを選択すると、 トランク BYOC構内やBYOCクラウドのためのトランスポートプロトコルは、セキュアなトランクを作成することができます。 具体的には、BYOC用のセキュアトランクにより、リモートVoIPエンドポイントは、SIP TLS(SIPS)とセキュアRTP(SRTP)を使用してGenesys Cloudと安全に通信できます。 セキュアVoIP通話は、通話の制御(シグナリング)とメディア(音声)の両方を保護します。

詳細については、 トランク転送プロトコルを選択するをご覧ください。

警告:  トランク転送プロトコルを選択するときは、 トランク両端を同じプロトコルを使用するように構成することが重要です。 同じプロトコルを使用しない場合、 トランクは機能しません。

BYOC施設用のトランクトランスポートプロトコルとしてTLSを選択すると、カスタマー エンドポイントとGenesys Cloud Edge間で直接、安全なトランクを確立します。 組織固有の認証機関が、各Genesys Cloud Edge TLSエンドポイントに署名するサーバー証明書を発行します。 組織のルート認証局は、SIPサービスを管理する有効な証明書です。

Genesys Cloud内から組織の公開鍵証明書を取得できます。 詳細については、 認証局を設定するをご覧ください。

外部トランク設定でトランスポートとメディアセキュリティ設定を調整できます。 詳細については、 外部トランク設定をご覧ください。

要件

BYOCクラウド用の安全なトランクを設定するには、通信事業者または電話プロバイダーは、TLSおよびSRTPを使用したSIPとの安全なVoIP接続もサポートする必要があります。 BYOCクラウドはセキュアトランクのためにIPSECをサポートしていません。 安全なBYOCクラウドトランクの設定は、いくつかの設定が異なるだけで、安全でないトランクと似ています。 安全なトランクはそうします。ただし、接続を成功させるための追加要件があります。

接続

通話の発信元デバイスがVoIP接続を開始します。 ただし、両方のVoIPエンドポイントがサーバーとクライアントの両方として機能します。 発信(着信)コールと着信(着信)コールの両方に対して、両方のエンドポイントにセキュアTLS接続を設定します。 両方のVoIPエンドポイントはパブリック認証局によって署名されたX.509証明書を持っている必要があり、各クライアントエンドポイントはサーバーに署名した認証局を信頼している必要があります。

BYOC Cloud用のセキュアトランクは、セキュアでない相手と同じVoIPエンドポイントに接続します。 これらの接続アドレスの詳細については、 BYOCクラウドパブリックSIP IPアドレスをご覧ください。

ポートとプロトコルのバージョン

BYOC CloudはTLSバージョン1.2プロトコルを使用するエンドポイントのみをサポートします。

サポートされているTLS暗号は次のとおりです。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256*
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384*
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384*

*楕円曲線Diffie-Hellmanエフェメラル(ECDHE)キー交換の場合、secp384r1(384ビットプライムフィールド上のNIST / SECG曲線)楕円曲線のみがサポートされます。

TLSのみのリスナーは、ホストポート5061で利用できます。

証明書の信頼

クライアントは、サーバーへの安全な接続を確立するときに証明書の有効性を確認します。 証明書は含まれているキーの正当性を承認します。 有効な証明書は以下を順守します。

証明する機関

信頼できる認証局は、それが有効であるために証明書を発行する必要があります。

カスタマー エンドポイントはBYOCクラウドエンドポイントを信頼する必要があります。 Genesys Cloudは、公的認証機関であるDigiCertが発行するX.509証明書でBYOC Cloudエンドポイントに署名します。 具体的には、BYOCクラウドエンドポイントに署名するルート認証局はDigiCert High Assurance EVルートCAです。 ルート公開鍵証明書は、次のサイトからダウンロードできます。 DigiCert。 

 メモ:   注記: Genesys Cloudは、プライベートキーが変更された場合、BYOCクラウドエンドポイント証明書を再生成または置換します。 予告なしに変更される可能性があるため、サーバー証明書自体を信頼しないことが重要です。 問題を防ぐためにルート証明書を信頼するようにカスタマーエンドポイントを設定します。 ルート証明書が変更されると、Genesys Cloudに非推奨通知が表示されます。 リリースノート.

BYOCクラウドエンドポイントもカスタマー エンドポイントを信頼する必要があります。 BYOC Cloudエンドポイントがカスタマーのエンドポイントを信頼するには、これらの公的認証局の1つがカスタマーのエンドポイントに署名する必要があります。

  • アマゾントラストサービス
  • コモド/セクティゴ
  • DigiCert / Symantec / クオヴァディス /ベリサイン
  • 委託
  • グローバルサイン
  • GoDaddy / Starfield
  • ネットワークソリューション
  • テリアソネラ
  • ソーテ

中間信頼のTLSハンドシェイク

TLSはハンドシェイクを使用して、2つのエンドポイント間の安全な接続をネゴシエートします。 ハンドシェイクは、公的証明書と接続固有の要件の両方を共有します。 クライアントはハンドシェイクを開始し、サーバーから安全な接続を要求します。 サーバーは、独自の署名済み証明書と証明書チェーン内のすべての中間証明書の両方を提供する必要があります。

BYOC Cloudエンドポイントは、TLSハンドシェイク中にサーバとして動作する場合、独自のサーバ証明書と証明書チェーン内のすべての中間証明書を提供します。 カスタマーのエンドポイントは、上記のDigiCertルート認証局のみを信頼する必要があります。

BYOC Cloudエンドポイントは、上記のプロバイダからのルート認証局証明書のみを信頼します。 カスタマーのエンドポイントは、TLSハンドシェイク中にサーバーとして動作する場合、独自のサーバー証明書と証明書チェーン内のすべての中間証明書機関証明書の両方を提供する必要があります。

サブジェクト名検証

有効な証明書には、クライアントが接続した場所のサブジェクト名(URI)が含まれている必要があります。

セキュア接続のクライアントは、サブジェクト名検証を使用して、リモートエンドポイントが自分自身を予期されるターゲットとして識別していることを確認します。 サーバー証明書に、クライアントが接続されている名前が共通名またはサブジェクト代替名として含まれていない場合、クライアントはその接続を拒否する必要があります。

警告:  警告ターゲット名を検証できない接続は、なりすましや接続ハイジャックの危険があります。

サブジェクト名の検証が確実に成功するように、BYOC Cloudへの接続は次の表を潜在的なエンドポイントのリストとして使用します。

米国東部/us-east-1

コモン ネーム

lb01.byoc.eu-west-1.mypurecloud.ie

lb02.byoc.eu-west-1.mypurecloud.ie

lb03.byoc.eu-west-1.mypurecloud.ie

lb04.byoc.eu-west-1.mypurecloud.ie

US East / us-east-2

コモン ネーム

lb01.voice.use2.us-gov-pure.cloud

lb02.voice.use2.us-gov-pure.cloud

lb03.voice.use2.us-gov-pure.cloud

lb04.voice.use2.us-gov-pure.cloud

米国西部/us-west-2

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

カナダ(Canada Central)/ ca-central-1

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

EU (アイルランド) / eu-west-1

コモン ネーム

lb01.byoc.eu-west-1.mypurecloud.ie

lb02.byoc.eu-west-1.mypurecloud.ie

lb03.byoc.eu-west-1.mypurecloud.ie

lb04.byoc.eu-west-1.mypurecloud.ie

EU(ロンドン)/ eu-west-2

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

EU(フランクフルト)/ eu-central-1

コモン ネーム

lb01.byoc.eu-central-1.mypurecloud.de

lb02.byoc.eu-central-1.mypurecloud.de

lb03.byoc.eu-central-1.mypurecloud.de

lb04.byoc.eu-central-1.mypurecloud.de

アジアパシフィック(東京)/ ap-northeast-1

コモン ネーム

lb01.byoc.ap-northeast-1.mypurecloud.jp

lb02.byoc.ap-northeast-1.mypurecloud.jp

lb03.byoc.ap-northeast-1.mypurecloud.jp

lb04.byoc.ap-northeast-1.mypurecloud.jp

アジア太平洋(ソウル)/ap-northeast-2

コモン ネーム

lb01.pc-voice.usw2.pure.cloud

lb02.pc-voice.usw2.pure.cloud

lb03.pc-voice.usw2.pure.cloud

lb04.pc-voice.usw2.pure.cloud

アジアパシフィック(シドニー)/ ap-southeast-2

コモン ネーム

lb01.byoc.ap-northeast-1.mypurecloud.jp

lb02.byoc.ap-northeast-1.mypurecloud.jp

lb03.byoc.ap-northeast-1.mypurecloud.jp

lb04.byoc.ap-northeast-1.mypurecloud.jp

アジア太平洋(ムンバイ)/ap-south-1

コモン ネーム

lb01.byoc.aps1.pure.cloud

lb02.byoc.aps1.pure.cloud

lb03.byoc.aps1.pure.cloud

lb04.byoc.aps1.pure.cloud

パブリック認証局は、トランクのSIP Servers値またはProxies値として使用される共通名またはサブジェクト代替名を使用して、カスタマーエンドポイントX.509証明書に署名する必要があります。 BYOCエンドポイントはホスト名で接続を検証します - IPアドレスは受け入れられません。 BYOCクラウドトランクの詳細については、BYOCクラウドトランクを作成するをご覧ください。

日付検証

有効な証明書は、有効期限内で、有効期限を過ぎてはなりません。

X.509証明書には有効期間があります。有効期間は、証明書がいつ受け入れられるかを指定する日付範囲です。 有効期限が近いか、有効期限が近づいた日付に、Genesys Cloudは、延長された検証期間を含む新しい証明書でエンドポイント証明書を更新します。

警告:  警告:アクティブな証明書の有効期限が切れているかまだ有効でない場合、安全なネットワーク接続は失敗します。

証明書 失効リスト

有効な証明書は、有効に発行された証明書でなければならず、当局の失効リストに含まれていない必要があります。

公的認証局がX.509証明書に署名するときには、証明書失効リストのアドレスが含まれます。 公的認証局は、失効リストに証明書を追加することにより、有効期限が切れる前に証明書を取り消すことができます。 セキュアクライアントは、接続を確立したときに失効リストを確認し、証明書が有効であることを確認します。 公開鍵認証局は通常、鍵ペアのセキュリティが危険にさらされると、エンドポイントの公開証明書を取り消します。

警告:  警告: カスタマー エンドポイント証明書を正しく設定しないと、Genesys Cloudからのアウトバウンドコールが失敗する可能性があります。

SIP URI

SIP URIはVoIPエンドポイントを接続するメカニズムです。 各VoIPエンドポイントには、それぞれのリモートピアに接続するための対応するSIP URIがあります。 URIには、プロトコル、宛先番号、およびリモートホストを含むDNSホスト名の形式でSIPデバイスのリモートアドレスが含まれています。

ホスト名に加えて、URIには接続を制御するための属性を含めることもできます。 URIのユーザー部分とホスト部分に属性を適用します。 URIが正しく動作するためには、URIの適切な部分に属性を適用する必要があります。  

一次属性はトランク選択とトランスポートプロトコルを指定します。 安全な接続では、トランスポートは、 属性 TLSトランスポートプロトコルを指定します。

属性 属性の場所    説明
トランスポート ホスト 転送プロトコル UDP | TCP | TLS
TGRP ユーザー  トランクグループラベル ユーザ定義のインバウンドSIP終了識別子
トランクコンテキスト ユーザー  トランクグループネームスペース 地域固有の名前空間

詳細については、BYOCクラウドトランクのSIPルーティングを設定するの『受信』セクションを参照してください。

着信SIPルーティング

TLSを使用してBYOC Cloudに安全なSIPを使用する場合、Genesys Cloudでは、インバウンドSIPルーティングにTGRPを使用する各プロキシに一連の異なるURIを使用することをお勧めします。 ただし、インバウンドルーティング方法を選択する際に考慮すべき他の方法がいくつかあります。

TGRP(トランクグループルーティングプロトコル)

ベストプラクティスは、SIP URIの属性に基づいてトランクを選択できるため、TGRP設定を使用することです。 TGRP属性はルーティングを制御するので、要求URIのホスト名はX.509証明書の共通名またはサブジェクト代替名として定義された値に設定されます。 この設定により、サブジェクト名の検証が成功します。

DNIS(ダイヤル番号識別サービス)

DNISルーティングは、Secure BYOC Cloudトランクと連携することがあります。しかしながら、サブジェクト名検証はこのルーティングオプションの実現可能性を制限するかもしれません。 キャリアがSIP URIの制御を制限し、代わりにIPアドレスを好む場合は、通常DNISルーティングを使用します。 サポートされているホスト名ではなくIPアドレスに直接コールが送信される場合、X.509証明書のサブジェクト名の検証は失敗します。

FQDN (完全修飾ドメイン名)

FQDNはセキュアBYOCクラウドトランクで動作する可能性があります; FQDNがあるのでしかし、X.509証明書のサブジェクト名の検証が合格しないと予想されるユーザー -defined。 ワイルドカード証明書がサポートできるユーザー -defined名が、理由は、いくつかのSIPデバイスのサポートの欠如の使用されていません。

TLSのSRVレコードが利用可能であり、プロキシ証明書にはSRVレコード名が含まれています。 ただし、公開認証局は、サービス名とトランスポート名のSRVレコードで使用される一般名とサブジェクト代替名にアンダースコア文字を使用することを許可していません。 リモートSIPデバイスが証明書の共通名を検証する場合、ドメイン名のみを検証します。 サービスとトランスポートを含むリソースレコード名全体を検証するわけではありません。

詳細については、BYOCクラウドトランクのSIPルーティングを設定するの『受信』セクションを参照してください。

SIP URIを正しく構成するために、次の例はTGRPを使用した接続用です。 この例では、各BYOC SIPプロキシ間でコールを配布するために使用されている、現在必要なすべてのホストエントリを示しています。 また、X.509証明書のサブジェクト名検証に合格するために使用される各プロキシのFQDNホスト名も表示されます。 このプロトコルは、リモートエンドポイントが安全な接続を確実に開始するために提供されています。