Genesys Cloud
Genesys Cloud 证书中已移除客户端身份验证 EKU 支持。
| 宣布于 | 生效日期 | 啊哈!主意 |
|---|---|---|
| 2025-12-15 | - | - |
在未来的版本中,Genesys Cloud 将从 BYOC Cloud SIP TLS 端点使用的证书中删除客户端身份验证扩展密钥用法 (EKU)。公共证书颁发机构正在逐步淘汰整个行业的 EKU,Genesys Cloud 也正在与这些更新的标准保持一致。
从历史上看,BYOC Cloud 证书包含了客户端身份验证 EKU,即使 BYOC Cloud 不使用相互 TLS (mTLS) 或客户端证书身份验证。标准服务器端 TLS 一直是受支持的模型,安全的 SIP 通信也继续依赖于这种方法。删除未使用的 EKU 有助于确保证书行为与实际平台使用情况相符,并减少配置误解的可能性。
即使 MTLS 从未成为 BYOC 云连接模型的一部分,某些客户的 SIP 端点可能仍已配置为请求客户端证书。这些配置似乎有效,因为现有证书中包含了 EKU。使证书内容与预期的 TLS 行为保持一致,有助于确保未来的部署依赖于受支持的安全实践。
此次更新使 BYOC Cloud 与新的证书颁发机构实践保持一致,并确保 TLS 行为准确反映平台支持的安全模型。如果组织确认其 SIP 端点未配置客户端身份验证,则在证书开始续订而没有客户端身份验证 EKU 时,组织将顺利过渡。
将会有哪些变化
- 2026 年 2 月之后颁发的证书将不再包含客户端身份验证 EKU。
- BYOC Cloud SIP 端点在出站 TLS 握手期间将不再提供包含该 EKU 的证书。
- 配置为需要客户端身份验证的客户终端在证书续期后可能会拒绝 TLS 连接。
哪些不会改变
- 由于 BYOC Cloud 不请求客户端证书,因此呼入电话不受影响。
- SIP TLS 继续按照设计使用服务器端身份验证运行。
- 动态语音云平台 BYOC SIP 端点已经与此模型保持一致,不会受到影响。
客户需采取的行动
笔记:客户终端不应要求客户端进行身份验证。
使用当前 BYOC 云平台的客户应确保其 SIP 端点在 TLS 握手期间不请求客户端证书。
为了验证这一点:
- 捕获出站呼叫的 TLS 握手。
- 确认客户 SIP 端点未发送证书请求消息。
如果存在证书请求,请更新配置,使端点不需要客户端身份验证或相互 TLS。
