TLS 中继传输协议规范
When you select TLS as the trunk transport protocol for BYOC Cloud or BYOC Premises, you can create secure trunks using TLS over TCP. Secure trunks for BYOC allow remote VoIP endpoints to communicate with Genesys Cloud securely using SIP TLS (SIPS) and Secure RTP (SRTP). Secure VoIP calls protect both the control (signaling) and the media (audio) of the call.
有关详细信息,请参阅 选择中继传输协议。
要求
要为 BYOC Cloud 设置安全中继,您的运营商或电话提供商还必须支持使用 TCP 和 SRTP 上的 TLS 与 SIP 建立安全 VoIP 连接。BYOC Cloud 不支持 IPSEC 用于安全中继。设置安全的 BYOC 云中继与非安全中继类似,只需一些备用设置。然而,安全中继线确实有其他要求才能使连接成功。
连接
呼叫的始发设备启动 VoIP 连接。 但是,两个 VoIP 端点都充当服务器和客户端。 您可以为发起(入站)和终止(出站)呼叫的两个终端配置安全的 TLS 连接。 两个 VoIP 端点都必须具有由公共证书颁发机构签名的 X.509 证书,并且每个客户端端点都必须信任为服务器签名的证书颁发机构。两种连接都使用单向或服务器端 TLS,但不支持相互 TLS (MTLS)。
BYOC Cloud 的安全中继与非安全中继连接到相同的 VoIP 端点。 有关这些连接地址的更多信息,请参阅 BYOC Cloud 公有 SIP IP 地址。
端口和协议版本
BYOC Cloud 仅支持使用 TLS 1.2 版协议的终端节点。
支持的 TLS 密码包括:
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA*
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384*
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256*
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384*
* For elliptic curve Diffie-Hellman ephemeral (ECDHE) key exchanges only secp384r1 (NIST/SECG curve over a 384-bit prime field) elliptical curves are supported.
仅限 TLS 的侦听器在主机端口 5061 上可用。
证书信任
当客户端创建到服务器的安全连接时,它会检查证书的有效性。 证书授权包含的密钥的合法性。 有效的证书必须遵守以下规定:
证书机构
信誉良好的证书颁发机构必须颁发证书才能有效。
客户终端节点必须信任 BYOC Cloud 终端节点。 Genesys Cloud 使用公共证书颁发机构 DigiCert 颁发的 X.509 证书对 BYOC 云端点进行签名。 更具体地说,签署 BYOC 云端点的根证书颁发机构按地区分开,并使用由 DigiCert High Assurance EV Root CA 或 DigiCert Global Root G2/DigiCert Global Root G3 授权的证书。您可以从 DigiCert 下载适合您所在地区的根公钥证书。
证书文件格式
Root CA certificates are available in two different file formats: DER and PEM. Both of these file formats contain the same data, but they differ in how they are encoded. Only download the file format that best suits your system.
- DER 证书使用可区分编码规则 (DER) 方法进行编码,该方法是一种二进制格式。 DER 证书旨在用于基于 Java 的系统。
- PEM 证书使用隐私增强邮件 (PEM) 方法进行编码,该方法是一种 base64 编码格式。 PEM 证书适用于基于 Unix 的系统。
按地区划分的证书颁发机构
使用 DigiCert 高保证 EV 根 CA 证书的区域包括:
- 亚太地区(东京)/apne1
- 亚太地区(首尔)/apne2
- 亚太地区(悉尼)/apse2
- 亚太地区(孟买)/aps1
- 加拿大(中部)/cac1
- 欧洲(法兰克福)/euc1
- 欧洲(爱尔兰)/euw1
- 欧洲(伦敦)/euw2
- 南美洲(圣保罗)/sae1
- 美国东部(弗吉尼亚北部)/use1
- 美国东部(俄亥俄州)/use2
- 美国西部(俄勒冈)/usw2
下载最适合您系统的文件格式的 DigiCert 高保证 EV 根 CA 证书。
下载DigiCert 全球根 G2 证书采用最适合您系统的文件格式。
下载DigiCert 全球根 G3 证书采用最适合您系统的文件格式。
使用证书的区域DigiCert 全局根 G2 和DigiCert 全球根G3 是:
- 亚太地区(大阪)/ apne3
- 欧洲(苏黎世)/ euc2
- 中东(阿联酋)/mec1
下载DigiCert 全球根 G2 证书采用最适合您系统的文件格式。
下载DigiCert 全球根 G3 证书采用最适合您系统的文件格式。
BYOC Cloud 终端节点还必须信任客户终端节点。 要使 BYOC Cloud 终端节点信任客户终端节点,以下公共证书颁发机构之一必须对客户终端节点进行签名:
- 安特利斯
- 亚马逊信托服务
- 塞图姆
- DigiCert / QuoVadis / 赛门铁克 / Thawte / 威瑞信
- 委托
- GlobalSign
- 爸爸去吧 / 星空
- 网络安全研究组
- 网络方案
- Sectigo / AddTrust / Comodo / UserTrust
- 瑞士标志
- 特利亚 / TeliaSonera
- Trustwave / 安全信任 / Viking Cloud
从 BYOC 云 SIP 服务器接收安全 SIP TLS 连接的所有远程端点都必须配置证书。 该证书要么自行签名,要么更常见的是由 Genesys Cloud BYOC Cloud SIP 服务器信任的根证书颁发机构之一颁发的中间证书颁发机构签名。 如果证书未签名,连接将失败。 远程端点应在 TLS 握手中提供其终端实体证书以及所有中间证书颁发机构。
证书机构 | 根证书通用名称 | 主题名称哈希 |
---|---|---|
安特利斯 |
Actalis 身份验证根 CA |
930ac5d2 |
亚马逊信托服务 |
亚马逊根 CA 1 |
ce5e74ef |
亚马逊信托服务 |
亚马逊根 CA 2 |
6d41d539 |
亚马逊信托服务 |
亚马逊根 CA 3 |
8cb5ee0f |
亚马逊信托服务 |
亚马逊根 CA 4 |
de6d66f3 |
塞图姆 |
Certum CA |
442adcac |
塞图姆 |
Certum 可信网络 CA |
48bec511 |
塞图姆 |
Certum 可信网络 CA 2 |
40193066 |
数字证书 |
DigiCert 全局根 CA |
3513523f |
数字证书 |
DigiCert 高保证 EV 根 CA |
244b5494 |
数字证书 |
DigiCert 全局根 G2 |
607986c7 |
数字证书 |
DigiCert 全局根 G3 |
dd8e9d41 |
数字证书 |
DigiCert ECC P384 根 G5 |
c1223238 |
数字证书 |
DigiCert RSA4096 根 G5 |
9ccd262b |
数字证书 |
DigiCert TLS ECC P384 根 G5 |
9846683b |
数字证书 |
DigiCert TLS RSA4096 根 G5 |
d52c538d |
DigiCert / QuoVadis |
QuoVadis 根 CA 2 |
d7e8dc79 |
DigiCert / QuoVadis |
QuoVadis 根 CA 3 |
76faf6c0 |
DigiCert / QuoVadis |
QuoVadis 根 CA 1 G3 |
749e9e03 |
DigiCert / QuoVadis |
QuoVadis 根 CA 2 G3 |
064e0aa9 |
DigiCert / QuoVadis |
QuoVadis 根 CA 3 G3 |
e18bfb83 |
DigiCert / 解冻 |
解冻主根CA |
2e4eed3c |
DigiCert / 解冻 |
解冻主根 CA - G2 |
c089bbbd |
DigiCert / 解冻 |
解冻主根 CA - G3 |
ba89ed3b |
DigiCert / 解冻 |
解冻主根 CA - G4 |
854dca2b |
DigiCert / 威瑞信 |
VeriSign 3 级公共主要证书颁发机构 - G5 |
b204d74a |
委托 |
委托根证书颁发机构 |
6b99d060 |
委托 |
Entrust.net 认证机构 (2048) |
aee5f10d |
委托 |
委托根证书颁发机构 - EC1 |
106f3e4d |
委托 |
委托根证书颁发机构 - G2 |
02265526 |
委托 |
委托根证书颁发机构 - G3 |
425d82a9 |
委托 |
委托根证书颁发机构 - G4 |
5e98733a |
GlobalSign |
GlobalSign 根 E46 |
413 |
GlobalSign |
GlobalSign 根 R46 |
002c0b4f |
GlobalSign |
GlobalSign 根 CA - R3 |
062cee6 |
GlobalSign |
GlobalSign ECC 根 CA - R4 |
b0e59380 |
GlobalSign |
GlobalSign ECC 根 CA - R5 |
1d3472b9 |
GlobalSign |
GlobalSign 根 CA - R6 |
dc4d6a89 |
爸爸去吧 / 星空 |
GoDaddy 2 级认证机构 |
f081611a |
爸爸去吧 / 星空 |
GoDaddy 根证书颁发机构 - G2 |
cbf06781 |
爸爸去吧 / 星空 |
GoDaddy 根证书颁发机构 - G3 |
4b82aaf1 |
爸爸去吧 / 星空 |
GoDaddy 根证书颁发机构 - G4 |
FD8D27E1 |
爸爸去吧 / 星空 |
Starfield 2 级认证机构 |
f387163d |
爸爸去吧 / 星空 |
Starfield 根证书颁发机构 - G2 |
4bfab552 |
爸爸去吧 / 星空 |
Starfield 根证书颁发机构 - G3 |
3661ca00 |
爸爸去吧 / 星空 |
Starfield 根证书颁发机构 - G4 |
978d3d03 |
爸爸去吧 / 星空 |
Starfield 服务根证书颁发机构 - G2 |
09789157 |
GoDaddy / Starfield / 亚马逊信托服务 |
Starfield 服务根证书颁发机构 |
006016b6 |
互联网安全研究小组(ISRG) |
ISRG 根 X1 |
4042bcee |
互联网安全研究小组(ISRG) |
ISRG 根 X2 |
0b9bc432 |
网络方案 |
网络解决方案证书颁发机构(2029 年 12 月) |
4304c5e5 |
网络方案 |
网络解决方案证书颁发机构(2030 年 12 月) |
4304c5e5 |
网络方案 |
网络解决方案 EV SSL CA |
4DF989CE |
扇贝属 |
AAA 证书服务 |
ee64a828 |
扇贝属 |
添加信任外部 CA 根 |
157753a5 |
扇贝属 |
COMODO ECC 认证机构 |
eed8c118 |
扇贝属 |
COMODO RSA 认证机构 |
d6325660 |
扇贝属 |
USERTrust ECC 证书颁发机构 |
f30dd6ad |
扇贝属 |
USERTrust RSA 证书颁发机构 |
FC5A8F99 |
扇贝属 |
UTN-USERFirst-硬件 |
b13cc6df |
瑞士标志 |
SwissSign Silver CA - G2 |
57bcb2da |
瑞士标志 |
SwissSign Gold CA - G2 |
4f316efb |
瑞士标志 |
SwissSign Platinum CA - G2 |
a8dee976 |
特利亚 |
TeliaSonera 根 CA v1 |
5cd81ad7 |
特利亚 |
Telia 根 CA v2 |
8f103249 |
信任波 |
安全的全球 CA |
b66938e9 |
信任波 |
安全信任CA |
f39fc864 |
信任波 |
Trustwave 全球认证机构 |
f249de83 |
信任波 |
Trustwave 全球 ECC P256 认证机构 |
9b5697b0 |
信任波 |
Trustwave 全球 ECC P384 认证机构 |
d887a5bb |
具有中间信任的 TLS 握手
TLS 使用握手协商两个端点之间的安全连接。 握手共享公共证书和特定于连接的要求。 客户端启动握手并请求来自服务器的安全连接。 服务器必须同时提供自己的签名证书和证书链中的所有中间证书。
The BYOC Cloud endpoints provide their own server certificate and all intermediate certificates in the certificate chain when acting as the server during the TLS handshake. The customer endpoints should only trust the DigiCert root certificate authority listed above.
BYOC Cloud 终端节点仅信任上面列出的提供商提供的根证书颁发机构证书。 在 TLS 握手期间充当服务器时,客户端点必须同时提供自己的服务器证书和证书链中的所有中间证书颁发机构证书。
主题名称验证
有效的证书必须包含客户端连接的位置的主题名称 (URI)。
安全连接的客户端使用使用者名称验证来确保远程终端节点将自己标识为预期目标。 如果服务器证书不包含作为公用名或使用者备用名称的客户端连接到的名称,则客户端应拒绝该连接。
为确保主题名称验证成功,与 BYOC Cloud 的连接使用下表作为潜在终端节点的列表。
美国东部 (N. 弗吉尼亚州)/美国东部 -1
通用名称 |
---|
lb01.voice.use1.pure.cloud lb02.voice.use1.pure.cloud lb03.voice.use1.pure.cloud lb04.voice.use1.pure.cloud |
美国东部 2(俄亥俄州)/ us-east-2
通用名称 |
---|
lb01.voice.use2.us-gov-pure.cloud lb02.voice.use2.us-gov-pure.cloud lb03.voice.use2.us-gov-pure.cloud lb04.voice.use2.us-gov-pure.cloud |
美国西部(俄勒冈)/美国西部 2
通用名称 |
---|
lb01. voice.usw2.pure.cloud lb02. voice.usw2.pure.cloud lb03.voice.usw2.pure.cloud lb04. voice.usw2.pure.cloud |
加拿大(加拿大中部)/ca-central -1
通用名称 |
---|
lb01. voice.cac1.pure.cloud lb02. Voice.cac1.pure.cloud lb03.voice.cac1.pure.cloud lb04. voice.cac1.pure.cloud |
South America (Sao Paulo) / sae1
通用名称 |
---|
lb01.voice.sae1.pure.cloud lb02.voice.sae1.pure.cloud lb03.voice.sae1.pure.cloud lb04.voice.sae1.pure.cloud |
欧洲(爱尔兰)/欧盟西部 1
通用名称 |
---|
lb01.voice.euw1.pure.cloud lb02.voice.euw1.pure.cloud lb03.voice.euw1.pure.cloud lb04.voice.euw1.pure.cloud |
欧洲(伦敦)/欧盟西部 2
通用名称 |
---|
lb01. voic.euw2.pure.cloud lb02. voic.euw2.pure.cloud lb03.voice.euw2.pure.cloud lb04. voice.euw2.pure.cloud |
欧洲(法兰克福)/欧盟中部 -1
通用名称 |
---|
lb01.voice.euc1.pure.cloud lb02.voice.euc1.pure.cloud lb03.voice.euc1.pure.cloud lb04.voice.euc1.pure.cloud |
欧洲(苏黎世)/ euc2
通用名称 |
---|
lb01.voice.euc2.pure.cloud lb02.voice.euc2.pure.cloud lb03.voice.euc2.pure.cloud lb04.voice.euc2.pure.cloud |
中东(阿联酋)/mec1
通用名称 |
---|
lb01.voice.mec1.pure.cloud lb02.voice.mec1.pure.cloud lb03.voice.mec1.pure.cloud lb04.voice.mec1.pure.cloud |
亚太地区(东京)/ap-东北-1
通用名称 |
---|
lb01.voice.apne1.pure.cloud lb02.voice.apne1.pure.cloud lb03.voice.apne1.pure.cloud lb04.voice.apne1.pure.cloud |
亚太地区(首尔)/ap-Theast-2
通用名称 |
---|
lb01. voic.euw2.pure.cloud lb02. voic.euw2.pure.cloud lb03.voice.euw2.pure.cloud lb04. voice.euw2.pure.cloud |
亚太地区(悉尼)/ap-eastoust-2
通用名称 |
---|
lb01.voice.apse2.pure.cloud lb02.voice.apse2.pure.cloud lb03.voice.apse2.pure.cloud lb04.voice.apse2.pure.cloud |
亚太地区(孟买)/ap-南部 1
通用名称 |
---|
lb01. voic.euw2.pure.cloud lb02. voic.euw2.pure.cloud lb03.voice.euw2.pure.cloud lb04. voice.euw2.pure.cloud |
亚太地区(大阪)/ apne3
通用名称 |
---|
lb01. voic.euw3.pure.cloud lb03. voic.euw2.pure.cloud lb03. voic.euw3.pure.cloud lb04. voic.euw3.pure.cloud |
公共证书颁发机构必须使用用作中继的 SIP 服务器或代理值的公用名或使用者备用名来签署客户端点 X.509 证书。 BYOC 端点通过主机名验证连接 — IP 地址是不可接受的。 有关 BYOC Cloud 中继的更多信息,请参阅 创建 BYOC 云中继。
日期验证
有效证件必须在有效期内,且不得超过有效期限。
X.509 证书有一个有效期,这是一个指定证书何时可以接受的日期范围。 在接近到期日或即将到期的某个日期,Genesys Cloud 会使用包含延长验证期的新证书续订终端节点的证书。
证书 吊销列表
有效的证书必须是有效颁发的证书,且不包含在颁发机构吊销列表中。
当公共证书颁发机构签署 X.509 证书时,它将包含证书吊销列表的地址。 公共证书颁发机构可以通过将证书添加到吊销列表中来在到期期之前撤销证书。 安全客户端在建立连接时检查吊销列表,并确认证书是否有效。 如果密钥对的安全性受到威胁,公共证书颁发机构通常会吊销端点公共证书。
SIP URI
The SIP URI is a mechanism that connects a VoIP endpoint. Each VoIP endpoint has a corresponding SIP URI to connect to the respective remote peer. The URI contains the remote address of the SIP device in the form of a DNS host name that includes the protocol, destination number, and remote host.
In addition to the host name, the URI can also contain attributes to control the connection. You apply attributes to the user portion and the host portion of the URI. For the URI to operate correctly, you must apply attributes to the appropriate portion of the URI.
主要属性用于指定中继选择和传输协议。 在安全连接中,运输属性指定 TLS 传输协议。
属性 | 属性位置 | 描述 | 值 |
---|---|---|---|
传输 | 主机 | 传输协议 | UDP | TCP | TLS |
TGRP | 用户 | 中继组标签 | 用户定义的入站 SIP 终止标识符 |
主干上下文 | 用户 | 中继组命名空间 | 区域特定的命名空间 |
有关更多信息,请参阅为 BYOC Cloud 中继 配置 SIP 路由的入站部分。
入站 SIP 路由
当您使用 TLS 为 BYOC 云使用安全 SIP 时,Genesys Cloud 建议您使用 TGRP 进行入站 SIP 路由的每个代理使用一组不同的 URI。 但是,在选择入站路由方法时,您还需要考虑其他一些选项:
TGRP(中继组路由协议)
The best practice is to use a TGRP configuration as it allows for trunk selection based on the attributes of the SIP URI. TGRP attributes control routing so the host name of the request URI is set to a value defined as the common name or subject alternate name of the X.509 certificate. This configuration allows the subject name validation to succeed.
DNIS(拨号号码识别服务)
DNIS routing may work with Secure BYOC Cloud trunks; however, subject name validation may limit the feasibility of this routing option. You typically use DNIS routing when the carrier limits control of the SIP URI and instead prefers an IP address. If calls are sent directly to an IP address rather than a supported host name, subject name validation of the X.509 certificates fails.
FQDN(完全限定的域名)
FQDN 可以与 Secure BYOC Cloud 中继一起使用;但是,X.509 证书的使用者名称验证预计不会通过,因为 FQDN 是用户定义的。 通配符证书可以支持用户定义的名称,但由于某些 SIP 设备缺乏支持,因此不能使用通配符证书。
可以使用 TLS 的 SRV 记录,并且代理证书确实包含 SRV 域名和 SRV 记录名称。 但是,公共证书颁发机构不允许在 SRV 记录中为服务和传输名称使用的公用名和主题备用名称中使用下划线字符。 如果远程 SIP 设备验证证书公用名,它将仅验证域名。 它不会验证整个资源记录名称,其中包括服务和传输。
有关更多信息,请参阅为 BYOC Cloud 中继 配置 SIP 路由的入站部分。
示例
为了帮助您正确配置 SIP URI,以下示例适用于使用 TGRP 的连接。 此示例显示了用于在每个 BYOC SIP 代理之间分配呼叫的当前所需的所有主机条目。 它还显示用于通过 X.509 证书的使用者名称验证的每个代理的 FQDN 主机名。 提供该协议是为了确保远程端点启动安全连接。