了解统一消息 VoIP 安全性
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2008-07-03
网络安全的一个重要方面是保护统一消息基础结构的能力。统一消息环境中的一些组件必须要进行正确的配置,以帮助保护网络上的统一消息服务器收发的数据。这样的组件包括统一消息服务器和拨号计划等组件。本主题讨论如何加强对组织中的统一消息网络数据和服务器的保护。必须执行以下步骤才能帮助保护统一消息环境,并启用 IP 语音 (VoIP) 安全性:
安装统一消息服务器角色。
创建 UM 拨号计划并将该 UM 拨号计划配置为使用 VoIP 安全性。
使统一消息服务器与 UM 拨号计划关联。
导出并导入必要的证书,以便允许统一消息服务器、IP 网关、IP 专用交换机 (IP PBX),以及其他运行 Microsoft Exchange Server 2007 的服务器使用相互传输层安全性 (Mutual-TLS)。
将所使用的 UM IP 网关配置成具有完全限定的域名 (FQDN)。
保护统一消息
有几种安全方法可以帮助保护统一消息服务器,以及在 IP 网关与统一消息服务器之间和统一消息服务器与组织中的其他 Exchange 2007 服务器之间发送的网络通信。下表列出了统一消息基础结构可能面临的某些威胁,以及可以实施以帮助保护统一消息基础结构的安全方法。
保护统一消息
| 威胁来自? | 怎样保护它? |
|---|---|
监视语音通信 |
|
监视传真通信 |
|
对 IP 网关或 IP PBX 的攻击 |
|
未经授权的长距离呼叫 |
|
拒绝服务攻击 |
|
会话初始协议 (SIP) 代理模拟 |
|
偷听和会话劫持 |
|
可以用上表中列出的几种安全方法来保护统一消息环境。保护统一消息基础结构和统一消息生成的网络通信的最重要机制之一是 Mutual-TLS。
可以使用 Mutual-TLS 来加密网络上的 IP 网关、IP PBX 与其他 Exchange 2007 服务器和统一消息服务器之间的 IP 语音 (VoIP) 通信。保护此数据的最佳选择是使用 Mutual-TLS 加密 VoIP 数据。
但是,根据安全威胁的不同,还可以配置 IPsec 策略以便在 IP 网关或 IP PBX 与统一消息服务器之间,或者在统一消息服务器与网络上其他 Exchange 2007 服务器之间启用数据加密。在某些环境中,由于 IPsec 可能不可用,或者可能 IP 网关或 IP PBX 不支持 IPsec,因而可能无法使用 IPsec。另外,IPsec 会给统一消息服务器的系统资源添加额外的处理负载。考虑到这两个因素,Mutual-TLS 是在统一消息环境中保护 VoIP 网络通信的更好选择。
在正确实施并配置 Mutual-TLS 后,即可加密 IP 网关和 IP PBX 之间,以及从其他 Exchange Server 到统一消息服务器的 VoIP 通信。但是,如果 Mutual-TLS 不能用于帮助保护统一消息服务器发送或接收的通信(例如,当统一消息服务器与网络上诸如 Active Directory 域控制器或 Exchange 2007 邮箱服务器之类的另一个服务器通信时),将使用其他类型的加密来保护数据。下图显示了可用于保护统一消息的加密方法。
UM VoIP 安全性
.gif "UM VOIP 安全")
证书类型
数字证书是电子文件,它们像网上通行证一样用于验证用户或计算机的身份,并用于创建用来保护数据的加密通道。证书基本上是由证书颁发机构 (CA) 颁发的数字声明,由 CA 担保证书持有者的身份并使参与各方能通过使用加密来以安全方式进行通信。证书可由受信任的第三方 CA 颁发(例如,通过使用证书服务),也可以自行签署。每种类型的证书都有它的优点和缺点。但是,证书始终是防篡改的,并且无法伪造。可以针对多种功能颁发证书,例如,Web 用户身份验证、Web 服务器身份验证、S/MIME、IPsec、传输层安全性 (TLS) 和代码签名。
证书将一个公钥与持有相应私钥的个人、计算机或服务的身份绑定在一起。在跨网络传输数据之前,客户端和服务器都使用公用和私钥来加密数据。在诸如 Internet 之类的网络上提供身份验证、数据完整性和安全通信的各种公钥安全服务和应用程序都使用证书。对于基于 Windows 的用户、计算机和服务来说,如果在受信任根存储中有根证书副本并且该证书包含有效的证书路径,就建立了对该 CA 的信任。这意味着该证书路径上的所有证书都没有被撤销,也没有超过有效期。
数字证书的作用如下:
它们验证其持有者(人员、网站、甚至是诸如路由器这样的网络资源)真的是其声称的某人或某物。
它们保护联机交换的数据不被偷窃或篡改。
传统上,统一消息和 IP 网关或 IP PBX 可以选择使用的证书类型有三种。在所有三种方法或选择中,证书所有者的公钥是证书的一部分,以便另一端的服务器、用户、网站或其他资源可以解密邮件。私钥只有证书的签名者才知道。每个证书都设置了 EnhancedKeyUsage 属性以指定证书的特定用途。例如,可以将用途仅指定为服务器身份验证或用于加密文件系统。统一消息使用证书进行服务器身份验证和数据加密。
自行签署证书
自签名证书是由其创建者签署的证书。证书的主题和名称是一致的。对于自签名证书,颁发者和主题都在证书中定义。自签名证书不需要有来自组织或第三方的 CA。如果这些证书被颁发了证书的统一消息服务器所信任,那么必须在每个 IP 网关、IP PBX、其他统一消息服务器上,以及其他 Exchange 2007 计算机上显式配置这些证书,并将它们复制到受信任的根证书存储。
如果基于公钥基础结构 (PKI) 的证书或第三方证书不可用,则统一消息服务器将在本地证书存储中搜索自签名证书。如果找不到 PKI 或第三方证书,则系统将为 Mutual-TLS 生成一个自签名证书。但是,因为该证书是自签名证书,所以将不会受网络上的 IP 网关、IP PBX 或其他服务器的信任。为确保自签名证书受 IP 网关、IP PBX 或其他服务器的信任,必须将自签名证书导入到设备和服务器的本地受信任的根证书存储中。执行完此操作后,当统一消息服务器将此自签名证书授予 IP 网关、IP PBX 或服务器时,由于颁发者将与自签名证书上定义的主题相同,因此能够验证该证书是由受信任的机构所颁发。
如果您使用的只是自签名证书,则必须为每个 IP 网关、IP PBX 或服务器单独导入自签名证书。在具有多台设备或计算机的大型网络环境中,这种方法可能不是实现 Mutual-TLS 的最佳选择。由于其他管理开销,在大型企业网络中使用自签名证书的扩展性不佳。但是,如果您有多台设备并且使用的是 PKI 或商业第三方证书,则管理开销不是问题。这是因为每台设备都有一个已经由同一受信任根证书颁发机构颁发的证书。拥有来自同一受信任根证书颁发机构颁发的证书可以保证所有 IP 网关、IP PBX 及其他服务器都信任统一消息服务器。
为了让 Mutual-TLS 能够使用自签名证书工作,需要执行下列操作:
获取统一消息服务器的自签名证书并将其导入到每个 IP 网关和 IP PBX,以及统一消息服务器将使用 Mutual-TLS 与其通信的其他服务器上的受信任根证书存储中。
从每个 IP 网关、IP PBX 及其他服务器中获取自签名证书,并将其导入到统一消息服务器的受信任根证书存储中。如果您使用的是 PKI 或第三方证书,则可将该证书颁发机构的证书导入到所有设备和服务器上的受信任根证书存储中。
部署 Mutual-TLS 或基于证书的身份验证时,自签名证书通常不是最佳证书选择。但是,由于自签名证书最容易配置并且是实现 Mutual-TLS 的最廉价可用方法,因此设备或计算机数量有限的较小组织可能会决定使用自签名证书方法。通常,由于经费问题,或者由于管理员经验不足或缺乏创建自己的证书层次结构方面的知识,亦或前述两种原因都有,较小组织会决定不使用第三方证书或不安装自己的 PKI 来签署自己的证书。如果使用自签名证书,则成本低且安装简单。但是,使用自签署证书,为证书生命周期管理、续订、信任管理和撤销等建立基础结构要困难得多。有关如何创建 TLS 证书的详细信息,请参阅创建 TLS 证书或证书请求。
公钥基础结构
公钥基础结构 (PKI) 是由数字证书、证书颁发机构 (CA) 和注册颁发机构 (RA) 组成的系统,该系统可以通过使用公钥加密来验证和辨认电子交易中涉及的各方的有效性。在使用 Active Directory 的组织中实施 CA 时,需要为进行证书生命周期管理、续订、信任管理和撤销等任务提供基础结构。PKI 的这些组成部分可以为组织中的所有证书提供坚实的基础结构。但是,部署额外的服务器和基础结构以创建和管理这些类型的证书会产生一些开销。
可以将证书服务安装在域中的任何服务器上。如果从基于 Windows 的域 CA 获得证书,则可以使用该 CA 来请求或签署证书,以便颁发给网络中您自己的服务器或计算机。这允许您使用与使用第三方证书供应商相似的 PKI,但成本较低。尽管无法像其他类型的证书那样公开部署这些 PKI,但在使用 PKI 时,CA 将使用私钥来签署请求者的证书,并对请求者进行验证。此 CA 的公钥包括在 CA 颁发的证书中。将此 CA 的证书作为根证书的任何人都可以使用该公钥来解密请求者的证书,并验证请求者的身份。
使用 PKI 证书实施 Mutual-TLS 时,须将必要的证书复制到 IP 网关或 IP PBX 上。然后,必须将 IP 网关或 IP PBX 上的证书复制到与在安全模式下配置的 UM 拨号计划关联的统一消息服务器上。
使用 PKI 证书和第三方证书所需的安装和配置步骤类似于导入和导出自签名证书时执行的步骤。但是,您一定不要仅将计算机证书安装在受信任的根证书存储中。还必须同时将 PKI 的受信任根证书导入或复制到网络中统一消息服务器和 IP 网关及 IP PBX 上的受信任根证书存储中。
若要在部署 PKI 基础结构之后部署 Mutual-TLS,请执行下列步骤:
在每个 IP 网关或 PBX 上生成证书请求。
复制该证书请求,以便在向证书颁发机构请求证书时使用。
使用该证书请求向证书颁发机构请求证书。保存证书。
将保存的证书导入每台设备或计算机。
下载 PKI 的信任根证书。
在每台设备上导入从 PKI 得到的信任根证书。如果在运行统一消息角色的 Exchange 2007 计算机上导入信任根证书,还可以在统一消息服务器或其他 Exchange 2007 服务器上使用组策略将信任根证书导入受信任的根证书存储中。但是,在配置运行统一消息服务器角色的服务器时,也可以使用此过程。
.gif "note")
注意:如果正在使用商业第三方证书实现 Mutual-TLS,将使用相同的步骤。
有关证书和 PKI 的详细信息,请参阅以下主题:
有关证书的详细信息,请参阅 Windows Server 2003 的公钥基础结构。
有关实现 Microsoft Windows Server 2003 公钥基础结构的最佳实践的详细信息,请参阅 实现 Microsoft Windows Server 2003 公钥基础结构的最佳实践。
有关如何部署基于 Windows 的 PKI 的详细信息,请参阅 Windows Server 2003 PKI 操作指南。
第三方证书颁发机构
第三方证书或商业证书是由第三方或商业 CA 生成然后由使用者购买以便在网络服务器上使用的证书。自行签署式证书和基于 PKI 的证书存在一个问题:由于证书不受信任,因此必须确保在客户端计算机、服务器和其他设备上将证书导入受信任的根证书存储中。第三方证书或商业证书没有此问题。大多数商业 CA 证书都已获得信任,因为其证书已驻留在受信任的根证书存储中。由于颁发者受到信任,因此证书也受到信任。使用第三方证书可以极大地简化部署。
对于较大型的组织或必须公开部署证书的组织来说,即使使用第三方证书或商业证书涉及开销,使用这两种类型的证书仍然是最佳选择。对于小型组织和中等规模组织,商业证书可能不是最佳解决方案,您可决定选择使用其他可用的证书。
根据 IP 网关或 IP PBX 的配置情况,您可能仍然必须先将第三方证书或商业证书导入 IP 网关和 IP PBX 上受信任的证书存储中,然后才能使用第三方证书来实现 Mutual-TLS。但在某些情况下,在组织内的统一消息服务器和其他 Exchange 2007 计算机的受信任的根证书存储中将包括第三方证书。
使用商业第三方证书启用 Mutual-TLS 时所执行的步骤与使用 PKI 证书时所执行的步骤相同。唯一的差异在于不必生成 PKI 证书,因为您已从商业第三方证书供应商那里购买了证书,并要将其导入网络内的服务器和设备上的受信任根证书存储中。
配置 Mutual-TLS
默认情况下,从 IP 网关收到传入呼叫时,不会加密 VoIP 通信,该通信也不会使用 Mutual-TLS。但是,系统将在与统一消息服务器关联的统一消息拨号计划上配置统一消息服务器的安全设置。若要使统一消息服务器能够与 IP 网关、IP PBX 和其他 Exchange 2007 服务器安全通信,必须使用 Set-UMDialPlan cmdlet 来配置 UM 拨号计划的 VoIP 安全性,然后对与 UM 拨号计划关联的统一消息服务器启用 Mutual-TLS。
| 注意: |
|---|
| 在 Exchange 2007 的正式发布 (RTM) 版本中,如果 Microsoft Exchange 统一消息服务已在运行,并且已将统一消息服务器添加到 UM 拨号计划中,则必须重新启动 Microsoft Exchange 统一消息服务,才能强制应用拨号计划上的安全设置。在 Exchange 2007 Service Pack 1 (SP1) 中,如果将统一消息服务器添加到 UM 拨号计划,则不必重新启动 Microsoft Exchange 统一消息服务。 |
启用 UM 拨号计划上的 VoIP 安全性后,与 UM 拨号计划关联的所有统一消息服务都可以安全方式进行通信。但是,根据启用 Mutual-TLS 时使用的证书的类型,在统一消息服务器和 IP 网关及 PBX 上都必须首先导入和导出必要的证书。在统一消息服务器上导入必要的一个或多个证书之后,必须重新启动 Microsoft Exchange 统一消息服务,才能使用所导入的证书来建立与 IP 网关或 IP PBX 的加密连接。有关如何导入和导出证书的详细信息,请参阅 导入和导出证书。
在成功导入和导出必要的受信任证书之后,IP 网关将向统一消息服务器请求证书,然后再向 IP 网关请求证书。通过在 IP 网关和统一消息服务器之间交换受信任的证书,可以使 IP 网关和统一消息服务器能够使用 Mutual-TLS 通过加密连接进行通信。当 IP 网关或 IP PBX 收到传入呼叫时,它将使用 Mutual-TLS 启动与统一消息服务器的证书交换,并协商安全机制。Microsoft Exchange 统一消息服务不参与证书交换过程,也用于不确定证书是否有效。但是,如果无法在统一消息服务器上找到受信任的证书,或者找到的受信任证书是无效的,或者由于 Mutual-TLS 协商失败而导致呼叫被拒绝,则统一消息服务器将收到来自 Microsoft Exchange 统一消息服务的通知。
尽管 Microsoft Exchange 统一消息服务不参与统一消息服务器和 IP 网关之间的证书交换,但 Microsoft Exchange 统一消息服务将执行以下操作:
向 Microsoft Exchange 语音服务提供完全限定的域名 (FQDN) 列表,以便只有来自该列表中的 IP 网关或 IP PBX 的呼叫会被接受。
将证书的 issuerName 和 SerialNumber 属性传递给 Microsoft Exchange 语音服务。在 IP 网关或 IP PBX 请求证书时,这些属性可以唯一识别统一消息服务器将使用的证书。
在统一消息服务器与 IP 网关或 IP PBX 使用 Mutual-TLS 执行密钥交换从而建立了加密连接之后,统一消息服务器将使用加密连接与 IP 网关和 IP PBX 进行通信。统一消息服务器还将通过使用 Mutual-TLS 的加密连接与其他 Exchange 2007 服务器(例如,客户端访问服务器和集线器传输服务器)进行通信。但是,Mutual-TLS 将只用于对从统一消息服务器提交到集线器传输服务器的通信或邮件进行加密。
.gif "important") 要点: |
|---|
| 为了能够在 UM IP 网关与在安全模式下工作的拨号计划之间启用 Mutual-TLS,必须首先用 FQDN 配置 UM IP 网关,将其配置为在端口 5061 上进行侦听。若要配置 UM IP 网关,请运行以下命令:Set-UMIPGateway -identity MyUMIPGateway -Port 5061。 |
IPsec
IPsec 也使用证书来加密数据。它为抵御专用网络和 Internet 攻击提供了一道关键防线。
IPsec 有以下目标:
保护 IP 数据包的内容。
通过数据包筛选和执行信任通信来抵御网络攻击。
IPsec 是开放标准的框架,它可以帮助确保通过使用加密安全服务在 IP 网络上建立专用的安全通信。
IPsec 使用基于加密的保护服务、安全协议和动态密钥管理。它为保护专用网络计算机、域、网站、远程网站、Extranet 和拨号客户端之间的通信提供了极高的强度和灵活性。它甚至可以用于阻止特定类型通信的回执或传输。
IPsec 基于从源 IP 地址到目标 IP 地址建立信任和安全机制的端到端安全模型。IP 地址本身不一定被视为标识,而是 IP 地址后面的系统具有通过身份验证过程进行验证的标识。只有必须了解正在受到保护的通信的计算机才会是发送和接收计算机。每台计算机都要在它的那一端执行安全处理,并在通信所使用的媒体不安全这一假设下工作。除非两台计算机之间正在执行防火墙类型的数据包筛选或网络地址转换,否则只将数据从源路由到目标的计算机可以不支持 IPsec。这样,就可以在以下组织方案下成功部署 IPsec:
LAN:客户端到服务器、服务器到服务器以及服务器到 VoIP 设备
WAN:路由器到路由器和网关到网关
远程访问:从专用网络发出的拨号客户端和 Internet 访问
通常,两端都需要进行 IPsec 配置才能设置将允许两个系统都同意如何帮助保护它们之间的通信的选项和安全设置。这称为 IPsec 策略。Microsoft Windows 2000 Server、Windows XP 和 Windows Server 2003 系列的 IPsec 实施均基于由 Internet 工程任务组 (IETF) IPsec 工作组所开发的行业标准。IPsec 相关服务的几个部分是由 Microsoft 和 Cisco Systems, Inc 联合开发的。有关如何配置 IPsec 策略的详细信息,请参阅 创建、修改和分配 IPsec 策略。
有关 IPsec 的详细信息,请参阅 IPSec 概念。
.gif "Caution") 警告: |
|---|
| 如果网络当前已实施 IPsec 策略,则必须从 IPsec 策略中排除 IP 网关和 IP PBX。如果不排除,则每 3 秒的语音邮件将有 1 秒丢失语音传输。这是一个已知问题,并且已经有针对 Microsoft Windows Server 2003 的修补程序。有关此修补程序的详细信息,请参阅 如何在 Windows Server 2003 和 WindowsXP 中简化 Internet 协议 (IPsec) 安全筛选的创建和维护。 |
Exchange 2007 RTM 中的 UM 拨号计划和 VoIP 安全性
统一消息可以使用加密与 IP 网关、IP PBX 及其他 Exchange 2007 计算机进行通信。但是,这取决于 UM 拨号计划的配置方式。默认情况下,UM 拨号计划不使用加密来保护 VoIP 通信。可以使用 Exchange 命令行管理程序中的 Get-UMDialPlan cmdlet 来确定给定 UM 拨号计划的安全设置。如果 VoIP 安全参数已启用,则通过检查应用程序事件日志中是否已记录编号为 1114 和 1112 的信息事件,可以验证 Microsoft Exchange 统一消息服务是否已在安全模式下启动。
默认情况下,统一消息拨号计划和与该 UM 拨号计划关联的统一消息服务器在发送和接收数据时不使用加密。因此,它们是在不安全模式下配置的。在不安全模式下,将不加密 VoIP 和 SIP 通信。但是,可以使用 VoIPSecurity 参数来配置 UM 拨号计划和与该 UM 拨号计划关联的统一消息服务器。VoIPSecurity 参数可以将拨号计划配置为使用 Mutual-TLS 来加密 VoIP 和 SIP 通信。
统一消息使用 VoIP 协议实时传输协议 (RTP) 和 SIP 来与其他设备和服务器通信。如果将 UM 拨号计划配置为使用 VoIP 安全性或安全模式,将对 SIP 信号通道进行加密。SIP 信号通道可使用通过 Mutual-TLS 进行保护的 SIP。但是,使用 RTP 的媒体通道仍将使用传输控制协议 (TCP),而后者是不安全的。
| 注意: |
|---|
| 使用安全实时传输协议 (SRTP) 的安全信号媒体通道还将使用 Mutual-TLS 来加密 VoIP 数据。SRTP 在此版本的产品中不可用。但是,已为将来的版本计划了 SRTP 支持。这意味着,Exchange 2007 统一消息所使用的 SIP 数据和媒体通道将被加密。 |
创建 UM 拨号计划之后,必须使用 Set-UMDialPlan cmdlet 来设置 VoIP 安全模式。在将 UM 拨号计划配置为使用 VoIP 安全性时,与该 UM 拨号计划关联的统一消息服务器将使用安全模式或进行加密。但是,为了能够与统一消息服务器互相收发加密数据,必须正确配置 UM 拨号计划,并且 IP 网关或 IP PBX 等设备必须支持 Mutual-TLS。
统一消息服务器可以与一个或多个 UM 拨号计划关联。但是,一个统一消息服务器只能使用 Mutual-TLS(安全)和 TCP(不安全)中的某一个,而不能同时使用二者。这是 SIP 信号堆栈的一种限制。因此,一个统一消息服务器只能与多个具有相同安全配置的拨号计划关联。
默认情况下,创建拨号计划时,拨号计划将使用不安全模式,或者不使用加密。但是,如果已将与 UM 拨号计划关联的统一消息服务器配置为使用 Mutual-TLS 来加密 VoIP 通信,而且必须禁用拨号计划的 VoIP 安全性,则必须执行以下步骤:
从当前运行于保护模式的 UM 拨号计划中删除所有统一消息服务器。
使用 Set-UMDialPlan cmdlet 将拨号计划设置为不安全模式。
使统一消息服务器与现在正运行于不安全模式的拨号计划关联。
| 要点: |
|---|
| 如果要将相互 TLS 配置为对在 Dialogic 型号 2000 或 4000 IP 网关 之间交换的数据进行加密,必须使用同时支持服务器和客户端身份验证的计算机 V3 证书模板。支持服务器身份验证的 Web 服务器证书模板仅适用于 Dialogic 1000 和 3000 IP 网关、AudioCodes IP 网关以及 Microsoft Office Communications Server 2007。 |
Exchange 2007 SP1 新增功能
安装了 Exchange 2007 SP1 的统一消息服务器可以在不安全、SIP 安全或安全模式下与 IP 网关、IP PBX 和其他 Exchange 2007 计算机进行通信,具体取决于 UM 拨号计划的配置方式。由于将统一消息服务器配置为在 TCP 端口 5060 上侦听不安全的请求,同时在 TCP 端口 5061 上侦听安全的请求,因此可以在拨号计划中配置的任何模式下运行统一消息服务器。统一消息服务器可以与单个或多个 UM 拨号计划关联,并且可以与具有不同的 VoIP 安全设置的拨号计划相关联。可以将单个统一消息服务器与配置为使用不安全、SIP 安全和安全模式组合的拨号计划关联。
默认情况下,创建 UM 拨号计划时,它将使用不安全模式进行通信;与 UM 拨号计划关联的统一消息服务器通过使用非加密方式处理与 IP 网关、IP PBX 及其他 Exchange 2007 计算机之间的往来数据。在不安全模式中,实时传输协议 (RTP) 媒体通道和 SIP 信号信息都是不加密的。
可以将统一消息服务器配置为使用 Mutual-TLS 来加密与其他设备和服务器之间的往来 SIP 和 RTP 通信。将统一消息服务器添加到 UM 拨号计划并将拨号计划配置为使用 SIP 安全模式时,仅加密 SIP 信号通信,RTP 媒体通道将仍然使用传输控制协议 (TCP)。不加密 TCP。但是,如果将统一消息服务器添加到 UM 拨号计划并将拨号计划配置为使用安全模式,则加密 SIP 信号通信和 RTP 媒体通道。使用安全实时传输协议 (SRTP) 的安全信号媒体通道还使用 Mutual-TLS 来加密 VoIP 数据。
在创建新拨号计划时或在创建拨号计划之后,都可以使用 Exchange 管理控制台或 Set-UMDialPlan cmdlet 配置 VoIP 安全模式。将 UM 拨号计划配置为使用 SIP 安全或安全模式时,与该 UM 拨号计划关联的统一消息服务器将加密 SIP 信号通信或 RTP 媒体通道,或者同时加密两者。但是,为了能够与统一消息服务器互相收发加密数据,必须正确配置 UM 拨号计划,并且 IP 网关或 IP PBX 等设备必须支持 Mutual-TLS。
UM 如何确定安全模式并选择证书
当 Microsoft Exchange 统一消息服务启动时,它将检查关联的 UM 拨号计划和 VoipSecurity 参数设置,并确定应在安全模式下启动还是在不安全模式下启动。如果确定必须在安全模式下启动,它随后将确定是否可以访问所需的证书。如果统一消息服务器未与任何 UM 拨号计划关联,它将通过在 UMRecyclerConfig.xml 文件中查找 StartSecured 参数来确定要在哪种模式下启动。可以使用 0 或 1 设置此参数。值 1 启动统一消息服务器将使用加密保护 VoIP 通信;值 0 启动服务器不使用加密保护 VoIP 通信。如果要将统一消息服务器的启动行为从安全更改到不安全,或从不安全更改到安全,可以使服务器与合适的 UM 拨号计划关联,然后重新启动统一消息服务器。还可以在 UMRecyclerConfig.xml 配置文件中对配置设置进行更改,然后重新启动 Microsoft Exchange 统一消息服务。
如果 Microsoft Exchange 统一消息服务是在不安全模式下启动的,它将正常启动。但是,请确保验证 IP 网关和 IP PBX 也在不安全模式下运行。另外,如果正在不安全模式下测试统一消息服务器的连接,请使用带有 -Secured:false 参数的 Test-UMConnectivity cmdlet。
如果 Microsoft Exchange 统一消息服务是以安全模式启动的,它将查询本地证书存储,以查找可供 Mutual-TLS 启用加密时使用的有效证书。该服务将首先查找有效的 PKI 证书或商业证书,然后,如果未到找合适证书,它将查找要使用的自签名证书。如果未找到 PKI 证书、商业证书或自签名证书,Microsoft Exchange 统一消息服务将创建以安全模式启动的自签名证书。如果以不安全模式启动统一消息服务器,则不需要证书。
一旦使用了证书或证书已更改,则用于在安全模式下执行启动的证书的所有详细信息都将记录到日志中。所记录的一些详细信息包括:
颁发者名称
序列号
指纹
指纹是安全哈希算法 (SHA1) 散列数据,它可以用于唯一标识所使用的证书。然后,可以将 Microsoft Exchange 统一消息服务在安全模式下启动时所使用的证书从本地证书存储中导出,之后将此证书导入网络中的 IP 网关和 IP PBX 上受信任的证书存储中。
找到并使用合适的证书之后,如果没有发生其他更改,则 Microsoft Exchange 统一消息服务将在所用证书过期前的一个月在日志中记录事件。如果此时不对证书进行任何更改,则 Microsoft Exchange 统一消息服务将在证书过期前的每一天,以及在证书过期后的每一天,在日志中记录事件。
统一消息服务器在查找供 Mutual-TLS 在建立加密通道时使用的证书时,将在受信任的根证书存储中执行查找。如果有多个有效并且来自不同颁发者的证书,则统一消息服务器将选择距离证书过期时间最长的有效证书。如果存在多个证书,则统一消息服务器将基于颁发者和证书的过期日期来选择证书。统一消息服务器将按下面的顺序查找有效证书。
具有最长过期期限的 PKI 证书或商业证书。
具有最短过期期限的 PKI 证书或商业证书。
具有最长过期期限的自行签署证书。
具有最短过期期限的自行签署证书。
要点:在客户端访问服务器上安装了用于对客户端访问服务器和统一消息服务器之间的“在电话上播放”数据进行加密的新证书后,必须在命令提示符下运行 IISreset 命令以加载正确的证书。
Exchange 2007 SP1 新增功能
UMRecyclerConfig.xml 文件不再包含统一消息服务器的安全设置。在 Exchange 2007 SP1 中,统一消息服务器可以同时在“不安全”、“SIP 安全”和“安全”模式下工作。
统一消息服务器可以与具有不同安全设置的 UM 拨号计划关联。
将统一消息服务器从具有特定安全设置的拨号计划转到具有不同安全设置的不同拨号计划时,不再需要重新启动 Microsoft Exchange 统一消息服务。
有效的商业、PKI 或自签名证书是必需的。如果统一消息服务器找不到有效的证书,它将生成自签名证书。统一消息服务器在“SIP 安全”或“安全”模式下工作时,需要使用有效证书来加密 VoIP 通信。
详细信息
有关如何停止 Microsoft Exchange 统一消息服务的详细信息,请参阅如何启动 Microsoft Exchange 统一消息服务。
有关如何停止 Microsoft Exchange 统一消息服务的详细信息,请参阅如何停止 Microsoft Exchange 统一消息服务。
有关如何配置 UM 拨号计划以使用安全模式的详细信息,请参阅 Set-UMDialplan。
有关受支持的 IP 网关的详细信息,请参阅受支持的 IP/VoIP 网关。
有关 IP PBX 和 PBX 支持的详细信息,请参阅 IP/PBX 和 PBX 支持。
有关如何使统一消息服务器与 UM 拨号计划关联的详细信息,请参阅如何将统一消息服务器添加到拨号计划中。