了解整合通訊 VoIP 安全性

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2008-07-03

具有保護整合通訊基礎結構的能力,是網路安全的重要層面之一。您必須正確設定整合通訊環境中的元件,協助保護網路上 Unified Messaging Server 所收發的資料。這些元件包括 Unified Messaging Server 及撥號對應表等等。本主題討論如何加強對組織中整合通訊網路資料及伺服器的保護。您必須遵循下列步驟以協助保護您的整合通訊環境及啟用 VoIP 安全性:

  1. 安裝 Unified Messaging server role。

  2. 建立 UM 撥號對應表,並設定 UM 撥號對應表來使用 VoIP 安全性。

  3. 將 Unified Messaging Server 與 UM 撥號對應表產生關聯。

  4. 匯出及匯入必要的憑證,讓 Unified Messaging Server、IP 閘道、IP 專用交換機 (IP PBX) 以及執行 Microsoft Exchange Server 2007 的其他伺服器能夠使用相互傳輸層安全性 (相互 TLS)。

  5. 設定使用的 UM IP 閘道具備網域全名 (FQDN)。

保護整合通訊

有好幾種安全性方法可以協助您保護 Unified Messaging Server,以及在 IP 閘道和 Unified Messaging Server 之間,還有 Unified Messaging Server 與組織中其他 Exchange 2007 伺服器之間傳送的網路流量。下表列出一些可能會對整合通訊基礎結構造成的威脅,以及有助於保護整合通訊的可行安全性方法。

保護整合通訊

所要防護的威脅 可行的防護方式

監視語音流量

  • 使用網際網路通訊協定 (IPsec)。不過,IP 閘道或 IP PBX 必須支援 IPsec。

  • 使用安全即時傳輸通訊協定 (SRTP) (只限 Exchange 2007 SP1)。

監視傳真流量

  • 使用 IPsec。不過,IP 閘道或 IP PBX 必須支援 IPsec。

對 IP 閘道或 IP PBX 的攻擊

  • 使用嚴密的驗證方法。

  • 使用嚴密的系統管理密碼。

  • 使用安全通訊端層 (SSL) 來保護系統管理認證。IP 閘道或 IP PBX 必須支援 SSL。

  • 使用 Secure Shell (SSH) 來代替 Telnet。

未經授權的長途電話

  • 使用 UM 撥號對應表規則及撥號限制。這些都可以設定在 UM 撥號對應表及 UM 信箱原則中。

  • 或者,您也可以設定 PBX 來強制執行其他撥號限制。

阻絕服務攻擊

  • Unified Messaging Server 只會與信任之 VoIP 裝置或伺服器清單中內含的 UM IP 閘道或 IP PBX 通訊。在 Active Directory 目錄服務中建立 UM IP 閘道時,便會建立這份信任的 VoIP 裝置或伺服器清單。

  • 使用相互 TLS。

工作階段初始通訊協定 (SIP) Proxy 模擬

  • 使用相互 TLS。

  • 使用 IPsec。不過,IP 閘道或 IP PBX 必須支援 IPsec。

  • 設定信任的 LAN,例如:VLAN、專用 WAN 迴路或虛擬私人網路 (VPN)。

竊聽及工作階段攔截

  • 使用相互 TLS 來減少訊號竊聽。

  • 使用 IPsec。不過,IP 閘道或 IP PBX 必須支援 IPsec。

  • 設定信任的 LAN,例如:VLAN、專用 WAN 迴路或 VPN。

上表中所列的數種安全性方法,可用來保護您的整合通訊環境。用於保護整合通訊基礎結構和整合通訊所產生之網路流量的最重要機制之一,就是相互 TLS。

您可以使用相互 TLS 將 Voice over IP (VoIP) 流量加密,以在 IP 閘道、IP PBX 及您網路上的其他 Exchange 2007 伺服器和 Unified Messaging Server 之間傳遞。保護此資料的最佳選擇,是使用相互 TLS 將 VoIP 資料加密。

然而,您也可以根據安全性威脅來設定 IPsec 原則,以在 IP 閘道或 IP PBX 與 Unified Messaging Server 之間,或在 Unified Messaging Server 與您網路上其他的 Exchange 2007 伺服器之間,啟用資料加密。在有些環境中,您可能會無法使用 IPsec,這是因為 IPsec 可能無法使用或不受 IP 閘道或 IP PBX 支援。此外,IPsec 會在 Unified Messaging Server 的系統資源上加諸額外的處理負荷。基於上述這兩個因素,相互 TLS 較適合用來保護整合通訊環境中的 VoIP 網路流量。

正確實作及設定相互 TLS 之後,IP 閘道之間、IP PBX 之間,以及從其他 Exchange 伺服器到 Unified Messaging Server 的 VoIP 流量都會進行加密。然而,當相互 TLS 無法用於協助保護 Unified Messaging Server 所收發的流量時,例如:當 Unified Messaging Server 與您網路上的另一部伺服器 (如:Active Directory 網域控制站或 Exchange 2007 Mailbox Server) 進行通訊時,就會使用其他類型的加密方法來保護資料。下圖顯示可用於保護整合通訊的加密方法。

UM VoIP 安全性

UM VOIP 安全性

憑證類型

數位憑證是一種作用類似線上護照的電子檔案,可確認使用者或電腦的身分,並可建立用來保護資料的加密通道。基本上,憑證是由憑證授權單位 (CA) 發出的數位聲明,可證實憑證持有者的身分,並可讓各方透過加密功能,以安全的方式來通訊。憑證可由受信任的協力廠商 CA 發出,例如:使用憑證服務,或是自行簽署。每種憑證都各有優缺點。但是憑證都有防止竄改的特性,而且無法偽造。憑證可針對各種功能來發出,例如:Web 使用者驗證、Web 伺服器驗證、S/MIME、IPsec、傳輸層安全性 (TLS) 及程式碼簽章。

憑證會將公開金鑰繫結至具有相對應之私密金鑰的個人、電腦或服務識別碼。用戶端及伺服器都會使用公開及私密金鑰,先將資料加密,再透過線路進行傳輸。各種公開金鑰安全性服務,以及透過網路 (例如:網際網路) 來提供驗證、資料完整性和安全通訊的應用程式,都會使用憑證。對於 Windows 型使用者、電腦及服務而言,當受信任的儲存庫中有根憑證的副本,且該憑證包含有效的憑證路徑時,就會在 CA 中建立起信任。這表示憑證路徑中沒有憑證被撤銷,或是有效期限到期。

數位憑證可以執行下列作業:

  • 驗證其持有者—人員、網站,甚至網路資源 (例如:路由器)—的確就是其所宣稱的身分。

  • 它會保護在線上交換的資料不被竊取或擅改。

傳統上,有三個選項或種類的憑證可供整合通訊和 IP 閘道或 IP PBX 使用。在這三種方法或選項中,憑證擁有者的公開金鑰是屬於憑證的一部份,讓另一端的伺服器、使用者、網站或其他資源能夠將郵件解密。而私密金鑰就只有憑證的簽署者知道。每個憑證上都設有 EnhancedKeyUsage 屬性,為憑證指定特定的用法。例如,可將用法指定成只用於伺服器驗證,或是搭配加密檔案系統使用。整合通訊會使用憑證來進行伺服器驗證及資料加密。

自行簽署的憑證

自行簽署的憑證是由原建立者簽署的憑證。憑證的主旨與名稱會相符。在自行簽署的憑證上,簽發者與主旨都會定義於憑證上。自行簽署的憑證不需要有來自組織或協力廠商的 CA 存在。如果要得到發出憑證之 Unified Messaging Server 的信任,您必須明確地設定這些憑證,並且將憑證複製到每個 IP 閘道、IP PBX、其他 Unified Messaging Server 及其他 Exchange 2007 電腦上受信任的根憑證存放區中。

如果無法使用公開金鑰基礎結構 (PKI) 型或協力廠商的憑證,Unified Messaging Server 將會在本機憑證儲存庫中搜尋自行簽署的憑證。如果找不到 PKI 或協力廠商憑證,就會為相互 TLS 產生自行簽署的憑證。然而,因為它是自行簽署的憑證,所以不會受到 IP 閘道、網路上的 IP PBX 或網路上其他伺服器的信任。若要確保自行簽署的憑證可以得到 IP 閘道、IP PBX 或其他伺服器的信任,您必須將自行簽署的憑證匯入該裝置或伺服器之本機信任的根憑證存放區中。完成之後,當 Unified Messaging Server 向 IP 閘道、IP PBX 或伺服器提出這個自行簽署的憑證時,就可以確認該憑證是由受信任的授權單位所發出,因為簽發者就是自行簽署的憑證上所定義的主旨。

如果您只有使用自行簽署的憑證,則必須針對每個 IP 閘道、IP PBX 或伺服器匯入一個自行簽署的憑證。在具有多重裝置或電腦的大型網路環境中,這可能不是實作相互 TLS 的最佳選擇。在大型企業網路中,因為有額外的系統管理負荷,以致使用自行簽署的憑證無法適當地調整。然而,如果您有多重裝置,並使用 PKI 或商業性協力廠商憑證,則系統管理負荷就不成問題。這是因為每個裝置都具有由相同之受信任根憑證授權單位發出的憑證。擁有相同之受信任根憑證授權單位所發出的憑證,可保證所有 IP 閘道、IP PBX 及其他伺服器都會信任 Unified Messaging Server。

讓相互 TLS 使用自行簽署的憑證來工作:

  1. 取得 Unified Messaging Server 的自行簽署憑證,並將它匯入每個 IP 閘道、IP PBX,以及 Unified Messaging Server 將使用相互 TLS 與它通訊的其他伺服器上的受信任根憑證存放區中。

  2. 取得每個 IP 閘道、IP PBX 及其他伺服器的自行簽署憑證,並將憑證匯入 Unified Messaging server 的受信任根憑證存放區中。如果您是使用 PKI 或協力廠商憑證,則將憑證授權單位的憑證匯入所有裝置及伺服器上的受信任根憑證儲存庫。

當您部署相互 TLS 或憑證型驗證時,自行簽署的憑證通常不是最好的憑證選項。然而,裝置或電腦數量有限的小型組織可能會決定使用自行簽署的憑證方法,因為這是當您實作相互 TLS 時,設定最簡單且費用最低的方法。小型組織經常會因為經費問題,及/或因為他們的系統管理員缺乏建立自己的憑證階層的經驗及知識,而決定不使用協力廠商的憑證或安裝自己的 PKI 來發出自己的憑證。當您使用自行簽署的憑證時,成本最低,設定也很簡單。然而,若要建立憑證週期管理、更新、信任管理及撤銷的基礎結構時,使用自行簽署憑證的難度會高出許多。如需如何建立 TLS 的憑證的相關資訊,請參閱建立 TLS 的憑證或憑證要求

公開金鑰基礎結構

公開金鑰基礎結構 (PKI) 是一套數位憑證、憑證授權單位及註冊授權單位的系統,可使用公開金鑰加密法來確認及驗證與電子交易有關之各方的有效性。當您在使用 Active Directory 的組織中實作 CA 時,會提供憑證週期管理、更新、信任管理及撤銷的基礎結構。這些特性為您組織中的所有憑證提供了具體的基礎結構。然而,需要一些成本來部署額外的伺服器及基礎結構,才能建立及管理這些類型的憑證。

您可以在網域中的任何伺服器上安裝憑證服務。如果您從網域 Windows 型 CA 取得憑證,則可使用 CA 來要求或簽署憑證,以便簽發給網路上自己的伺服器或電腦。這可讓您使用類似協力廠商憑證廠商的 PKI,但花費較少。雖然這些 PKI 無法像其他類型的憑證一樣可以公開部署,但使用 PKI 時,CA 會使用私密金鑰來簽署要求者的憑證,該要求者因而獲得驗證。這個 CA 的公開金鑰包含在該 CA 發行的憑證中。任何以此 CA 的憑證作為根憑證的人,都可以使用該公開金鑰將要求者的憑證解密,進而驗證該要求者。

當您使用 PKI 憑證來實作相互 TLS 時,必須將必要的憑證複製到 IP 閘道或 IP PBX。然後,您必須將 IP 閘道或 IP PBX 上的憑證,複製到與 UM 撥號對應表 (以安全模式設定) 關聯的 Unified Messaging Server。

使用 PKI 憑證及協力廠商憑證的設定和組態,類似於匯入及匯出自行簽署憑證時所執行的程序。不過,您不應只將電腦憑證安裝到信任的根憑證存放區中。您還必須將 PKI 的信任的根憑證匯入或複製到 Unified Messaging Server 和您網路上的 IP 閘道與 PBX 上的信任的根憑證存放區中。

若要在已部署 PKI 基礎結構的情況下部署相互 TLS,請遵循下列步驟:

  1. 在每個 IP 閘道或 PBX 上產生憑證要求。

  2. 複製憑證要求,以便在向憑證授權單位要求憑證時使用。

  3. 使用該憑證要求來向憑證授權單位要求憑證。儲存憑證。

  4. 匯入您儲存在每個裝置或電腦上的憑證。

  5. 下載 PKI 的受信任根憑證。

  6. 從每個裝置上的 PKI 匯入受信任的根憑證。如果您要在執行 Unified Messaging role 的 Exchange 2007 電腦上匯入受信任的根憑證,也可以使用群組原則,將受信任的根憑證匯入 Unified Messaging Server 或其他 Exchange 2007 伺服器上的受信任根憑證儲存庫。然而,當您設定執行 Unified Messaging server role 的伺服器時,也會使用此程序。

    note附註:
    如果您是使用商業性的協力廠商憑證來實作相互 TLS,也是使用相同的步驟。

如需憑證及 PKI 的相關資訊,請參閱下列主題。

協力廠商憑證授權單位

協力廠商或商業性憑證是由協力廠商或商業性 CA 所產生,然後為您購買以用在網路伺服器上的憑證。自行簽署和 PKI 型憑證有一個問題,就是因為該憑證不受信任,所以您必須確定將該憑證匯入用戶端電腦、伺服器及其他裝置上的受信任根憑證存放區中。協力廠商或商業性憑證則沒有這個問題。大部分的商業性 CA 憑證都已受到信任,因為憑證本來就位於受信任的根憑證儲存庫中。由於簽發者受到信任,憑證也會受到信任。使用協力廠商憑證可大幅簡化部署作業。

對於大型組織或必須公開部署憑證的組織來說,最好是使用協力廠商或商業性憑證,雖然會有憑證的相關成本。對於中小型組織來說,商業性憑證可能就不是最佳的解決方案了,而且您可能會決定使用其他可用的憑證選項之一。

根據 IP 閘道或 IP PBX 的組態而定,您可能仍必須將協力廠商或商業性憑證匯入 IP 閘道及 IP PBX 上的受信任憑證儲存庫中,才能使用相互 TLS 的協力廠商憑證。然而,在某些情況下,協力廠商憑證會包含在 Unified Messaging Server 及您組織中其他 Exchange 2007 電腦上的受信任根憑證儲存庫中。

使用商業性協力廠商憑證來啟用相互 TLS 所執行的程序,和使用 PKI 憑證時所執行的程序相同。唯一不同之處,在於您不必產生 PKI 憑證,這是因為您已向商業性憑證協力廠商購買憑證,該憑證會匯入至您網路上之伺服器及裝置上的受信任根憑證儲存庫中。

設定相互 TLS

依預設,從 IP 閘道接收內送的呼叫時,VoIP 流量並沒有加密,也沒有使用相互 TLS。然而,與 Unified Messaging Server 關聯的整合通訊撥號對應表上會設定 Unified Messaging Server 的安全設定值。若要讓 Unified Messaging Server 能與 IP 閘道、IP PBX 及其他 Exchange 2007 伺服器安全地通訊,必須使用 Set-UMDialPlan 指令程式來設定 UM 撥號對應表的 VoIP 安全性,然後為與 UM 撥號對應表關聯的 Unified Messaging Server 啟用相互 TLS。

note附註:
在 Exchange 2007 的量產發行 (RTM) 版本中,如果 Microsoft Exchange 整合通訊服務已在執行中,而您將 Unified Messaging Server 新增至 UM 撥號對應表中,則必須重新啟動 Microsoft Exchange 整合通訊服務,以強制執行撥號對應表的安全性設定。在 Exchange 2007 Service Pack 1 (SP1) 中,如果將 Unified Messaging Server 新增至 UM 撥號對應表,不必重新啟動 Microsoft Exchange 整合通訊服務。

啟用 UM 撥號對應表的 VoIP 安全性之後,與 UM 撥號對應表關聯的所有 Unified Messaging Server 都可以用安全的方式進行通訊。然而,您必須根據您用來啟用相互 TLS 的憑證類型,先匯入和匯出 Unified Messaging Server 以及 IP 閘道和 PBX 上的必要憑證。在 Unified Messaging Server 上匯入必要憑證之後,您必須重新啟動 Microsoft Exchange 整合通訊服務,才能使用所匯入的憑證來建立與 IP 閘道或 IP PBX 的加密連線。如需如何匯入及匯出憑證的詳細資訊,請參閱 匯入及匯出憑證 (英文)。

成功匯入及匯出必要的受信任憑證之後,IP 閘道會向 Unified Messaging Server 要求憑證,然後再向 IP 閘道要求憑證。在 IP 閘道與 Unified Messaging Server 之間交換受信任的憑證,可讓 IP 閘道與 Unified Messaging Server 使用相互 TLS 透過加密連線來通訊。當 IP 閘道或 IP PBX 收到內送的呼叫時,將會使用相互 TLS 搭配 Unified Messaging Server 來初始化憑證交換及交涉安全性。在憑證交換程序中,或決定憑證是否有效時,並不會用到 Microsoft Exchange 整合通訊服務。然而,如果在 Unified Messaging Server 上找不到受信任的憑證、雖找到受信任的憑證但無效,或是因為相互 TLS 交涉失敗而使呼叫遭拒,Unified Messaging Server 就會收到 Microsoft Exchange 整合通訊服務的通知。

雖然 Microsoft Exchange 整合通訊服務沒有參與 Unified Messaging Server 和 IP 閘道之間的憑證交換作業,但是 Microsoft Exchange 整合通訊服務會執行下列各項:

  • 提供網域全名 (FQDN) 的清單給 Microsoft Exchange 語音服務,這樣就只會接受來自清單中包含之 IP 閘道或 IP PBX 的呼叫。

  • 將憑證的 issuerNameSerialNumber 屬性傳遞至 Microsoft Exchange 語音服務。這些屬性會識別當 IP 閘道或 IP PBX 要求憑證時,Unified Messaging Server 將使用的唯一憑證。

Unified Messaging Server 和 IP 閘道或 IP PBX 執行金鑰交換,並使用相互 TLS 建立加密連線之後,Unified Messaging Server 會使用加密連線與 IP 閘道和 IP PBX 通訊。Unified Messaging Server 也會使用採行相互 TLS 的加密連線來與其他 Exchange 2007 伺服器通訊,例如:Client Access Server 和 Hub Transport Server。然而,相互 TLS 只會用來加密由 Unified Messaging Server 提交給 Hub Transport Server 的流量或郵件。

important重要事項:
若要在 UM IP 閘道與以安全模式操作的撥號對應表之間啟用相互 TLS,您必須先以 FQDN 來設定 UM IP 閘道,並將它設定為在通訊埠 5061 上接聽。若要設定 UM IP 閘道,請執行以下命令:Set-UMIPGateway -identity MyUMIPGateway -Port 5061

IPsec

IPsec 也會使用憑證將資料加密。它可提供主要防禦線,以防範私人網路及網際網路攻擊。

IPsec 的目標如下:

  • 保護 IP 封包的內容。

  • 透過封包篩選及強制執行受信任的通訊,以防範網路攻擊。

IPsec 是一種開放式標準架構,可使用加密安全服務來協助確保 IP 網路上的私人安全通訊。

IPsec 會使用加密型保護服務、安全通訊協定及動態金鑰管理。它提供了強度及彈性來保護私人網路電腦、網域、站台、遠端站台、外部網路及撥號用戶端之間的通訊。甚至可以用來封鎖特定類型流量的收發。

IPsec 是以端對端安全性模式為基礎,可以建立從來源 IP 位址至目的 IP 位址的信任及安全性。不需要將 IP 位址本身視為識別碼。反之,IP 位址後面的系統具有經由驗證程序來驗證的識別碼。唯一需要知道哪些流量受到保護的電腦,就是負責傳送和接收的電腦。每台電腦都會在各自的端點控制安全性,並且在通訊媒體不安全的假設之下操作。只是將資料從來源路由傳送至目的地的電腦,不需要支援 IPsec,除非兩台電腦之間正在進行防火牆類型的封包篩選,或是網路位址轉換。這可以讓下列組織性案例順利部署 IPsec:

  • LAN:用戶端對伺服器、伺服器對伺服器,以及伺服器對 VoIP 裝置

  • WAN:路由器對路由器,以及閘道對閘道

  • 遠端存取:撥號用戶端,以及從私人網路存取網際網路

一般而言,兩邊都需要 IPsec 組態來設定選項及安全性設定,讓兩個系統都同意如何協助保護它們之間的流量。這就是所謂的 IPsec 原則。Microsoft Windows 2000 Server、Windows XP 及 Windows Server 2003 系列的 IPsec 實作,是以「網際網路工程任務推動小組 (IETF)」之 IPsec 工作團隊所開發的產業標準為基礎。有部分的 IPsec 相關服務是由 Microsoft 及 Cisco Systems, Inc. 所共同開發。如需如何設定 IPsec 原則的相關資訊,請參閱建立、修改及指派 IPsec 原則 (英文)。

如需 IPsec 的相關資訊,請參閱 IPSec 概念 (英文)。

Caution請注意:
如果您的網路上目前已實作 IPsec 原則,則必須將 IP 閘道及 IP PBX 排除在 IPsec 原則之外。如果沒有這麼做,語音信箱中每 3 秒就會漏掉 1 秒的語音傳輸。這是 Microsoft Windows Server 2003 的已知問題及 Hotfix。如需此 Hotfix 的相關資訊,請參閱如何在 Windows Server 2003 及 Windows XP 中簡化網際網路通訊協定 (IPsec) 安全性篩選器的建立及維護工作 (英文)。

Exchange 2007 RTM 中的 UM 撥號對應表和 VoIP 安全性

整合通訊可以使用加密和 IP 閘道、IP PBX 及其他 Exchange 2007 電腦通訊。不過,這取決於設定 UM 撥號對應表的方法。依預設,UM 撥號對應表不會使用加密保護 VoIP 流量。您可以在 Exchange 管理命令介面中使用 Get-UMDialPlan 指令程式,來判定指定之 UM 撥號對應表的安全性設定。若已啟用 VoIP 安全性參數,您可以檢查應用程式事件日誌,看看是否已記錄編號為 1114 及 1112 的資訊事件,以確認已使用安全模式來啟動 Microsoft Exchange 整合通訊服務。

依預設,整合通訊撥號對應表以及與該 UM 撥號對應表關聯的 Unified Messaging Server 不會使用加密來收發資料。因此,會以非安全模式來加以設定。在非安全模式下,不會將 VoIP 及 SIP 流量加密。但可以使用 VoIPSecurity 參數來設定 UM 撥號對應表以及與 UM 撥號對應表關聯的 Unified Messaging Server。VoIPSecurity 參數會設定撥號對應表,以使用相互 TLS 將 VoIP 和 SIP 流量加密。

整合通訊會使用 VoIP 通訊協定、即時傳輸通訊協定 (RTP) 及 SIP 來與其他裝置和伺服器通訊。當您設定 UM 撥號對應表使用 VoIP 安全性或安全模式時,就會將 SIP 信號通道加密。SIP 訊號通道可使用利用相互 TLS 保護的 SIP。但是使用 RTP 的媒體通道仍會使用不安全的傳輸控制通訊協定 (TCP)。

note附註:
使用安全即時傳輸通訊協定 (SRTP) 的安全信號媒體,也會使用相互 TLS 將 VoIP 資料加密。本版產品無法使用 SRTP。但計畫未來的版本會支援 SRTP。這表示 Exchange 2007 整合通訊所使用的 SIP 資料及媒體通道都會被加密。

建立 UM 撥號對應表之後,您必須使用 Set-UMDialPlan 指令程式來設定 VoIP 安全性模式。當您設定 UM 撥號對應表使用 VoIP 安全性時,與該 UM 撥號對應表關聯的 Unified Messaging Server 將會使用安全模式或加密。然而,若要從 Unified Messaging Server 往返傳送加密的資料,您必須正確地設定 UM 撥號對應表及裝置,例如:IP 閘道或 IP PBX 必須支援相互 TLS。

Unified Messaging Server 可以與單一或多重 UM 撥號對應表建立關聯。然而,單一 Unified Messaging Server 可以使用相互 TLS (安全) 或 TCP (不安全) 其中一項,但不能兩者並用。這是 SIP 信號堆疊的一項限制。因此,單一 Unified Messaging Server 只能與具有相同安全性組態的多重撥號對應表建立關聯。

撥號對應表在建立之後,預設會使用非安全模式或不加密。然而,如果與 Unified Messaging Server 關聯的 UM 撥號對應表設定為使用相互 TLS 將 VoIP 流量加密,而且您必須停用該撥號對應表的 VoIP 安全性,則必須遵循下列步驟:

  1. 從目前以安全模式執行的 UM 撥號對應表中,移除所有 Unified Messaging Server。

  2. 使用 Set-UMDialPlan 指令程式,將撥號對應表設為非安全模式。

  3. 將 Unified Messaging Server 與現在以非安全模式執行的撥號對應表建立關聯。

important重要事項:
如果要設定相互 TLS 對在 Dialogic 模型 2000 或 4000 IP 閘道之間交換的資料進行加密,則必須使用支援伺服器及用戶端驗證的電腦 V3 憑證範本。而支援伺服器驗證的 Web 伺服器憑證範本,則只有在搭配 Dialogic 1000 及 3000 IP 閘道、AudioCodes IP 閘道及 Microsoft Office Communications Server 2007 時才能正確運作。

Exchange 2007 SP1 中的新功能

依據 UM 撥號對應表的設定方式而定,安裝了 Exchange 2007 SP1 的 Unified Messaging Server 可以用非安全的、SIP 安全的或安全的模式來與 IP 閘道、IP PBX 及其他 Exchange 2007 電腦通訊。Unified Messaging Server 可以在撥號對應表中設定的任何模式下運作,因為 Unified Messaging Server 設定成同時在 TCP 通訊埠 5060 上接聽不安全的要求,以及在 TCP 通訊埠 5061 上接聽安全的要求。Unified Messaging Server 可以與單一或多重 UM 撥號對應表產生關聯,也可以和具有不同 VoIP 安全性設定的撥號對應表產生關聯。單一 Unified Messaging Server 可以和設定為使用不安全的、SIP 安全的或安全的模式之組合的撥號對應表建立關聯。

依預設,當您建立 UM 撥號對應表時,對應表會以不安全的模式通訊,而與 UM 撥號對應表關聯的 Unified Messaging Server 從 IP 閘道、IP PBX 及其他 Exchange 2007 電腦傳送和接收資料時,不會使用加密。使用不安全的模式時,即時傳輸通訊協定 (RTP) 媒體通道和 SIP 訊號資訊都不會加密。

您可以設定 Unified Messaging Server 使用相互 TLS,將傳送至和接收自其他裝置與伺服器的 SIP 和 RTP 流量加密。當您將 Unified Messaging Server 新增至 UM 撥號對應表並設定撥號對應表使用 SIP 安全的模式時,只有 SIP 訊號流量會加密,RTP 媒體通道還是會使用傳輸控制通訊協定 (TCP)。TCP 不會加密。但是,如果您新增 Unified Messaging Server 至 UM 撥號對應表,並設定撥號對應表使用安全的模式,則 SIP 訊號流量與 RTP 媒體通道都會加密。使用安全即時傳輸通訊協定 (SRTP) 的安全信號媒體,也會使用相互 TLS 將 VoIP 資料加密。

您可以在建立新撥號對應表時,或者在建立撥號對應表之後,使用 Exchange 管理主控台或 Set-UMDialPlan 指令程式來設定 VoIP 安全性模式。當您設定 UM 撥號對應表使用 SIP 安全的或安全的模式時,與該 UM 撥號對應表關聯的 Unified Messaging Server 會將 SIP 訊號流量或 RTP 媒體通道加密,或者兩者都加密。然而,若要從 Unified Messaging Server 往返傳送加密的資料,您必須正確地設定 UM 撥號對應表及裝置,例如:IP 閘道或 IP PBX 必須支援相互 TLS。

UM 如何判定安全性模式及選取憑證

當 Microsoft Exchange 整合通訊服務啟動時,它會檢查關聯的 UM 撥號對應表和 VoipSecurity 參數設定,並識別應以安全或非安全模式來啟動。如果判定必須以安全模式來啟動,接著就會判斷是否能夠存取必要憑證。如果 Unified Messaging Server 沒有與任何 UM 撥號對應表建立關聯,則會查閱 UMRecyclerConfig.xml 檔中的 StartSecured 參數,判斷要以哪種模式來啟動。此參數的值可設定為 0 或 1。值為 1 會使用加密啟動 Unified Messaging Server 以保護 VoIP 流量。值為 0 會啟動伺服器,但是不會使用加密來保護 VoIP 流量。如果您想要將 Unified Messaging Server 的啟動模式從安全變成非安全,或是從非安全變成安全,可以將該伺服器與適當的 UM 撥號對應表建立關聯,然後再重新啟動 Unified Messaging Server。您也可以在 UMRecyclerConfig.xml 組態檔中變更組態設定,然後重新啟動 Microsoft Exchange 整合通訊服務。

如果 Microsoft Exchange 整合通訊服務是以非安全模式來啟動,則會正確啟動。但請務必確認 IP 閘道及 IP PBX 也是在非安全模式下執行。另外,如果您是以不安全的模式測試 Unified Messaging Server 的連線,請使用 Test-UMConnectivity 指令程式搭配 -Secured:false  參數。 

如果 Microsoft Exchange 整合通訊服務是以安全模式來啟動,則會查詢本機憑證儲存庫,尋找要用來讓相互 TLS 啟用加密的有效憑證。此服務會先尋找有效的 PKI 或商業性憑證,如果找不到適當的憑證,則會尋找自行簽署的憑證來使用。如果找不到任何 PKI、商業性或自行簽署的憑證,Microsoft Exchange 整合通訊服務就會建立自行簽署的憑證,以便用在安全模式中啟動。如果是以不安全的模式啟動 Unified Messaging Server,並不需要憑證。

每回使用憑證,或若是憑證有所變更,都會將用來以安全模式啟動之憑證的所有詳細資料記錄下來。所記錄的部分詳細資料如下:

  • 簽發者名稱

  • 序號

  • Thumbprint

指紋 (Thumbprint) 是安全雜湊演算法 (SHA1) 雜湊值,可用來識別所使用的唯一憑證。您可以從本機憑證儲存庫匯出 Microsoft Exchange 整合通訊服務以安全模式來啟動時所使用的憑證,然後在您網路的 IP 閘道及 IP PBX 上,將此憑證匯入受信任的憑證儲存庫中。

在找到並使用適當的憑證之後,如果沒有再發生其他變更,Microsoft Exchange 整合通訊服務將會在所使用的憑證到期前一個月記錄一個事件。如果您在這段時間都沒有對憑證做任何變更,Microsoft Exchange 整合通訊服務就會在憑證到期前的每一天以及憑證到期後的每一天,記錄一個事件。

當 Unified Messaging Server 在尋找要讓相互 TLS 用來建立加密的通道憑證時,會查看受信任的根憑證存放區。如果有好幾個憑證有效,而且是來自不同的簽發者,則 Unified Messaging Server 會選擇有效期最長的有效憑證。如果有多個憑證存在,則 Unified Messaging Server 會根據簽發者以及憑證的到期日來選擇憑證。Unified Messaging Server 會依下列順序來尋找有效的憑證。

  1. 有效期最長的 PKI 或商業性憑證。

  2. 有效期最短的 PKI 或商業性憑證。

  3. 有效期最長的自行簽署憑證。

  4. 有效期最短的自行簽署憑證。

    important重要事項:
    如果 Client Access Server 是用來加密 Client Access Server 與 Unified Messaging Server 之間的「在電話上播放」資料,則在其上安裝新憑證時,必須於命令提示字元中執行 IISreset 命令以載入正確的憑證。

Exchange 2007 SP1 中的新功能

  • UMRecyclerConfig.xml 檔案不再包含 Unified Messaging Server 的安全性設定。在 Exchange 2007 SP1 中,Unified Messaging Server 可以同時在不安全的SIP 安全安全模式下運作。

  • 一個 Unified Messaging Server 可以和具有不同安全性設定的多個 UM 撥號對應表建立關聯。

  • 如果從具有特定安全性設定的撥號對應表將 Unified Messaging Server 移至使用不同安全性設定的另一個撥號對應表,不必再重新啟動 Microsoft Exchange 整合通訊服務。

  • 需要有效的商業性、PKI 或自行簽署憑證。如果找不到有效的憑證,Unified Messaging Server 會產生自行簽署憑證。Unified Messaging Server 在 SIP 安全安全模式下運作時,需要有效的憑證來將 VoIP 流量加密。

相關資訊