SIP-Nachrichten von externen Domänen anerkennen

Der allgemeine Ansatz für die Bereitstellung sicherer Verbindungen zwischen zwei unabhängigen Domänen oder Communitys (die jeweils eigene Verzeichnisse verwalten) stützt sich auf die Identitätszusicherung, bei der während des Einrichtens der physischen SSL-Verbindung zwischen den beiden Domänen durch den Austausch von Zertifikaten eine Vertrauensbeziehung hergestellt wird.

Informationen zu diesem Vorgang

Die Authentifizierung von SIP-Nachrichten (Session Initiation Protocol), die von Endbenutzern gesendet werden, muss nur in der lokalen Domäne für den Benutzer stattfinden. Alle Benutzernachrichten durchlaufen die lokale Domäne des SIP-Containers, bevor sie an die externe Domäne gesendet werden. Wenn eine Nachricht über eine sichere Verbindung, die auf die zuvor beschriebene Weise auf beiden Seiten authentifiziert wurde, von einer externen Domäne empfangen wird, wird aufgrund der Vertrauensbeziehung davon ausgegangen, dass die Nachricht von der externen Domäne authentifiziert wurde. Ein Administrator kann die Unterstützung für externe Domänen im SIP-Proxy-Server wie folgt aktivieren:

Vorgehensweise

  1. Aktivieren Sie die Clientauthentifizierung in dem SSL-Repertoire, das allen eingehenden Kanalketten (oder Endpunkte) zugeordnet ist, die eingehende Verbindungen von externen Domänen empfangen sollen.
  2. Vergewissern Sie sich, dass alle anerkannten Zertifizierungsstellen in dem Truststore konfiguriert sind, der den in den vorherigen Schritten genannten SSL-Repertoires zugeordnet ist. Definieren Sie das asymmetrische Schlüsselpaar (öffentlicher und privater Schlüssel) für die lokale Domäne zusammen mit der entsprechenden Kette von Zertifikaten, die der lokalen Domäne zugeordnet ist.
  3. Konfigurieren Sie die definierten Namen (DN, Distinguished Names), die den zu unterstützenden externen Domänen zugeordnet sind. Der DN ist Teil des X.509-Zertifikats, der vom externen Domänenserver gesendet wird, wenn die SSL-Verbindung eingerichtet ist. Im Konfigurationsmodell enthält jeder externe SIP-Domäneneintrag ein Feld für den externen DN.
  4. Wenn die SIP-Infrastruktur in jeder Domäne implementiert werden soll, müssen Sie den DN, der im öffentlichen Zertifikat der lokalen Domäne angegeben ist, dem Administrator der externen Domäne mitteilen. Mit dieser Aktion kann der Administrator der externen Domäne den richtigen externen DN konfigurieren.

    Bei diesem Ansatz ist Java Secure Socket Extension (JSSE) für die Autorisierung des Zertifikats verantwortlich, das über eine neue eingehende Verbindung von einer externen Domäne empfangen wird. Diese Autorisierung basiert auf den vereinbarten Zertifizierungsstellen, deren Zertifikate im lokalen Truststore konfiguriert sind. Wenn das Zertifikat der externen Domäne autorisiert ist, ist der SIP-Proxy-Server dafür verantwortlich, die Verbindungen basierend auf dem DN zu filtern, der dem Zertifikat der externen Domäne zugeordnet ist. Der Proxy-Server validiert auch abgehende Verbindungen, indem er sicherstellt, dass der im Zertifikat des fernen Servers empfangene DN mit dem DN übereinstimmt, der für die externe Domäne konfiguriert ist.

    Der SIP-Proxy-Server muss erkennen, wann die Zusicherung der Identität verwendet wird, sodass er den SIP-Container darüber informieren kann, dass keine Nachrichtenauthentifizierung für diese gegenseitig authentifizierte Verbindung erforderlich ist. Hierfür wird der in RFC 3325 beschriebene SIP-Header P-Preferred-Identity allen SIP-Nachrichten hinzugefügt, die vom Proxy-Server über die authentifizierte Verbindung an den SIP-Container gesendet werden. Der SIP-Container muss diesen Header nur erkennen, wenn er von einer Einheit empfangen wird, die sich in der anerkannten Domäne, d. h. dem SIP-Proxy-Server befindet. Der SIP-Proxy-Server kann diesen Header aus allen eingehenden Nachrichten entfernen, die über Verbindungen zu fernen Einheiten empfangen werden, die nicht zur anerkannten Domäne gehören. Sie können diesen Header auch verwenden, um die zusätzliche Proxy-Authentifizierung zu unterstützen.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjpx_sipextdom
Dateiname:tjpx_sipextdom.html