Der allgemeine Ansatz für die Bereitstellung sicherer Verbindungen zwischen zwei unabhängigen Domänen oder Communitys (die jeweils
eigene Verzeichnisse verwalten) stützt sich auf die Identitätszusicherung, bei der
während des Einrichtens der physischen SSL-Verbindung zwischen den beiden Domänen durch
den Austausch von Zertifikaten eine Vertrauensbeziehung hergestellt wird.
Informationen zu diesem Vorgang
Die Authentifizierung von SIP-Nachrichten (Session Initiation Protocol), die von Endbenutzern gesendet werden, muss nur in der lokalen
Domäne für den Benutzer stattfinden. Alle Benutzernachrichten durchlaufen die lokale Domäne des SIP-Containers, bevor sie an die externe Domäne
gesendet werden. Wenn eine Nachricht über eine sichere Verbindung, die auf die zuvor beschriebene Weise auf beiden Seiten
authentifiziert wurde, von einer externen Domäne empfangen wird,
wird aufgrund der Vertrauensbeziehung davon ausgegangen, dass die Nachricht von der externen Domäne
authentifiziert wurde. Ein Administrator kann die Unterstützung für externe Domänen im SIP-Proxy-Server
wie folgt aktivieren:
- Aktivieren Sie die Clientauthentifizierung in dem SSL-Repertoire, das allen eingehenden Kanalketten (oder Endpunkte)
zugeordnet ist, die eingehende Verbindungen von externen Domänen empfangen sollen.
- Vergewissern Sie sich, dass alle anerkannten Zertifizierungsstellen in dem Truststore konfiguriert sind,
der den in den vorherigen Schritten genannten SSL-Repertoires zugeordnet ist. Definieren Sie
das asymmetrische Schlüsselpaar (öffentlicher und privater Schlüssel) für die lokale Domäne zusammen mit der entsprechenden
Kette von Zertifikaten, die der lokalen Domäne zugeordnet ist.
- Konfigurieren Sie die definierten Namen (DN, Distinguished Names), die den zu unterstützenden externen Domänen zugeordnet sind.
Der DN ist Teil des X.509-Zertifikats, der vom externen Domänenserver gesendet wird,
wenn die SSL-Verbindung eingerichtet ist.
Im Konfigurationsmodell enthält jeder externe SIP-Domäneneintrag ein Feld für den externen DN.
- Wenn die SIP-Infrastruktur in jeder Domäne implementiert werden soll, müssen Sie den DN, der im öffentlichen Zertifikat der lokalen Domäne angegeben ist,
dem Administrator der externen Domäne mitteilen.
Mit dieser Aktion kann der Administrator der externen Domäne den richtigen externen DN konfigurieren.
Bei diesem Ansatz ist Java Secure Socket Extension (JSSE) für die Autorisierung des Zertifikats
verantwortlich, das über eine neue eingehende Verbindung von einer externen Domäne empfangen wird.
Diese Autorisierung basiert auf den vereinbarten Zertifizierungsstellen, deren Zertifikate im lokalen Truststore konfiguriert sind.
Wenn das Zertifikat der externen Domäne autorisiert ist, ist der SIP-Proxy-Server dafür verantwortlich,
die Verbindungen basierend auf dem DN zu filtern, der dem Zertifikat der externen Domäne zugeordnet ist.
Der Proxy-Server validiert auch abgehende Verbindungen, indem er sicherstellt, dass der im Zertifikat des fernen
Servers empfangene DN mit dem DN übereinstimmt, der für die externe Domäne konfiguriert ist.
Der SIP-Proxy-Server
muss erkennen, wann die Zusicherung der Identität verwendet wird, sodass
er den SIP-Container darüber informieren kann, dass keine Nachrichtenauthentifizierung
für diese gegenseitig authentifizierte Verbindung erforderlich ist. Hierfür wird der in RFC 3325 beschriebene SIP-Header
P-Preferred-Identity allen SIP-Nachrichten hinzugefügt, die vom Proxy-Server über die authentifizierte Verbindung
an den SIP-Container gesendet werden.
Der SIP-Container muss diesen Header nur erkennen, wenn er von einer Einheit empfangen wird, die sich in der anerkannten
Domäne, d. h. dem SIP-Proxy-Server befindet. Der SIP-Proxy-Server kann diesen Header aus allen
eingehenden Nachrichten entfernen, die über Verbindungen zu fernen Einheiten empfangen werden, die nicht
zur anerkannten Domäne gehören. Sie können diesen Header auch verwenden, um die zusätzliche Proxy-Authentifizierung
zu unterstützen.