Mensajes SIP de confianza procedentes de dominios externos

El método general de proporcionar comunicaciones seguras entre dos dominios o comunidades independientes (donde cada uno mantiene directorios diferentes) se basa en la aserción de identidad, donde se establece una relación de confianza entre dos dominios diferentes utilizando un intercambio de certificados durante la configuración de la conexión SSL (Secure Sockets Layer) entre los dos dominios.

Acerca de esta tarea

La autenticación de los mensajes SIP (Session Initiation Protocol) que se envían a los usuarios finales se lleva a cabo en el dominio local del usuario. Todos los mensajes de usuario pasan por el dominio local del contenedor SIP antes de que se envíen al dominio externo. Si se recibe un mensaje de un dominio externo a través de una conexión segura que se ha autenticado mutuamente del modo que se describe a continuación, se presupone que se ha autenticado mediante el dominio externo debido a la relación de confianza. Un administrador puede habilitar el soporte de dominios externos en el proxy SIP del modo siguiente:

Procedimiento

  1. Habilite la autenticación de cliente dentro del repertorio SSL que se ha asignado a todas las cadenas del canal de entrada (o puntos finales) que han de recibir las conexiones de entrada desde los dominios externos.
  2. Asegúrese de que todas las autoridades de certificación de confianza se hayan configurado en el almacén de confianza que se ha asignado a los repertorios SSL mencionados en el paso anterior. Configure el par de claves asimétricas (claves públicas y privadas) para el dominio local, junto con la cadena de certificados correcta que se ha asociado al dominio local.
  3. Configure los nombres distinguidos (DN) asociados a los dominios externos a los que se ha de dar soporte. El DN forma parte del certificado X.509 que envía el servidor del dominio externo cuando se configura la conexión SSL. Dentro del modelo de configuración, cada entrada del dominio externo SIP incluye un campo para el DN externo.
  4. Presuponiendo que se está desplegando la infraestructura del SIP en cada dominio, proporcione al administrador del dominio externo el DN que se incluye en el certificado público de los dominios locales. Con esta acción, el administrador del dominio externo puede configurar el DN externo correcto.

    Con este método, JSSE (Java™ Secure Socket Extension) es responsable de autorizar el certificado que se recibe a través de una nueva conexión de entrada desde un dominio externo. Esta autorización está basada en las autoridades de certificación acordadas cuyos certificados se han configurado en el almacén de confianza local. Si el certificado del dominio externo no tiene autorización, será responsabilidad del proxy SIP filtrar las conexiones basándose en el DN asociado al certificado del dominio externo. El proxy también validará las conexiones de salida asegurándose de que el DN recibido en el certificado del servidor remoto coincide con el DN configurado para el dominio externo.

    El proxy SIP debe reconocer cuándo se está utilizando la aserción de identidad de modo que pueda informar al contenedor del SIP que no es necesario autenticar los mensajes que se reciben a través de esta conexión autenticada mutuamente. Esta comunicación se lleva a cabo añadiendo la cabecera SIP P-Preferred-Identity, que se describe en RFC 3325, en todos los mensajes SIP que se envían desde el proxy al contenedor SIP que llegan a través de la conexión autenticada. El contenedor SIP únicamente reconoce esta cabecera cuando se recibe desde un dispositivo que reside en el dominio de confianza, específicamente el proxy SIP. También es tarea del proxy eliminar esta cabecera de cualquier mensaje de entrada que se reciba a través de cualquier conexión con los dispositivos remotos que no se consideren parte del dominio de confianza. Esta cabecera también se puede utilizar para dar soporte a la adición de la autenticación de proxy.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjpx_sipextdom
File name: tjpx_sipextdom.html