L'approche générale en matière de fourniture de communications sécurisées entre deux domaines indépendants (chacun conservant des répertoires distincts) repose sur l'assertion d'identité, via laquelle une relation de confiance est établie entre deux domaines distincts à l'aide d'un échange de certificats lors de la configuration de la connexion SSL entre ces deux domaines.
Pourquoi et quand exécuter cette tâche
L'authentification des messages SIP envoyés par les utilisateurs finaux n'est nécessaire que dans le domaine local de l'utilisateur. Tous les messages utilisateur transitent par le domaine local du conteneur SIP
avant d'être envoyés au domaine externe. Si un message est reçu d'un domaine externe
via une connexion sécurisée qui est mutuellement authentifiée comme décrit ci-après,
il est supposé que ce message est authentifié par le domaine externe en raison de la
relation de confiance. Un administrateur peut activer la prise en charge des domaines externes du proxy SIP comme suit :
Procédure
- Activez l'authentification client dans le répertoire SSL affecté à toutes les
chaînes (ou noeuds finaux) du canal d'entrée devant recevoir des
connexions entrantes de domaines externes.
- Vérifiez que toutes les autorités de certification sont configurées dans
le magasin des tiers dignes de confiance affecté aux répertoires SSL
mentionnés à l'étape précédente. Configurez la paire de clés asymétriques (clé publique et clé privée) pour le
domaine local, ainsi que la chaîne de certificats corrects associée au domaine local.
- Configurez les noms distinctifs associés aux domaines externes à
prendre en charge. Le nom distinctif fait partie du certificat X.509 qui est envoyé
par le serveur du domaine externe lors de la mise en place de la connexion SSL. Au sein du modèle de configuration, chaque entrée du domaine externe SIP inclut un
champ pour le nom distinctif externe.
- En partant du principe que l'infrastructure SIP est déployée au sein de chaque
domaine, fournissez à l'administrateur du domaine externe le nom distinctif inclus
dans le certificat public du domaine local. De cette façon, l'administrateur du
domaine externe peut configurer son propre nom distinctif externe.
Dans cette approche, JSSE (Java™ Secure
Socket Extension) est responsable de l'autorisation du certificat qui
est reçu d'un domaine externe, sur une nouvelle connexion entrante.
Cette autorisation est basée sur les autorités de certification reconnues dont les certificats sont définis dans le magasin local des tiers dignes de confiance. Si le certificat de domaine externe est autorisé, il revient au proxy SIP de filtrer
les connexions en fonction du nom distinctif associé au certificat du domaine
externe. Le proxy valide également les connexions sortantes en vérifiant que le nom
distinctif reçu dans le certificat du serveur distant correspond à celui configuré
pour le domaine externe.
Le proxy SIP doit détecter à quel moment est utilisée l'assertion d'identité pour pouvoir informer le conteneur SIP que toute authentification de message est inutile sur cette connexion mutuellement authentifiée. Cette communication est effectuée par l'ajout de l'en-tête SIP P-Preferred-Identity, décrit dans RFC 3325, dans tous les messages SIP envoyés du proxy au conteneur SIP passant par la connexion authentifiée. Le conteneur SIP ne reconnaît cet en-tête que lorsqu'il le reçoit d'un périphérique se trouvant dans le domaine de confiance, notamment le proxy SIP. Il incombe au proxy SIP de supprimer cet en-tête des messages entrants reçus via des connexions à des périphériques distants considérés comme ne faisant pas partie du domaine sécurisé. Vous pouvez également utiliser cet en-tête pour prendre en charge l'ajout d'une authentification de proxy.