2 つの独立したドメインまたはコミュニティー (それぞれ別のディレクトリーを保守) の間に安全な通信を確立する一般的な方法は、ID アサーション を使用することです。ID アサーションでは、2 つの異なるドメイン間での物理的な Secure Sockets Layer (SSL) 接続のセットアップ中に証明書交換を使用して、ドメイン間の信頼関係を確立します。
このタスクについて
エンド・ユーザーから送信される Session Initiation Protocol (SIP) メッセージの認証が必要となるのは、ユーザーのローカル・ドメイン内のみです。
すべてのユーザー・メッセージは、外部ドメインに送信される前に、SIP コンテナーのローカル・ドメインを経由します。次に説明する方法で相互認証されたセキュア接続を介して、外部ドメインからメッセージが着信した場合、このメッセージは信頼関係があるために外部ドメインによって認証されたものと想定されます。管理者は次の方法に従って、SIP プロキシー内で外部ドメインのサポートを使用可能にすることができます。
手順
- 外部ドメインからのインバウンド接続を受信するすべてのインバウンド・チャネル・チェーン (またはエンドポイント) に割り当てられる SSL レパートリーで、クライアント認証を使用可能にします。
- 上記ステップで言及した SSL レパートリーに割り当てられたトラストストア内に、信頼できるすべての認証局がセットアップされているかを確認します。 ローカル・ドメインの非対称鍵ペア (公開鍵と秘密鍵)、およびローカル・ドメインに関連する適切な証明書チェーンをセットアップします。
- サポート対象の外部ドメインに関連する識別名 (DN) を構成します。DN は、SSL 接続のセットアップ時に外部ドメイン・サーバーから送信される X.509 証明書の一部です。構成モデル内の各 SIP 外部ドメイン・エントリーに、外部 DN のフィールドが含まれます。
- 各ドメイン内に SIP インフラストラクチャーをデプロイしている場合は、ローカル・ドメインのパブリック証明書に含まれる DN を外部ドメイン管理者に提供します。このアクションにより、外部ドメイン管理者が適切な外部 DN を構成できるようになります。
この方法の場合、Java™ Secure
Socket Extension (JSSE) が、外部ドメインから新規のインバウンド接続を介して受信される証明書の許可を行います。
この許可は、証明書がローカル・トラストストア内にセットアップされる認証局との合意に基づいています。
外部ドメイン証明書が許可されると、外部ドメイン証明書に関連する DN に基づいて接続をフィルターする作業は、SIP プロキシーが行います。プロキシーは、リモート・サーバー証明書で受信された DN が外部ドメインに設定された DN と一致することを保証して、アウトバウンド接続も検証します。
SIP プロキシーは、この相互認証接続を介したメッセージ認証が必要ないことを SIP コンテナーに通知できるように、ID アサーションが使用中である時期を認識する必要があります。
この通信は、プロキシーから認証された接続を介して着信した SIP コンテナーに送信されるすべての SIP メッセージに、RFC 3325 に記載された P-Preferred-Identity SIP ヘッダーを追加することで行われます。
信頼されるドメインに配置されたデバイス (特に SIP プロキシー) からメッセージが着信した場合、SIP コンテナーではこのヘッダーの認識だけが必要となり。任意の接続を介して、信頼できるドメインに属さないリモート・デバイスに着信したインバウンド・メッセージからこのヘッダーを除去するのは、SIP プロキシーの役割です。
このヘッダーは、プロキシー認証の追加をサポートする場合にも使用できます。