信任來自外部網域的 SIP 訊息

在兩個獨立的網域或社群 (分別維護個別的目錄)之間提供安全通訊時,一般的作法需倚賴身分主張,這會在設定兩個個別網域之間的實體 Secure Socket Layer (SSL) 連線期間,利用憑證交換,來建立這兩個網域之間的信任關係。

關於這項作業

對於一般使用者所傳送的「階段作業起始通訊協定 (SIP)」訊息,只需要在使用者的本端網域中進行鑑別。所有的使用者訊息都會先通過 SIP 儲存器本端網域,再送往外部網域。如果利用安全連線來接收外部網域的訊息,且安全連線是透過下列說明的方式進行交互鑑別,就會假設外部網域因為信任關係而鑑別過該訊息。管理者可以依照下列方式,在 SIP Proxy 中啟用外部網域支援:

程序

  1. 針對要接收外部網域之入埠連線的所有入埠通道鏈(或端點),在指派給它們的 SSL 儲存庫內,啟用用戶端鑑別。
  2. 確定在指派給上一步驟所提及之 SSL 儲存庫的信任儲存庫中,已設定所有的授信憑證管理中心。 為本端網域設定不對稱金鑰組(公開和私密金鑰),以及本端網域相關聯的適當憑證鏈。
  3. 配置要支援之外部網域的相關聯識別名稱 (DN)。DN 是設定 SSL 連線時,外部網域伺服器所傳送之 X.509 憑證的一部分。在配置模型內,每個 SIP 外部網域項目都包含一個外部 DN 欄位。
  4. 假設 SIP 基礎架構部署在每一個網域內,請提供本端網域的公開憑證中所包含的 DN 給外部網域管理者。執行這個動作之後,外部網域管理者就可以配置適當的外部 DN。

    藉由這種方法,Java™ Secure Socket Extension (JSSE) 負責對透過新入埠連線,從外部網域接收的憑證進行授權。這項授權是以認可的憑證管理中心為基礎,且該憑證管理中心的憑證已設定在本端信任儲存庫中。如果授權外部網域憑證,即由 SIP Proxy 負責根據外部網域憑證的相關聯 DN,來過濾連線。Proxy 也會確定在遠端伺服器憑證中收到的 DN,符合配置給外部網域的 DN,藉以驗證出埠連線。

    SIP Proxy 必須辨識何時正在使用身分主張,以便通知 SIP 儲存器,當透過這種交互鑑別連線時,不需要鑑別訊息。要達成這種通訊方式,作法是在從 Proxy 送往 SIP 儲存器的所有 SIP 訊息(透過鑑別連線送達)中,新增 RFC 3325 所說明的 P-Preferred-Identity SIP 標頭。這個標頭必須是從位於授信網域的裝置(具體來說是 SIP Proxy)接收,SIP 儲存器才能辨識它。凡是透過任何遠端裝置(未被視為位於授信網域中)連線而收到的入埠訊息,SIP Proxy 會負責從中移除這個標頭。您也可以利用這個標頭,來支援新增 Proxy 鑑別。


指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjpx_sipextdom
檔名:tjpx_sipextdom.html