SRTP_TLS安全优化配置案例
本章节下载: SRTP_TLS安全优化配置案例 (174.08 KB)
SRTP/TLS 安全优化配置举例
关键词: TLS/SRTP、MIXED、FULL、安全呼叫
摘 要:TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPS。RFC3711提出了一种对媒体流进行加密的方法,即通过对RTP负载的加密,成为SRTP流在通话者之间交互,达到安全通话的目的。
本文主要介绍如何配置VCX进行安全呼叫。
缩略语:
缩略语 |
英文全名 |
中文解释 |
TLS |
Transport Layer Security |
传输层安全 |
SRTP |
Secure Real-time Transport Protocol |
安全的实时传输协议 |
VCX |
Voice Core exchange |
语音核心交换系统 |
TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPS。
本项目在原有安全项目的基础上进行了优化。简化了配置时冗余的组合情况。
用户可以通过Phone Profile和VCX的安全模式来决定话机的安全类型。
在以VCX为服务器、IP phone做终端、奥科或MSR设备做终端的组网环境中,使用SIP协议交互信令,RTP交互媒体流。由于此两种协议均基于UDP,用户的安全性难以得到保证。
无,单机即可
(1) 添加安全的Phone Profile或可信节点
(2) 使用支持安全特性的IP话机或者其他设备注册到VCX服务器上
(3) 进行呼叫
本举例是在VCX9.9.8版本上进行配置和验证的。
(1) 使用管理员身份登陆VCX中央管理器,进入以下目录:用户菜单>配置>安全配置。选择VCX的安全模式为NONE、MIXED或者FULL。配置完成后,保存。
图1 安全配置
(2) 使用管理员身份登陆VCX中央管理器,进入以下目录:用户>电话机>电话机档案,点击“添加电话机配置文件”按钮,输入电话机配置文件的名称。在下拉列表中可以选择安全模式,可以配置为NONE、MIXED或者FULL ,如下图:
图2 安全模式
(3) 当电话机档案和VCX的安全模式配置完成后,将该phone profile指定给话机。
(4) 不同配置组合,对于所注册的话机会有以下几种不同的注册方式:
表1 注册方式
安全配置 |
VCX NONE |
VCX MIXED |
VCX FULL |
话机 NONE |
SIP&UDP注册成功 |
SIP&UDP注册成功 |
注册失败 |
话机 MIXED |
SIP&UDP注册成功 |
SIPS&TLS注册成功 (可降级) |
SIPS&TLS注册成功 |
话机 FULL |
注册失败 |
SIPS&TLS注册成功 |
SIPS&TLS注册成功 |
如果安全模式选择FULL,则要求通信设备必须支持SRTP。
(1) 安装CA服务器-->安装RSA keon
(2) 获取RSA Keon安装包,执行安装目录下的setup.exe文件,进入RSA CA服务器安装向导,选择默认配置进行安装。
详细安装步骤请参考《语音SIP支持TLS传输相关配置指导书》
(3) Telnet登陆MSR,申请证书
· 配置KPI实体,一个证书必须要有一个实体与之对应,实体描述了证书的身份信息。CA根据证书的身份信息来标示一个申请者。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]pki entity h3c_b
[H3C-pki-entity-h3c_b] common-name h3c_b
[H3C-pki-entity-h3c_b] organization H3C
[H3C-pki-entity-h3c_b] country CN
[H3C-pki-entity-h3c_b] dis th
#
pki entity h3c_b
common-name h3c_b
organization H3C
country CN
#
return
[H3C-pki-entity-h3c_b] quit
· 配置PKI域,PKI域表示某一个实体需要向CA申请证书时的一些注册信息,PKI域是一个本地概念,对于CA是不可见的,主要就是方便一个实体能够顺利向CA注册,获取证书。
[H3C-pki-domain-h3c_b] ca identifier VOICE
[H3C-pki-domain-h3c_b] certificate request url
http://172.31.90.100:446/2c661bdf14822f57c2f8cbbffca871d2766244ce
[H3C-pki-domain-h3c_b] certificate request from ca
[H3C-pki-domain-h3c_b] certificate request entity h3c_b
[H3C-pki-domain-h3c_b] crl check disable
[H3C-pki-domain-h3c_b] ldap-server ip 192.168.0.88
[H3C-pki-domain-h3c_b]dis th
#
pki domain h3c_b
ca identifier VOICE
certificate request url http://172.31.90.100:446/2c661bdf14822f57c2f8cbbffca871d2766244ce
certificate request from ca
certificate request entity h3c_b
crl check disable
ldap-server ip 172.31.90.100
#
return
[H3C-pki-domain-h3c_b]quit
· 蓝色部分的ID是CA服务器上的生成的VOICE的Issuing Jurisdiction ID,通过修改该ID值,来向不同的CA申请证书。
· IP地址是CA服务器的地址。
· 生成本地密钥对:
[H3C]public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++
++++++++++++++++++++++
[H3C]
· 获取CA证书,申请本地证书
[H3C] pki retrieval-certificate ca domain h3c_b
The trusted CA's finger print is:
MD5 fingerprint:0BA8 C1CC B039 E20D DA94 24C2 8C58 23E1
SHA1 fingerprint:930D 2222 C1B0 9977 F2D8 EA91 4E29 F906 4640 C22C
Is the finger print correct?(Y/N):
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
Saving CA/RA certificates chain, please wait a moment......
%Jun 10 17:39:28:261 2009 H3C_Up PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain h3c_b is trusted.
[H3C]
%Jun 10 17:39:28:273 2009 H3C_Up PKI/4/Update_CA_Cert:Update CA certificates of the Domain h3c_b successfully.
%Jun 10 17:39:28:474 2009 H3C_Up PKI/4/CA_Cert_Retrieval:Retrieval CA certificates of the domain h3c_b successfully.
[H3C]pki request-certificate domain h3c_b 8888
Certificate is being requested, please wait......
[H3C]
Enrolling the local certificate,please wait a while......
Certificate request Successfully!
Saving the local certificate to device......
Done!
[H3C]dis pki certificate local domain h3c_b
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
95437609 34C37BC6 4934419C 86DB8671
Signature Algorithm: sha1WithRSAEncryption
Issuer:
C=CN
O=H3C
OU=H3C
CN=VOICE
Validity
Not Before: May 12 02:01:11 2010 GMT
Not After : May 9 02:01:11 2020 GMT
Subject:
C=CN
O=H3C
CN=h3c_b
………………
[H3C] pki request-certificate domain h3c_b 8888命令中的“8888”是在后面步骤中配置的pots实体中的端口号。
(4) 配置SSl策略
<H3C>system-view
[H3C]ssl server-policy sip_server
[H3C-ssl-server-policy-sip_server]pki-domain h3c_b
[H3C-ssl-server-policy-sip_server]quit
[H3C]ssl client-policy sip_client
[H3C-ssl-client-policy-sip_client]pki-domain h3c_b
[H3C-ssl-client-policy-sip_client]quit
[H3C]dis curr
#
ssl server-policy sip_server
pki-domain h3c_b
#
ssl client-policy sip_client
pki-domain h3c_b
(5) SIP视图配置TLS信息及注册服务器信息
[H3C]voice-setup
[H3C-voice]sip
[H3C-voice-sip]crypto ssl-client-policy sip_client
[H3C-voice-sip]crypto ssl-server-policy sip_server
[H3C-voice-sip]listen transport tls
[H3C-voice-sip]sip-comp callee
[H3C-voice-sip]registrar ipv4 172.31.89.190 tls
[H3C-voice-sip]register-enable on
[H3C-voice-sip]dis th
#
#
sip
crypto ssl-client-policy sip_client
crypto ssl-server-policy sip_server
listen transport tls
sip-comp callee
registrar ipv4 172.31.89.190 tls
register-enable on
#
return
[H3C-voice-sip]
命令registrar ipv4 172.31.89.190 tls中的IP地址是VCX的CallP地址
(6) 配置pots实体
[H3C]voice-setup
[H3C-voice]dial-program
[H3C-voice-dial]entity 8888
[H3C-voice-dial-entity8888] line 1/0
[H3C-voice-dial-entity8888] user sip:1001@172.31.89.190 password simple 12345
[H3C-voice-dial-entity8888] match-template 1001
[H3C-voice-dial-entity8888] outband nte
user sip:1001@172.31.89.190 password simple 12345
“1001”是VCX服务器上的话机号码;172.31.89.190是VCX服务器的callp地址;密码“12345”根据话机的实际密码设定
(7) 管理员身份登录IPT,进入以下路径:用户菜单 > 电话机 > 电话机
点击相应话机1001对应“操作”栏中的“注册”链接,可以看到MSR已经注册到VCX服务器上。
图3 电话机注册
《语音SIP支持TLS传输相关配置指导书》
Copyright © 2011 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!