Новые возможности прямой маршрутизации
В этой статье описаны новые возможности прямой маршрутизации. Часто проверяйте наличие обновлений.
Проверка расширений EKU сертификатов SBC
5 марта 2024 г. (начиная с 9:00 UTC) корпорация Майкрософт проведет 24-часовое тестирование своей инфраструктуры. В течение этого времени сертификаты пограничных контроллеров сеансов (SBC) должны включать проверку подлинности клиента и сервера для расширений расширенного использования ключей (EKU). Мы просим вас убедиться, что расширение EKU сертификата включает проверку подлинности сервера и проверку подлинности клиента, чтобы избежать ухудшения работы службы.
Если расширение EKU сертификата SBC не включает проверку подлинности сервера и клиента, ваши SBC не смогут подключиться к инфраструктуре Майкрософт.
Обратите внимание, что окончательное переключение на запрос проверки подлинности сервера и клиента для EKU будет выполнено 19 марта 2024 г.
Дополнительные сведения см. в разделе Общедоступный доверенный сертификат для SBC.
Изменение сертификата SIP в центр сертификации MSPKI в облаках DoD и GCCH
Microsoft 365 обновляет службы обмена сообщениями, собраний, телефонии, голосовой связи и видео, чтобы использовать сертификаты TLS из другого набора корневых центров сертификации (ЦС). Затронутые конечные точки включают конечные точки SIP прямой маршрутизации Microsoft Teams, используемые для трафика ТСОП в развертываниях Office 365 для государственных организаций — GCC High (GCCH) и DoD. Переход на сертификаты, выданные новым ЦС для конечных точек SIP, начинается в мае 2024 г. Это означает, что действия должны быть приняты до конца апреля 2024 года.
Новому корневому ЦС DigiCert Global Root G2 доверяют операционные системы, включая Windows, macOS, Android и iOS, а также браузеры, такие как Microsoft Edge, Chrome, Safari и Firefox. Однако, скорее всего, в SBC есть корневое хранилище сертификатов, настроенное вручную. В этом случае НЕОБХОДИМО ОБНОВИТЬ ХРАНИЛИЩЕ ЦС SBC, ЧТОБЫ ВКЛЮЧИТЬ НОВЫЙ ЦС, ЧТОБЫ ИЗБЕЖАТЬ ВЛИЯНИЯ НА СЛУЖБУ. Контроллеры SBC, у которых нет нового корневого ЦС в списке допустимых ЦС, получают ошибки проверки сертификатов, которые могут повлиять на доступность или функцию службы. Как старый, так и новый ЦС должны быть доверенными со стороны SBC — не удаляйте старый ЦС. Сведения о том, как обновить список принятых сертификатов в SBC, см. в документации поставщика SBC. Как старый, так и новый корневые сертификаты должны быть доверенными для SBC. Сегодня сертификаты TLS, используемые интерфейсами SIP Майкрософт, связаны со следующим корневым ЦС:
Общее имя ЦС: Отпечаток глобального корневого ЦС DigiCert (SHA1): a8985d3a65e5e5c4b2d7d6d40c6d2fb19c5436 Старый сертификат ЦС можно скачать непосредственно из DigiCert: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt
Новые сертификаты TLS, используемые интерфейсами SIP Microsoft, теперь будут связаны со следующим корневым ЦС: Общее имя ЦС: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4 Новый сертификат ЦС можно скачать непосредственно из DigiCert: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
Дополнительные сведения см. в техническом руководстве по https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide тестированию и подтверждению конфигурации сертификата SBC перед изменением, корпорация Майкрософт подготовила тестовую конечную точку, которая может использоваться для проверки того, что устройства SBC доверяют сертификатам, выданным из нового корневого ЦС (DigiCert Global Root G2). Если SBC может установить tls-подключение к этой конечной точке, изменение не должно влиять на подключение к службам Teams. Эти конечные точки следует использовать только для сообщений о связи SIP OPTIONS, но не для голосового трафика. Они не являются рабочими конечными точками и не поддерживаются избыточной конфигурацией. Это означает, что они будут сталкиваться с простоем, который длится несколько часов. Ожидается, что доступность составляет около 95 %.
Полное доменное имя конечной точки тестирования для GCCH: порт x.sip.pstnhub.infra.gov.teams.microsoft.us: 5061
Полное доменное имя конечной точки для DoD: порт x.sip.pstnhub.infra.dod.teams.microsoft.us: 5061
Окончательный переход сертификата SIP на новый центр сертификации MSPKI
После двух тестов 5 и 19 сентября корпорация Майкрософт выполнит окончательный переход на новый центр сертификации (ЦС) 3 октября, начиная с 10:00 UTC. Все конечные точки MICROSOFT SIP постепенно переключаются на использование сертификатов, где цепочка сертификатов выполняется до центра сертификации (ЦС) DigiCert Global Root G2.
Если пограничные контроллеры сеансов (SBC) неправильно настроены с новым центром сертификации (ЦС), входящие и исходящие вызовы прямой маршрутизации завершатся ошибкой после переключения. Обратитесь к поставщику SBC напрямую, чтобы получить дополнительные рекомендации по настройке SBC.
Требования к изменению и тест были переданы клиентам прямой маршрутизации через сообщения Центра сообщений, а также инциденты работоспособности служб на портале Microsoft Администратор (MC540239, TM614271, MC663640, TM674073, MC674729).
Изменение дополнительного тестирования сертификата SIP в центр сертификации MSPKI
19 сентября (начиная с 16:00 UTC) корпорация Майкрософт выполнит 24-часовой тест, в ходе которого все конечные точки SIP Майкрософт будут переключятся на использование сертификатов, где цепочка сертификатов будет свернута в центр сертификации DigiCert Global Root G2. Новый центр сертификации (ЦС) должен быть добавлен в конфигурацию SBC, а старый ЦС Балтимора должен быть сохранен; не заменяйте старый ЦС. Если SBC не доверяет этому ЦС, вы не сможете подключиться к конечным точкам SIP Teams во время теста. Окончательный переход на новый центр сертификации (ЦС) будет выполнен 3 октября.
Если вы хотите протестировать и подтвердить конфигурацию сертификата SBC перед изменением, корпорация Майкрософт подготовила тестовую конечную точку, которую можно использовать для проверки того, что устройства SBC доверяют сертификатам, выданным из нового корневого ЦС (DigiCert Global Root G2). Эту конечную точку следует использовать только для сообщений связи SIP OPTIONS, но не для голосового трафика. Если SBC может установить tls-подключение к этой конечной точке, изменение не должно влиять на подключение к службам Teams.
Полное доменное имя конечной точки тестирования: sip.mspki.pstnhub.microsoft.com
Порт: 5061
Проверка изменения сертификата SIP в центр сертификации MSPKI
5 сентября (начиная с 9:00 UTC) корпорация Майкрософт выполнит 24-часовой тест, в котором все конечные точки SIP Майкрософт будут переключятся на использование сертификатов, где цепочка сертификатов будет свернута в центр сертификации DigiCert Global Root G2. Если SBC не доверяет этому ЦС, возможно, вы не сможете подключиться к конечным точкам SIP Teams.
Если вы хотите протестировать и подтвердить конфигурацию сертификата SBC перед изменением, корпорация Майкрософт подготовила тестовую конечную точку, которую можно использовать для проверки того, что устройства SBC доверяют сертификатам, выданным из нового корневого ЦС (DigiCert Global Root G2). Эту конечную точку следует использовать только для сообщений связи SIP OPTIONS, но не для голосового трафика. Если SBC может установить tls-подключение к этой конечной точке, изменение не должно влиять на подключение к службам Teams.
Полное доменное имя конечной точки тестирования: sip.mspki.pstnhub.microsoft.com
Порт: 5061
Изменение сертификата SIP в центр сертификации MSPKI
Microsoft 365 обновляет службы обмена сообщениями, собраний, телефонии, голосовой связи и видео, чтобы использовать сертификаты TLS из другого набора корневых центров сертификации (ЦС). Это изменение внесено, так как срок действия текущего корневого ЦС истекает в мае 2025 г. Затронутые конечные точки включают все конечные точки SIP Майкрософт, используемые для трафика ТСОП, которые используют подключение TLS. Переход на сертификаты, выданные новым ЦС, начнется в конце августа.
Новому корневому ЦС DigiCert Global Root G2 доверяют операционные системы, включая Windows, macOS, Android и iOS, а также браузеры, такие как Microsoft Edge, Chrome, Safari и Firefox. Однако в SBC есть корневое хранилище сертификатов, настроенное вручную, и его необходимо обновить. Контроллеры SBC, у которых нет нового корневого ЦС в списке допустимых ЦС, получают ошибки проверки сертификатов, которые могут повлиять на доступность или функцию службы. Сведения об обновлении списка принятых сертификатов в SBC см. в документации поставщика SBC.
Сегодня сертификаты TLS, используемые интерфейсами SIP Майкрософт, связаны со следующим корневым ЦС:
Общее имя ЦС: Baltimore CyberTrust Root Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474
Новые сертификаты TLS, используемые интерфейсами SIP Майкрософт, теперь будут связаны со следующим корневым ЦС:
Общее имя ЦС: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4
Новый сертификат ЦС можно скачать непосредственно из DigiCert: DigiCert Global Root G2.
Дополнительные сведения см. в разделе Изменения сертификатов TLS Office.
Новые конечные точки SIP прямой маршрутизации
Корпорация Майкрософт представит новые IP-адреса сигналов для конечных точек SIP прямой маршрутизации Teams. Чтобы это изменение не повлияло на доступность службы, убедитесь, что пограничный контроллер сеансов и брандмауэр настроены на использование рекомендуемых подсетей 52.112.0.0/14 и 52.122.0.0/15 для классификации и правил ACL. Дополнительные сведения см. в статье Microsoft 365, Office 365 и Office 365 сред GCC.
Логика понижения магистрали на основе параметров SIP
Появилась новая функция, основанная на параметрах SIP, для работоспособности магистрали. Если этот параметр включен в конфигурации шлюза (см. командлет Set-CsOnlinePSTNGateway и параметр SendSipOptions), логика маршрутизации для исходящих вызовов понижает магистрали, которые периодически не отправляют параметры SIP (ожидаемый период — это один параметр SIP, отправленный SBC в минуту) в серверную часть Майкрософт. Эти пониженные магистрали помещаются в конец списка магистралей, доступных для исходящего вызова, и пробуются последним, что потенциально сокращает время настройки вызова.
Любой магистраль, включенный для этой функции, который не отправляет хотя бы один вариант SIP в течение пяти минут в любой из региональных прокси-серверов SIP Майкрософт (NOAM, EMEA, APAC, OCEA) считается пониженным. Если магистраль отправляет параметры SIP только в подмножество региональных прокси-серверов SIP Майкрософт, эти маршруты сначала выполняются, а остальные понижаются.
Примечание.
Любой SBC (настроенный в клиенте или операторе с параметром SendSipOptions , равным true), не отправляя параметры SIP, будет понижен. Клиенты, которые не хотят этого поведения, должны задать для SendSipOptionsзначение false в конфигурации SBC. То же самое относится и к магистрали оператора, где конфигурация SBC находится под оператором или клиентом клиента. В таких случаях, если параметр SendSipOptions имеет значение true, SBC отправляет ПАРАМЕТРЫ SIP.
Поддержка SIP
1 июня 2022 г. корпорация Майкрософт отменит поддержку sip-all.pstnhub.microsoft.com и sip-all.pstnhub.gov.teams.microsoft.us полных доменных имен из конфигурации прямой маршрутизации.
Если до 1 июня не будут выполнены никакие действия, пользователи не смогут совершать или принимать вызовы через прямую маршрутизацию.
Чтобы предотвратить влияние на службу, выполните приведенные далее действия.
- Используйте рекомендуемые подсети (52.112.0.0/14 и 52.120.0.0/14) для любых правил классификации или ACL.
- Прекратите использование полного доменного имени sip-all при настройке элементов управления границами сеансов для прямой маршрутизации.
Дополнительные сведения см. в разделе Планирование прямой маршрутизации.
Примечание.
Диапазоны IP-адресов, представленные в этом документе, относятся к прямой маршрутизации и могут отличаться от рекомендуемых для клиента Teams.
Сертификаты TLS
Microsoft 365 обновляет Teams и другие службы для использования другого набора корневых центров сертификации (ЦС).
Дополнительные сведения и полный список затронутых служб см. в статье Изменения сертификатов TLS для служб Microsoft 365, включая Microsoft Teams.
Центры сертификации
Начиная с 1 февраля 2022 г. интерфейс SIP прямой маршрутизации будет доверять только сертификатам, подписанным центрами сертификации (ЦС), которые являются частью программы доверенных корневых сертификатов Майкрософт. Чтобы избежать влияния на службу, сделайте следующее:
- Убедитесь, что сертификат SBC подписан ЦС, который является частью программы доверенных корневых сертификатов Майкрософт.
- Убедитесь, что расширение расширенного использования ключа (EKU) сертификата содержит "Проверка подлинности сервера".
Дополнительные сведения о программе доверенных корневых сертификатов Майкрософт см. в разделе Требования к программе — Доверенные корневые программы Майкрософт.
Список доверенных ЦС см. в разделе Список сертификатов ЦС, включенных в Корпорацию Майкрософт.
Замена заголовков
Начиная с апреля 2022 г. прямая маршрутизация отклоняет SIP-запросы, для которых определены заголовки Replaces. В потоках, в которых корпорация Майкрософт отправляет заголовок Replaces в пограничный контроллер сеансов (SBC), изменения отсутствуют.
Проверьте конфигурации SBC и убедитесь, что в sip-запросах не используются заголовки Replaces.
TLS1.0 и 1.1
Чтобы обеспечить лучшее в своем классе шифрование для наших клиентов, корпорация Майкрософт планирует устареть версии TLS 1.0 и 1.1. 3 апреля 2022 г. корпорация Майкрософт принудительно будет использовать TLS1.2 для интерфейса SIP прямой маршрутизации.
Чтобы избежать влияния на службу, убедитесь, что ваши SBC настроены для поддержки TLS1.2 и могут подключаться с помощью одного из следующих наборов шифров:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, например ECDHE-RSA-AES256-GCM-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, например ECDHE-RSA-AES128-GCM-SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, например ECDHE-RSA-AES256-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, например ECDHE-RSA-AES128-SHA256