直接路由的新增功能

• 适用于:

  Microsoft Teams

本文介绍直接路由中的新增功能。 请经常回来查看更新。

SBC 证书 EKU 扩展测试

2024 年 3 月 5 日 (，从 UTC) 上午 9 点开始，Microsoft 将对其基础结构进行 24 小时测试。 在此期间，会话边界控制器 (SBC) 证书需要包括客户端和服务器身份验证，以便其扩展密钥用法 (EKU) 扩展。 我们请你确保证书的 EKU 扩展包括服务器身份验证和客户端身份验证，以避免任何服务降级。

如果 SBC 证书 EKU 扩展不包括服务器和客户端身份验证，则 SBC 将无法与 Microsoft 基础结构连接。

请注意，请求 EKU 服务器和客户端身份验证的最终开关将于 2024 年 3 月 19 日执行。

有关详细信息，请参阅 SBC 的公共受信任证书。

DOD 和 GCCH 云中 MSPKI 证书颁发机构的 SIP 证书更改

Microsoft 365 正在更新为消息传送、会议、电话、语音和视频提供支持的服务，以使用来自另一组根证书颁发机构 (CA) 的 TLS 证书。 受影响的终结点包括用于 Office 365 政府版 中的 PSTN 流量的 Microsoft Teams 直接路由 SIP 终结点 - GCC High (GCCH) 和 DoD 部署。 从 2024 年 5 月开始向新 CA 颁发的 SIP 终结点颁发的证书的转换。 这意味着需要在 2024 年 4 月底之前采取措施。

新的根 CA“DigiCert 全局根 G2”受到 Windows、macOS、Android 和 iOS 等操作系统以及 Microsoft Edge、Chrome、Safari 和 Firefox 等浏览器的广泛信任。 但是，SBC 很可能具有手动配置的证书根存储。 如果是这样，则需要更新 SBC CA 存储以包含新的 CA 以避免服务影响。 在其可接受的 CA 列表中没有新根 CA 的 SBC 会收到证书验证错误，这可能会影响服务的可用性或功能。 旧 CA 和新 CA 都必须受 SBC 信任 - 请勿删除旧 CA。 请参阅 SBC 供应商文档，了解如何更新 SBC 上接受的证书列表。 SBC 需要信任新旧根证书。 目前，Microsoft SIP 接口使用的 TLS 证书链接到以下根 CA：

CA 的公用名称：DigiCert 全局根 CA 指纹 (SHA1) ：a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 旧 CA 证书可以直接从 DigiCert 下载： http://cacerts.digicert.com/DigiCertGlobalRootCA.crt

Microsoft SIP 接口使用的新 TLS 证书现在将链接到以下根 CA：CA 的公用名称：DigiCert 全局根 G2 指纹 (SHA1) ：df3c24f9bfd666761b268073fe06d1cc8d4f82a4 可以直接从 DigiCert 下载新的 CA 证书： https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

有关更多详细信息，请参阅技术指南 https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide ：若要在更改之前测试和确认 SBC 证书配置，Microsoft 已准备了一个测试终结点，可用于验证 SBC 设备是否信任从新的根 CA (DigiCert 全局根 G2) 颁发的证书。 如果 SBC 可以建立到此终结点的 TLS 连接，则与 Teams 服务的连接不应受到更改的影响。 这些终结点应仅用于 SIP OPTIONS ping 消息，而不适用于语音流量。 它们不是生产终结点，不受冗余配置的支持。 这意味着他们将经历持续数小时的停机时间，预计可用性约为 95%。

测试 GCCH 的终结点 FQDN：x.sip.pstnhub.infra.gov.teams.microsoft.us 端口：5061

测试 DoD 的终结点 FQDN： x.sip.pstnhub.infra.dod.teams.microsoft.us 端口： 5061

SIP 证书最终切换到新的 MSPKI 证书颁发机构

在 9 月 5 日和 19 日两次测试之后，Microsoft 将于 10 月 3 日上午 10 点（UTC 时间上午 10 点开始）执行新的证书颁发机构 (CA) 的最后切换。 所有 Microsoft SIP 终结点都逐渐切换为使用证书，其中证书链汇总到“DigiCert Global Root G2”证书颁发机构 (CA) 。

如果会话边界控制器 (SBC) 未正确配置新的证书颁发机构 (CA) ，则直接路由传入和传出呼叫将在切换后失败。 请直接与 SBC 供应商合作，获取有关 SBC 配置的进一步指导。

更改要求和测试通过消息中心帖子以及 Microsoft 管理员 门户中的服务运行状况事件 (MC540239、TM614271、MC663640、TM674073 MC674729) 传达给客户。

MSPKI 证书颁发机构的 SIP 证书更改其他测试

从 9 月 19 日 (UTC) 下午 4 点开始，Microsoft 将执行 24 小时测试，其中所有 Microsoft SIP 终结点都将切换为使用证书，证书链将汇总到“DigiCert Global Root G2”证书颁发机构 (CA) 。 必须在 SBC 配置中添加新的证书颁发机构 (CA) ，并且必须保留旧的 Baltimore CA;不要替换旧的 CA。 如果 SBC 不信任此 CA，则无法在测试期间连接到 Teams SIP 终结点。 最终切换到新的证书颁发机构 (CA) 将于 10 月 3 日执行。

如果要在更改之前测试并确认 SBC 证书配置，Microsoft 已准备了一个测试终结点，可用于验证 SBC 设备是否信任从新的根 CA (DigiCert 全局根 G2) 颁发的证书。 此终结点应仅用于 SIP OPTIONS ping 消息，而不适用于语音流量。 如果 SBC 可以建立到此终结点的 TLS 连接，则与 Teams 服务的连接不应受到更改的影响。

测试终结点 FQDN：sip.mspki.pstnhub.microsoft.com

端口：5061

SIP 证书到 MSPKI 证书颁发机构更改测试

(9 月 5 日上午 UTC) 开始，Microsoft 将执行 24 小时测试，其中所有 Microsoft SIP 终结点都将切换为使用证书，证书链将汇总到“DigiCert Global Root G2”证书颁发机构 (CA) 。 如果 SBC 不信任此 CA，则可能无法连接到 Teams SIP 终结点。

如果要在更改之前测试并确认 SBC 证书配置，Microsoft 已准备了一个测试终结点，可用于验证 SBC 设备是否信任从新的根 CA (DigiCert 全局根 G2) 颁发的证书。 此终结点应仅用于 SIP OPTIONS ping 消息，而不适用于语音流量。 如果 SBC 可以建立到此终结点的 TLS 连接，则与 Teams 服务的连接不应受到更改的影响。

测试终结点 FQDN：sip.mspki.pstnhub.microsoft.com

端口：5061

将 SIP 证书更改为 MSPKI 证书颁发机构

Microsoft 365 正在更新为消息传送、会议、电话、语音和视频提供支持的服务，以使用来自另一组根证书颁发机构 (CA) 的 TLS 证书。 由于当前根 CA 将于 2025 年 5 月过期，因此正在进行此更改。 受影响的终结点包括用于使用 TLS 连接的 PSTN 流量的所有 Microsoft SIP 终结点。 向新 CA 颁发的证书的转换从 8 月下旬开始。

新的根 CA“DigiCert 全局根 G2”受到 Windows、macOS、Android 和 iOS 等操作系统以及 Microsoft Edge、Chrome、Safari 和 Firefox 等浏览器的广泛信任。 但是，SBC 的证书根存储可能是手动配置的，需要更新。 在其可接受的 CA 列表中没有新根 CA 的 SBC 会收到证书验证错误，这可能会影响服务的可用性或功能。 请参阅 SBC 供应商文档，了解如何更新 SBC 上接受的证书列表。

目前，Microsoft SIP 接口使用的 TLS 证书链接到以下根 CA：

CA 的公用名称：Baltimore CyberTrust 根指纹 (SHA1) ：d4de20d05e66fc53fe1a50882c78db2852cae474

Microsoft SIP 接口使用的新 TLS 证书现在将链接到以下根 CA：

CA 的公用名称：DigiCert 全局根 G2 指纹 (SHA1) ：df3c24f9bfd666761b268073fe06d1cc8d4f82a4

可以直接从 DigiCert：DigiCert 全局根 G2 下载新的 CA 证书。

有关详细信息，请参阅 Office TLS 证书更改

新的直接路由 SIP 终结点

Microsoft 将向 Teams 直接路由 SIP 终结点引入新的信号 IP。 为确保此更改不会影响服务可用性，请确保会话边界控制器和防火墙配置为使用建议的子网 52.112.0.0/14 和 52.122.0.0/15 进行分类和 ACL 规则。 有关详细信息，请参阅 Microsoft 365、Office 365 和 Office 365 GCC 环境。

基于 SIP 选项的中继降级逻辑

针对中继运行状况引入了基于 SIP 选项的新功能。 在网关配置中启用 (看到 Set-CsOnlinePSTNGateway cmdlet 和 SendSipOptions 参数) 时，出站呼叫的路由逻辑会降级不定期发送 SIP 选项的中继， (预期时间段是 SBC 每分钟发送一个 SIP 选项，) 到 Microsoft 后端。 这些降级的中继将放在可用于出站呼叫的中继列表的末尾，并最后尝试，这可能会缩短呼叫设置时间。

启用该功能的任何中继在五分钟内未将至少一个 SIP 选项发送到任何 Microsoft 区域 (NOAM、EMEA、APAC、OCEA) SIP 代理都被视为降级。 如果中继仅将 SIP 选项发送到 Microsoft 区域 SIP 代理的子集，则首先尝试这些路由，其余路由将降级。

注意

在客户或运营商租户下配置的任何 SBC (，SendSipOptions 设置为 true) 不发送 SIP OPTIONS 都将降级。 不希望出现该行为的客户应在 SBC 配置中将 SendSipOptions 设置为 false 。 这同样适用于 SBC 配置位于运营商或客户租户下的运营商中继。 在这些情况下，当 SendSipOptions 设置为 true 时，SBC 会发送 SIP OPTIONS。

SIP 支持

2022 年 6 月 1 日，Microsoft 将从直接路由配置中删除对 sip-all.pstnhub.microsoft.com 和 sip-all.pstnhub.gov.teams.microsoft.us FQDN 的支持。

如果在 6 月 1 日之前未执行任何操作，用户将无法通过直接路由拨打或接听呼叫。

防止服务影响：

• 对于任何分类或 ACL 规则，请使用建议的子网： (52.112.0.0/14 和 52.120.0.0/14) 。
• 为直接路由配置会话边界控件时，停止使用 sip-all FQDN。

有关详细信息，请参阅 计划直接路由。

注意

本文档中介绍的 IP 范围特定于直接路由，可能与 Teams 客户端建议的 IP 范围不同。

TLS 证书

Microsoft 365 正在更新 Teams 和其他服务，以使用一组不同的根证书颁发机构 (CA) 。

有关详细信息和受影响服务的完整列表，请参阅 对 Microsoft 365 服务（包括 Microsoft Teams）的 TLS 证书更改。

证书颁发机构

从 2022 年 2 月 1 日起，直接路由 SIP 接口将仅信任证书颁发机构 (CA) 签名的证书，这些证书属于 Microsoft 受信任的根证书计划。 执行以下步骤以避免对服务造成影响：

• 确保 SBC 证书由属于 Microsoft 受信任的根证书计划的 CA 签名。
• 验证证书的扩展密钥用法 (EKU) 扩展是否包括“服务器身份验证”。

有关 Microsoft 受信任的根证书计划的详细信息，请参阅 计划要求 - Microsoft 受信任的根计划。

有关受信任的 CA 列表，请参阅 Microsoft 包含的 CA 证书列表。

替换标头

从 2022 年 4 月开始，直接路由会拒绝定义了 Replaces 标头的 SIP 请求。 Microsoft 将 Replaces 标头发送到会话边界控制器 (SBC) 的流没有变化。

检查 SBC 配置，并确保未在 SIP 请求中使用替换标头。

TLS1.0 和 1.1

为了为客户提供一流的加密，Microsoft 计划弃用传输层安全性 (TLS) 版本 1.0 和 1.1。 2022 年 4 月 3 日，Microsoft 将强制使用直接路由 SIP 接口的 TLS1.2。

若要避免任何服务影响，请确保 SBC 配置为支持 TLS1.2，并且可以使用以下密码套件之一进行连接：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i.e. ECDHE-RSA-AES256-GCM-SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 i.e. ECDHE-RSA-AES128-GCM-SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 i.e. ECDHE-RSA-AES256-SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256即 ECDHE-RSA-AES128-SHA256

相关文章

• 直接路由 - SIP 协议