如何配置安全SIP – TLS
先决条件
- 从这里下载SimpleCA 。
- 将SimpleCA zip文件的内容解压缩到“C:\ SimpleCA \”
注意:由于此软件的已知问题,建议此程序从根目录(在本例中为c:\ drive)运行。
- 确保服务器上的时间和日期是正确的,因此在继续操作之前检查控制面板中的时间和区域设置。认证过程具有时间依赖性,因此需要设置正确的时间设置。
使用TLS配置3CX电话系统
第1部分 – 准备安全证书和密钥
- 运行SimpleCA – 由于您是第一次运行此操作,因此您将需要创建根证书颁发机构,而简单CA将弹出“设置根CA”对话框
- 我们配置的最重要的字段是“通用名称”。将通用名称设置为3CXPHONE,然后单击确定。
- 将创建“C:\ SimpleCA”中的crt文件。这是根CA,任何TLS客户端(软电话或硬电话)都需要能够建立到指定集团电话的TLS连接。创建此文件的副本并将其重命名为“root_cert_3CXPHONE.pem”。保持此文件方便进一步使用。这将用于3CXPhone Windows客户端,稍后介绍。
第2部分 – 创建3CX电话系统服务器证书:
- 单击“服务器证书”菜单,然后选择“新建服务器证书请求”。您即将创建将在指定的3CX电话系统之后安装的证书,以验证到特定网络接口的TLS请求。
- 将通用名称项写入3CX服务器的IP地址。完成后,单击确定。系统将提示您保存此(未签名)证书。
- 签署服务器证书。单击“服务器证书”菜单,然后选择“签名服务器证书请求”。这将提示您选择要签名的所需证书 – 选择刚刚创建的证书。之后,SimpleCA将显示“只读”证书信息,要求您确认签名。
- 安全确认 – 您将被提示输入您创建根CA时使用的相同密码。输入密码,然后单击确定。简单CA将生成一对文件,签名证书(扩展名为.cer)及其解密密钥(扩展名为.key)
- 查找安全文件 打开“C:\ SimpleCA \certificates”。我们感兴趣的文件是(.crt)和(.key)。这些是我们下一步需要的文件。
- 生成3CX IP PBX证书。打开3CX管理控制台,然后单击设置/高级部分,然后单击安全选项卡。用文本编辑器打开.crt文件。选择所有内容并将其复制并粘贴到“证书”列文本框中。使用文本编辑器打开.key文件,选择所有内容,然后复制并粘贴到“密钥”字段部分。单击启用安全SIP按钮,然后单击应用并确定。注意:如果您的3CX电话系统机器有多个网卡:用于生成证书的接口IP地址必须与“安全”选项卡中选择的接口相匹配。选择“接口”字段,以便在适当的接口上保护数据。
- 单击“服务状态”部分重新启动3CX电话系统,然后重新启动3CX电话系统服务。此时,3CX电话系统已配置并准备好接受传入的TLS连接。
使用TLS配置IP电话
使用安全SiP配置适用于3CX Windows客户端
- 打开3CX window客户端,点击右下角设置-配置账户,双击所选账户,点击“高级设置”。将SIP传输更改为TLS。
- 单击证书并导入。您需要导入以下文件“pem”。这是您在第1部分,第2步中创建的文件。将出现一个消息框,证明文件已导入。按OK键和3CX Windows客户端将会使用TLS重新连接。
配置Yealink话机使用TLS
- 打开Yealink的Web界面
- 转到安全>受信任的证书。单击浏览按钮并上传客户端证书pem
- 转到“帐户”链接,在“标签,显示名称和用户名”字段中,输入分机号码(例如:163)。在“注册名称”字段中,输入验证ID(例如id163)。在密码字段中,输入分机的验证密码(例如:pw163),在SIP服务器字段中输入3CX电话系统机器的IP地址,例如168.1.20。现在将端口设置为5061.将传输设置为TLS。按确认页面底部。
- 如果您使用固件71.xx,那么您还需要转到“安全”选项卡,从左侧的菜单中选择“受信任的证书”,并在CA证书字段中从下拉列表中选择“所有证书”名单。按页面底部的“确认”。Yealink话机将重新启动并注册到3CX电话系统,并将使用TLS传输进行SIP通信。
配置snom话机使用TLS
- 打开snom话机的Web界面。
- 转到安装程序>受信任的证书。单击“浏览”按钮并上传客户端证书pem
- 转到设置>身份1链接,并在“帐户”字段中输入分机号码(例如:107)。在密码字段中,输入扩展的验证密码(例如:107),并在注册器字段中输入3CX电话系统机器的IP地址,例如168.1.20
- 在出站代理字段中,输入xxxx:5061; transport = tls,其中xxxx是3CX Phone System机器的IP地址(例如:168.1.20:5061;transport=tls)
- 在验证用户名字段中,输入扩展名的验证ID(例如:107)
- 点击页面底部的保存按钮。点击页面底部的重新注册按钮。snom话机现在已注册到3CX电话系统,并将使用TLS传输进行SIP通信。
配置安全RTP的IP电话
配置Yealink话机使用安全RTP
- 打开Yealink的Web界面。
- 转到帐户>高级:将选项语音加密(SRTP)设置为ON。
- 按页面底部的确认。Yealink话机现在将使用安全RTP。
配置snom话机使用安全RTP
- 打开snom话机的网页界面。
- 转到设置>身份1链接,然后单击RTP:将选项RTP加密设置为ON。
- 按保存。snom话机现在将使用安全RTP。
配置3CX软电话使用安全RTP
- 转到3CXPhone的窗口帐号页面。
- 选择您需要的帐户,然后按编辑。
- 单击高级设置并将RTP模式设置为:允许安全。这将允许安全RTP和非安全RTP,或只有安全。这将只允许安全RTP连接。
- 按确定直到您进入VoIP电话主屏幕。3CXPhone for Windows现在将使用安全RTP。