如何配置安全SIP – TLS

首页/3CX管理员手册/如何配置安全SIP – TLS

如何配置安全SIP – TLS

先决条件

  • 这里下载SimpleCA 。
  • 将SimpleCA zip文件的内容解压缩到“C:\ SimpleCA \”

注意:由于此软件的已知问题,建议此程序从根目录(在本例中为c:\ drive)运行。

  • 确保服务器上的时间和日期是正确的,因此在继续操作之前检查控制面板中的时间和区域设置。认证过程具有时间依赖性,因此需要设置正确的时间设置。

使用TLS配置3CX电话系统

第1部分 – 准备安全证书和密钥

  1. 运行SimpleCA – 由于您是第一次运行此操作,因此您将需要创建根证书颁发机构,而简单CA将弹出“设置根CA”对话框图片1
  2. 我们配置的最重要的字段是“通用名称”。将通用名称设置为3CXPHONE,然后单击确定。
  3. 将创建“C:\ SimpleCA”中的crt文件。这是根CA,任何TLS客户端(软电话或硬电话)都需要能够建立到指定集团电话的TLS连接。创建此文件的副本并将其重命名为“root_cert_3CXPHONE.pem”。保持此文件方便进一步使用。这将用于3CXPhone Windows客户端,稍后介绍。

第2部分 – 创建3CX电话系统服务器证书:

  1. 单击“服务器证书”菜单,然后选择“新建服务器证书请求”。您即将创建将在指定的3CX电话系统之后安装的证书,以验证到特定网络接口的TLS请求。图片2
  2. 将通用名称项写入3CX服务器的IP地址。完成后,单击确定。系统将提示您保存此(未签名)证书。
  3. 签署服务器证书。单击“服务器证书”菜单,然后选择“签名服务器证书请求”。这将提示您选择要签名的所需证书 – 选择刚刚创建的证书。之后,SimpleCA将显示“只读”证书信息,要求您确认签名。图片3
  4. 安全确认 – 您将被提示输入您创建根CA时使用的相同密码。输入密码,然后单击确定。简单CA将生成一对文件,签名证书(扩展名为.cer)及其解密密钥(扩展名为.key)  图片4
  5. 查找安全文件 打开“C:\ SimpleCA \certificates”。我们感兴趣的文件是(.crt)和(.key)。这些是我们下一步需要的文件。 图片5
  6. 生成3CX IP PBX证书。打开3CX管理控制台,然后单击设置/高级部分,然后单击安全选项卡。用文本编辑器打开.crt文件。选择所有内容并将其复制并粘贴到“证书”列文本框中。使用文本编辑器打开.key文件,选择所有内容,然后复制并粘贴到“密钥”字段部分。单击启用安全SIP按钮,然后单击应用并确定。注意:如果您的3CX电话系统机器有多个网卡:用于生成证书的接口IP地址必须与“安全”选项卡中选择的接口相匹配。选择“接口”字段,以便在适当的接口上保护数据。图片6
  7. 单击“服务状态”部分重新启动3CX电话系统,然后重新启动3CX电话系统服务。此时,3CX电话系统已配置并准备好接受传入的TLS连接。

使用TLS配置IP电话

使用安全SiP配置适用于3CX Windows客户端

  • 打开3CX window客户端,点击右下角设置-配置账户,双击所选账户,点击“高级设置”。将SIP传输更改为TLS。
  • 单击证书并导入。您需要导入以下文件“pem”。这是您在第1部分,第2步中创建的文件。将出现一个消息框,证明文件已导入。按OK键和3CX Windows客户端将会使用TLS重新连接。

配置Yealink话机使用TLS

  • 打开Yealink的Web界面
  • 转到安全>受信任的证书。单击浏览按钮并上传客户端证书pem
  • 转到“帐户”链接,在“标签,显示名称和用户名”字段中,输入分机号码(例如:163)。在“注册名称”字段中,输入验证ID(例如id163)。在密码字段中,输入分机的验证密码(例如:pw163),在SIP服务器字段中输入3CX电话系统机器的IP地址,例如168.1.20。现在将端口设置为5061.将传输设置为TLS。按确认页面底部。
  • 如果您使用固件71.xx,那么您还需要转到“安全”选项卡,从左侧的菜单中选择“受信任的证书”,并在CA证书字段中从下拉列表中选择“所有证书”名单。按页面底部的“确认”。Yealink话机将重新启动并注册到3CX电话系统,并将使用TLS传输进行SIP通信。

配置snom话机使用TLS

  • 打开snom话机的Web界面。
  • 转到安装程序>受信任的证书。单击“浏览”按钮并上传客户端证书pem
  • 转到设置>身份1链接,并在“帐户”字段中输入分机号码(例如:107)。在密码字段中,输入扩展的验证密码(例如:107),并在注册器字段中输入3CX电话系统机器的IP地址,例如168.1.20
  • 在出站代理字段中,输入xxxx:5061; transport = tls,其中xxxx是3CX Phone System机器的IP地址(例如:168.1.20:5061;transport=tls)
  • 在验证用户名字段中,输入扩展名的验证ID(例如:107)
  • 点击页面底部的保存按钮。点击页面底部的重新注册按钮。snom话机现在已注册到3CX电话系统,并将使用TLS传输进行SIP通信。

配置安全RTP的IP电话

配置Yealink话机使用安全RTP

  • 打开Yealink的Web界面。
  • 转到帐户>高级:将选项语音加密(SRTP)设置为ON。
  • 按页面底部的确认。Yealink话机现在将使用安全RTP。

配置snom话机使用安全RTP

  • 打开snom话机的网页界面。
  • 转到设置>身份1链接,然后单击RTP:将选项RTP加密设置为ON。
  • 按保存。snom话机现在将使用安全RTP。

配置3CX软电话使用安全RTP

  • 转到3CXPhone的窗口帐号页面。
  • 选择您需要的帐户,然后按编辑。
  • 单击高级设置并将RTP模式设置为:允许安全。这将允许安全RTP和非安全RTP,或只有安全。这将只允许安全RTP连接。
  • 按确定直到您进入VoIP电话主屏幕。3CXPhone for Windows现在将使用安全RTP。