TLS 트렁크 전송 프로토콜 사양

요구 사항

BYOC Cloud에 대한 보안 트렁크를 설정하려면 이동통신사 또는 전화 통신 공급자가 TLS 및 SRTP를 사용하는 SIP와의 보안 VoIP 연결도 지원해야 합니다. BYOC Cloud는 보안 트렁크에 대해 IPSEC를 지원하지 않습니다. 보안 BYOC 클라우드 트렁크 설정은 몇 가지 대체 설정만 있는 비보안 트렁크와 유사합니다. 보안 트렁크는 다음을 수행합니다. 그러나 연결이 성공하려면 다른 요구 사항이 있습니다.

연결

통화 발신 장치가 VoIP 연결을 시작합니다. 그러나 두 VoIP 끝점은 모두 서버와 클라이언트 역할을 합니다. 발신(인바운드) 및 종료(아웃바운드) 호출 모두에 대해 두 끝점 모두에 대해 보안 TLS 연결을 구성합니다. 두 VoIP 끝점에는 공용 인증 기관에서 서명한 X.509 인증서가 있어야 하며 각 클라이언트 끝점은 서버에 서명한 인증 기관을 신뢰해야 합니다. 두 연결 모두 단방향 또는 서버 측 TLS를 사용하며 상호 TLS(mTLS)는 지원되지 않습니다.

BYOC Cloud용 보안 트렁크는 비보안 상대방과 동일한 VoIP 엔드포인트에 연결합니다. 이러한 연결 주소에 대한 자세한 내용은 다음을 참조하십시오. BYOC 클라우드 공개 SIP IP 주소.

포트 및 프로토콜 버전

BYOC Cloud는 TLS 버전 1.2 프로토콜을 사용하는 끝점만 지원합니다.

지원되는 TLS 암호는 다음과 같습니다.

• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256^*
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384^*
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384^*

* 타원 곡선 Diffie-Hellman ephemeral(ECDHE) 키 교환의 경우 secp384r1(384비트 프라임 필드에 대한 NIST/SECG 곡선) 타원 곡선만 지원됩니다.

TLS 전용 수신기는 호스트 포트 5061에서 사용할 수 있습니다.

인증서 신뢰

클라이언트가 서버에 대한 보안 연결을 만들 때 인증서의 유효성을 확인합니다. 인증서는 포함된 키의 합법성을 인증합니다. 유효한 인증서는 다음을 준수합니다.

인증 기관

신뢰할 수 있는 인증 기관에서 인증서를 발급해야 유효합니다.

고객 엔드포인트는 BYOC Cloud 엔드포인트를 신뢰해야 합니다. Genesys Cloud는 공인 인증 기관인 DigiCert에서 발급한 X.509 인증서를 사용하여 BYOC Cloud 엔드포인트에 서명합니다. 보다 구체적으로 말하면, BYOC Cloud 엔드포인트에 서명하는 루트 인증 기관은 지역별로 분리되어 있으며 DigiCert High Assurance EV Root CA 또는 DigiCert Global Root G2/DigiCert Global Root G3에서 승인한 인증서를 사용합니다. DigiCert에서 해당 지역에 적합한 루트 공개 키 인증서를 다운로드할 수 있습니다.

인증서 파일 형식

루트 CA 인증서는 두 가지 파일 형식으로 제공됩니다. DER 및 PEM. 두 파일 형식 모두 동일한 데이터를 포함하지만 인코딩 방법이 다릅니다. 귀하의 시스템에 가장 적합한 파일 형식을 다운로드하기만 하면 됩니다.

• DER 인증서는 바이너리 형식인 DER(Distinguished Encoding Rules) 방법을 사용하여 인코딩됩니다. DER 인증서는 Java 기반 시스템에서 사용하기 위한 것입니다.
• PEM 인증서는 base64로 인코딩된 형식인 PEM(Privacy-Enhanced Mail) 방법을 사용하여 인코딩됩니다. PEM 인증서는 Unix 기반 시스템에서 사용하기 위한 것입니다.

지역별 인증기관

BYOC Cloud 엔드포인트는 고객 엔드포인트도 신뢰해야 합니다. BYOC Cloud 엔드포인트가 고객 엔드포인트를 신뢰하려면 다음 공개 인증 기관 중 하나가 고객 엔드포인트에 서명해야 합니다.

• 액탈리스
• 아마존 트러스트 서비스
• DigiCert / QuoVadis / Symantec / Thawte / Verisign 
• 맡기다
• 글로벌사인
• 고 대디 / 스타필드 
• 인터넷보안연구그룹
• 네트워크 솔루션
• Sectigo / AddTrust / Comodo / UserTrust
• 스위스사인
• Telia / Telia소네라 
• Trustwave / 보안 신뢰 / Viking Cloud

BYOC Cloud SIP 서버에서 보안 SIP TLS 연결을 수신하는 모든 원격 엔드포인트는 인증서로 구성되어야 합니다. 이 인증서는 Genesys Cloud BYOC Cloud SIP 서버가 신뢰하는 루트 인증 기관 중 하나에서 발급한 중간 인증 기관에 의해 자체적으로 서명되거나 보다 일반적으로 서명됩니다. 인증서가 서명되지 않은 경우 연결이 실패합니다. 원격 끝점은 TLS 핸드셰이크에 최종 엔터티 인증서와 모든 중간 인증 기관을 제시해야 합니다.

중간 신뢰가 있는 TLS 핸드셰이크

TLS는 핸드셰이크를 사용하여 두 끝점 간의 보안 연결을 협상합니다. 핸드셰이크는 공용 인증서와 연결별 요구 사항을 모두 공유합니다. 클라이언트는 핸드셰이크를 시작하고 서버에서 보안 연결을 요청합니다. 서버는 자체 서명된 인증서와 인증서 체인의 모든 중간 인증서를 모두 제공해야 합니다.

BYOC 클라우드 엔드포인트는 TLS 핸드셰이크 중에 서버 역할을 할 때 자체 서버 인증서와 인증서 체인의 모든 중간 인증서를 제공합니다. 고객 엔드포인트는 위에 나열된 DigiCert 루트 인증 기관만 신뢰해야 합니다.

BYOC Cloud 끝점은 위에 나열된 공급자의 루트 인증 기관 인증서만 신뢰합니다. 고객 끝점은 TLS 핸드셰이크 중에 서버 역할을 할 때 자체 서버 인증서와 인증서 체인의 모든 중간 인증 기관 인증서를 모두 제공해야 합니다.

주체 이름 유효성 검사

유효한 인증서에는 클라이언트가 연결한 위치의 주체 이름(URI)이 포함되어야 합니다.

보안 연결의 클라이언트는 주체 이름 유효성 검사를 사용하여 원격 끝점이 자신을 예상 대상으로 식별하는지 확인합니다. 서버 인증서에 클라이언트가 연결된 이름이 일반 이름이나 주체 대체 이름으로 포함되어 있지 않으면 클라이언트는 해당 연결을 거부해야 합니다.

주체 이름 유효성 검사가 성공했는지 확인하기 위해 BYOC Cloud에 대한 연결은 다음 표를 잠재적 엔드포인트 목록으로 사용합니다.

• 아메리카
• EMEA
• 아시아태평양

공용 인증 기관은 트렁크의 SIP 서버 또는 프록시 값으로 사용되는 일반 이름 또는 주체 대체 이름을 사용하여 고객 끝점 X.509 인증서에 서명해야 합니다. BYOC 끝점은 호스트 이름으로 연결의 유효성을 검사합니다. IP 주소는 허용되지 않습니다. BYOC 클라우드 트렁크에 대한 자세한 내용은 다음을 참조하십시오. BYOC 클라우드 트렁크 생성.

날짜 유효성 검사

유효한 인증서는 유효 기간 내에 있어야 하며 만료 날짜를 넘지 않아야 합니다.

X.509 인증서에는 인증서가 허용되는 시기를 지정하는 날짜 범위인 유효 기간이 있습니다. 만료 날짜에 가까운 날짜 또는 만료 날짜에 Genesys Cloud는 연장된 검증 기간이 포함된 새 인증서로 엔드포인트의 인증서를 갱신합니다.

자격증 해지 목록

유효한 인증서는 적극적으로 발급된 인증서여야 하며 기관 해지 목록에 포함되어 있지 않아야 합니다.

공용 인증 기관이 X.509 인증서에 서명할 때 인증서 해지 목록의 주소가 포함됩니다. 공인 인증 기관은 인증서를 해지 목록에 추가하여 만료 기간 전에 인증서를 해지할 수 있습니다. 보안 클라이언트는 연결을 설정할 때 해지 목록을 확인하고 인증서가 유효한지 확인합니다. 공개 인증 기관은 일반적으로 키 쌍의 보안이 손상된 경우 엔드포인트 공개 인증서를 취소합니다.

SIP URI

SIP URI는 VoIP 끝점을 연결하는 메커니즘입니다. 각 VoIP 끝점에는 해당 원격 피어에 연결하기 위한 해당 SIP URI가 있습니다. URI에는 프로토콜, 대상 번호 및 원격 호스트를 포함하는 DNS 호스트 이름 형식으로 SIP 장치의 원격 주소가 포함됩니다.

호스트 이름 외에 URI에는 연결을 제어하는 속성도 포함될 수 있습니다. URI의 사용자 부분과 호스트 부분에 속성을 적용합니다. URI가 올바르게 작동하려면 URI의 적절한 부분에 특성을 적용해야 합니다.  

기본 속성은 트렁크 선택 및 전송 프로토콜을 지정합니다. 보안 연결에서 전송 속성은 TLS 전송 프로토콜을 지정합니다.

자세한 내용은 인바운드 섹션을 참조하십시오. BYOC 클라우드 트렁크에 대한 SIP 라우팅 구성.

인바운드 SIP 라우팅

TLS를 사용하는 BYOC Cloud용 보안 SIP를 사용하는 경우 Genesys Cloud는 인바운드 SIP 라우팅에 TGRP를 사용하여 각 프록시에 대해 고유한 URI 세트를 사용할 것을 권장합니다. 그러나 인바운드 라우팅 방법을 선택할 때 고려해야 할 몇 가지 다른 옵션이 있습니다.

TGRP(트렁크 그룹 라우팅 프로토콜)

모범 사례는 SIP URI의 속성을 기반으로 트렁크 선택을 허용하는 TGRP 구성을 사용하는 것입니다. TGRP 속성은 요청 URI의 호스트 이름이 X.509 인증서의 일반 이름 또는 주체 대체 이름으로 정의된 값으로 설정되도록 라우팅을 제어합니다. 이 구성을 사용하면 주체 이름 유효성 검사가 성공할 수 있습니다.

DNIS(다이얼 번호 식별 서비스)

DNIS 라우팅은 Secure BYOC Cloud 트렁크와 함께 작동할 수 있습니다. 그러나 주체 이름 유효성 검사는 이 라우팅 옵션의 실행 가능성을 제한할 수 있습니다. 일반적으로 캐리어가 SIP URI의 제어를 제한하고 대신 IP 주소를 선호하는 경우 DNIS 라우팅을 사용합니다. 지원되는 호스트 이름이 아닌 IP 주소로 직접 호출을 보내면 X.509 인증서의 주체 이름 유효성 검사가 실패합니다.

FQDN(정규화된 도메인 이름)

FQDN은 Secure BYOC Cloud 트렁크와 함께 작동할 수 있습니다. 그러나 FQDN은 사용자 정의이므로 X.509 인증서의 주체 이름 유효성 검사는 통과하지 못할 것으로 예상됩니다. 와일드카드 인증서는 사용자 정의 이름을 지원할 수 있지만 일부 SIP 장치에서 지원되지 않기 때문에 사용되지 않습니다.

TLS용 SRV 레코드를 사용할 수 있으며 프록시 인증서에는 SRV 도메인 이름과 SRV 레코드 이름이 포함되어 있습니다. 그러나 공용 인증 기관은 서비스 및 전송 이름에 대한 SRV 레코드에 사용되는 일반 이름 및 주체 대체 이름에 밑줄 문자를 사용하는 것을 허용하지 않습니다. 원격 SIP 장치가 인증서 일반 이름의 유효성을 검사하는 경우 도메인 이름만 유효성을 검사합니다. 서비스 및 전송을 포함하는 전체 리소스 레코드 이름의 유효성을 검사하지 않습니다.

자세한 내용은 인바운드 섹션을 참조하십시오. BYOC 클라우드 트렁크에 대한 SIP 라우팅 구성.

예

SIP URI를 올바르게 구성하는 데 도움이 되도록 다음 예는 TGRP를 사용한 연결에 대한 것입니다. 이 예는 각 BYOC SIP 프록시 간에 호출을 분배하는 데 사용되는 현재 필요한 모든 호스트 항목을 보여줍니다. 또한 X.509 인증서의 주체 이름 유효성 검사를 통과하는 데 사용되는 각 프록시의 FQDN 호스트 이름도 표시합니다. 원격 엔드포인트가 보안 연결을 시작하도록 하기 위해 프로토콜이 제공됩니다.

BYOC Premises의 트렁크 전송 프로토콜로 TLS를 선택하면 고객 엔드포인트와 Genesys Cloud Edge 간에 직접 보안 트렁크를 설정합니다. 조직별 인증 기관은 각 Genesys Cloud Edge TLS 끝점에 서명하는 서버 인증서를 발급합니다. 조직 루트 인증 기관은 SIP 서비스를 관리하는 유효한 인증서입니다.

Genesys Cloud 내에서 조직의 공개 키 인증서를 얻을 수 있습니다. 자세한 내용은 인증 기관 구성.

외부 트렁크 구성에서 전송 및 미디어 보안 설정을 조정할 수 있습니다. 자세한 내용은 외부 트렁크 설정.