Best Practice: SIP-Federation mit ProCall Enterprise einrichten - Vertrauensnetzwerk aufbauen
Mai 2020.
Versionshinweis: ProCall Enterprise Versionen 6.x und 7.x
Best Practice
Die im Best Practice beschriebene Vorgehensweise setzt detaillierte IT Fachkenntnis in Konfiguration und Administration von Netzwerken voraus.
Einrichten einer Federation
Das Einrichten eines Vertrauensnetzwerkes über Federation kann mit ProCall Enterprise über folgende Methoden erfolgen:
- Open Federation (DNS)
- Statische Routen
Um eine Federation einzurichten und ein Vertrauensnetzwerk über ProCall Enterprise zu schaffen, muss die Erreichbarkeit des UCServer gegenüber den Kommunikationspartnern bekannt gegeben werden.
Nachfolgend werden die beiden Konfigurationsvarianten über Open Federation und Statische Routen beschrieben.
Nach Abschluss der Konfiguration müssen noch Berechtigungen für die Veröffentlichung von Präsenz und Kontaktdaten eingerichtet werden.
Open Federation
DNS
Wenn Sie keine Punkt-zu-Punkt (P2P) Verbindung eingerichtet haben, sondern „Open Federation“ nutzen, dann ist eine DNS Konfiguration nötig. Dort muss ein öffentlich erreichbarer Service Location Record eingerichtet werden, der auf den UCServer verweist. Sie können über eine Abfrage über nslookup einer DNS-Zone auch ermitteln, ob eine Domäne ProCall Enterprise mit „Open Federation“ einsetzt.
Zertifikate
Für die verschlüsselte Kommunikation ist zwingend ein Zertifikat erforderlich.
- Dabei muss es sich bei der „Open Federation“ um ein öffentliches Zertifikat handeln, damit auch andere Firmen diesem Vertrauen können.
- Wenn eine „P2P Federation“ via statische Routen genutzt wird, sind private Zertifikate ausreichend, da die ausstellende CA auf der Gegenseite als vertrauenswürdig hinzugefügt werden kann.
Installation des UCServer
Nachdem Sie das ProCall Enterprise ZIP Archiv heruntergeladen und entpackt haben, führen Sie die zur Systemarchitektur passende UCServer_xxx.msi Datei aus.
Installieren Sie die Software nicht aus dem gepackten ZIP-Ordner (Bsp. ProCall_Enterprise.X.XXXde.zip) heraus.
Präsenzdomäne im UCServer konfigurieren
Präsenzdomäne
Die Präsenzdomäne ist wesentlicher Teil der Identität eines jeden Benutzers und identifiziert diesen eindeutig. Sie ist daher später nur bedingt modifizierbar.
UCServer Setup - Präsenzdomäne festlegen
Folgen Sie im UCServer Setup dem Installations-Wizard und legen Sie hierbei die Präsenzdomäne fest.
Beispiel: Präsenzdomäne festlegen: Martin.Meier@ucsoftware.de
Schließen Sie dann die Konfiguration ab.
Konfiguration eingehender Verbindung (SIP zu SIP Server)
Starten Sie zur Konfiguration der Federation die UCServer Verwaltung und melden Sie sich am System an.
Menü: UCServer Verwaltung - SIP Federation
Konfigurieren Sie hier, wie die Verbindung zu anderen Systemen hergestellt werden soll:
Für den Aufbau einer „Open Federation“ muss die Option „Direkt“ und darin zusätzlich die Option „Open Federation verwenden...“ markiert werden.
Hinweis
Wenn Sie unter der Option „Direkt“ weder „Federation Dienst verwenden“ noch „Open Federation verwenden“ aktivieren, müssen Sie mindestens eine Statische Route konfiguriert haben, um Federation nutzen zu können.
Für die Übernahme der Einstellungen ist ggf. ein Neustart des UCServer erforderlich.
Menü: UCServer Verwaltung - Federation - SIP Server
Aktivieren Sie hier die Netzwerkschnittstellen, die nötig sind, um eingehende SIP-Nachrichten empfangen zu können, über das Kontrollkästchen SIP-Server verwenden...
Fügen Sie dem „SIP Server“ eine Netzwerk-Schnittstelle hinzu. Klicken Sie dafür auf die Schaltfläche „Hinzufügen…“, um den entsprechenden Konfigurationsdialog anzuzeigen.
Konfiguration der Netzwerkschnittstelle / Auswahl der eigenen IP Adresse
Hat der Computer mehrere Netzwerkanschlüsse, so wird eine Liste der verfügbaren angeboten. Die IP Adresse muss öffentlich sein (über das Internet erreichbar).
Geben Sie hier Portnummer und das Protokoll an:
- Den Port sollten Sie standardmäßig auf 5061 belassen.
- Für die Erreichbarkeit ist es notwendig, dass das MTLS Protokoll (Mutual Transport Layer Security) mit dem notwendigen Zertifikat gewählt wird.
Bestätigen Sie Ihre Angaben zur neuen Netzwerkschnittstelle mit „OK“, um diese der Liste der Netzwerkschnittstellen hinzuzufügen.
Abschließend speichern Sie die Konfiguration durch Klick auf die Schaltfläche „Übernehmen“.
Zur Übernahme der Einstellungen ist ein Neustart des UCServer-Dienstes erforderlich.
Sicherheit der Verbindung (Übertragungsprotokolle)
Zur Absicherung der Kommunikation zwischen den beteiligten Systemen können verschiedene Übertragungsprotokolle gewählt werden. Für die „Open Federation“ ist MTLS (Mutual Transport Layer Security) notwendig.
MTLS
Das MTLS Protokoll erfordert zusätzlich zum Zertifikat ein DNS SRV Record und ist sicherer als TLS (Transport Layer Security). Anders als bei TLS, bei dem nur eine Seite das Zertifikat präsentieren muss, müssen bei MTLS beide Seiten (Server) ihr Zertifikat präsentieren können.
Zertifikate
Wenn TLS oder MTLS ausgewählt wird, so muss im System zuvor das von einer Zertifizierungsstelle ausgestellte Zertifikat eingestellt worden sein. Dieses ist dann über die Schaltfläche „Zertifikat…“, respektive „Zertifikat auswählen…“ zu erreichen.
Zugriff auf den SIP Server
Für die „Open Federation“ ist ein Service Resource Record im öffentlichen DNS (Domain Name System) zur Beantwortung von Anfragen zur Namensauflösung erforderlich.
Einrichten eines DNS Service Resource Record
Ein Service Resource Record (SRV) muss im öffentlichen DNS eingetragen werden, um den SIP Server auffindbar zu machen. Dabei können zu diesem Dienst noch zusätzliche Informationen bereitgestellt werden (Priorität etc.).
Eingetragen wird ein solcher Service Resource Record wie folgt:
_sipfederationtls._tcp Service Location (SRV) [0][1][5061] <Domäne>
Eigenschaften Service Location (SRV) | |
---|---|
_sipfederationtls._tcp | Name des SIP Dienstes, unter dem er im DNS gefunden wird. Beispiel: _sipfederationtls._tcp.ucsoftware.de |
Service Location (SRV) | Typ des Eintrags |
[0] | Priorität des Dienstes. Damit kann eine Priorisierung der verschiedenen gleichartigen Einträge erreicht werden. Der UCServer priorisiert den niedrigsten numerischen Wert. |
[1] | Gewichtung des Eintrages. Der UCServer priorisiert den höchsten numerischen Wert. |
[5061] | Portnummer, unter der der Service den Dienst zur Verfügung stellt |
<Domäne> | Rechner, der den Dienst anbietet z. B. estos UCServer |
Wie und wo man die Service Resource Records für bestimmte DNS-Server einrichtet, entnehmen Sie bitte der entsprechenden Dokumentation des Herstellers. Hinweise finden Sie auch in der Spezifikation „RFC 2052“.
Hier finden Sie eine Anleitung, wie Sie einen DNS Record für Open Federation testen können.
Anschließend folgen Sie bitte den Hinweisen zu Veröffentlichung von Präsenz und Kontaktdaten, Abweisen von Federations und der Verwaltung von Zertifikaten.
Statische Routen
Bei Verwendung von statischen Routen wird eine Punkt-zu-Punkt Federation zwischen zwei Unternehmen (verwendete UCServer) konfiguriert. Dies findet zwischen den im UCServer implementierten SIP Servern statt.
Zertifikate
Für die verschlüsselte Kommunikation ist zwingend ein Zertifikat erforderlich. Wenn eine „Punkt-zu-Punkt Federation“ via statische Routen genutzt wird, sind private Zertifikate ausreichend, weil dann die ausstellende CA auf der Gegenseite als vertrauenswürdig hinzugefügt werden kann.
Hinweis
Achten Sie bei der Konfiguration von "Statischen Routen" darauf, diese auch als "vertrauenswürdig einzustufen".
Installation des UCServer
Nachdem Sie das ProCall Enterprise ZIP Archiv heruntergeladen und entpackt haben, führen Sie die zur Systemarchitektur passende UCServer_xxx.msi Datei aus.
Installieren Sie die Software nicht aus dem gepackten ZIP-Ordner (Bsp. ProCall_Enterprise.X.XXXde.zip) heraus.
Präsenzdomäne im UCServer konfigurieren
Präsenzdomäne
Die Präsenzdomäne ist wesentlicher Teil der Identität eines jeden Benutzers und identifiziert diesen eindeutig. Sie ist daher später nur bedingt modifizierbar.
UCServer Setup - Präsenzdomäne festlegen
Folgen Sie im UCServer Setup dem Installations-Wizard und legen Sie hierbei die Präsenzdomäne fest.
Beispiel: Präsenzdomäne festlegen: Martin.Meier@ucsoftware.de
Schließen Sie dann die Konfiguration ab.
Konfiguration eingehender Verbindung (SIP zu SIP Server)
Für den Aufbau einer „Federation über statische Routen“ mit einem Partner muss der im UCServer enthaltene SIP Server aktiviert und konfiguriert werden.
Starten Sie zur Konfiguration der Federation die „UC Server Verwaltung“. Starten Sie zur Konfiguration der Federation die UCServer Verwaltung und melden Sie sich am System an.
Menü: UCServer Verwaltung - SIP - SIP Server einrichten
Aktivieren Sie hier die Netzwerkschnittstellen, die nötig sind, um eingehende SIP-Nachrichten empfangen zu können, über das Kontrollkästchen SIP-Server verwenden...
Fügen Sie dem „SIP Server“ eine Netzwerk-Schnittstelle hinzu. Klicken Sie dafür auf die Schaltfläche „Hinzufügen…“, um den entsprechenden Konfigurationsdialog anzuzeigen.
Wenn der Computer mehrere Netzwerkanschlüsse hat, wird bei der Auswahl der eigenen IP Adresse eine Liste angeboten. Es können auch alle verfügbaren Adressen genutzt werden.
Auch für die Kommunikation mit mehreren Partnern genügt ein Eintrag.
Die Portnummer sollte nur nur geändert werden, wenn ein zwingender Grund vorliegt (schon belegt oder aus anderen Gründen nicht verfügbar).
Bestätigen Sie Ihre Angaben zur neuen Netzwerkschnittstelle mit „OK“, um diese der Liste der Netzwerkschnittstellen hinzuzufügen.
Abschließend speichern Sie die Konfiguration durch Klick auf die Schaltfläche „Übernehmen“.
Zur Übernahme der Einstellungen ist ein Neustart des UCServer-Dienstes erforderlich.
Sicherheit der Verbindung (Übertragungsprotokolle)
Zur Absicherung der Kommunikation zwischen den beteiligten Systemen können verschiedene Übertragungsprotokolle gewählt werden.
TCP (Transmission Control Protocol) | Das Standardprotokoll ist TCP. Hierfür wird kein Zertifikat benötigt, da die Kommunikation unverschlüsselt erfolgt. Sind IP Adresse und Port bekannt, so wird hierüber frei kommuniziert. Dieses Protokoll ist zuverlässig und innerhalb von lokalen Netzwerken (LAN) ohne Aufwand gut nutzbar. |
---|---|
UDP (User Datagram Protocol) | Dieses Protokoll ist nur für spezielle Fälle gedacht und wird wegen seiner Nachteile bezüglich mangelhafter Zuverlässigkeit und Sicherheit (kein Zertifikat) und weiterer Einschränkungen nicht empfohlen. |
TLS (Transport Layer Security) | ehemals SSL (Secure Sockets Layer) Dieses Protokoll wird für gesicherte Verbindungen empfohlen. Es wird ein Zertifikat benötigt. Für Verbindungen über WAN (Internet) wird ein gesichertes Zertifikat von einer Zertifizierungsstelle (Trusted Root Certification Authority, CA) benötigt. |
MTLS (Mutual Transport Layer Security) | Das MTLS Protokoll erfordert zusätzlich zum Zertifikat ein DNS SRV Record und ist sicherer als TLS (Transport Layer Security). |
Zertifikate für TLS und MTLS
Wenn TLS oder MTLS ausgewählt wird, so muss im System zuvor das von einer Zertifizierungsstelle ausgestellte Zertifikat eingestellt worden sein. Dieses ist dann über die Schaltfläche „Zertifikat…“, respektive „Zertifikat auswählen…“ zu erreichen.
Konfiguration ausgehender Verbindung (statische Routen)
Für eine „Federation über statische Routen“ werden zusätzlich zum SIP Server die statischen Routen zum Partner im Vertrauensnetzwerk definiert, d. h. es wird der Rückkanal zum Partner festgelegt.
Menü: UCServer Verwaltung - SIP - Statische Routen
In der Konfigurations-Übersicht aktivieren Sie „Statische Routen verwenden“.
Fügen Sie für ausgehende Verbindungen statische Routen hinzu.
Hier sind die Zielsysteme zu spezifizieren, mit denen Sie eine Federation eingehen möchten. Klicken Sie hierzu auf die Schaltfläche „Hinzufügen…“ um eine weitere Statische Route der Liste hinzuzufügen.
Konfiguration Statische Route |
---|
Domänen Name |
Zugangs-Server und Port |
Route aktivieren |
Sicherheit der Verbindung (Übertragungsprotokolle)
Zur Absicherung der Kommunikation zwischen den beteiligten Systemen können dieselben Übertragungsprotokolle wie oben erwähnt gewählt werden.
Hinweis
- Das gewählte Protokoll muss mit dem des Federation Partners übereinstimmen.
- Das Zertifikat muss identisch mit dem des SIP Servers sein.
- Wird TLS gewählt, so kann kein Zertifikat ausgewählt werden, da das Zertifikat des Partners ausreicht.
Anschließend folgen Sie bitte den Hinweisen zu Veröffentlichung von Präsenz und Kontaktdaten, Abweisen von Federations und der Verwaltung von Zertifikaten.
Veröffentlichung von Präsenz und Kontaktdaten
Nachdem die konfigurationstechnischen Voraussetzungen gegeben sind, geht es um die Sichtbarkeit von Präsenzzuständen und Kontaktdaten.
UCServer Verwaltung - Federation - Domänenberechtigung
Hier legen Sie anhand der Berechtigungsstufen fest, welche Präsenz- und Kontaktinformationen von UCServer Benutzern an externe Federation Kontakte maximal angeboten werden dürfen.
Globale Berechtigungsstufe
Stellen Sie dazu sicher, dass die „Globale Berechtigungsstufe“ aktiviert ist und nicht auf "Gesperrt" eingestellt ist. Bei "Gesperrt" würden alle Berechtigungsanfragen von anderen Präsenzdomänen abgewiesen.
Es wird empfohlen, diese strenge Berechtigungsstufe möglichst nicht aufzuweichen.
Damit ist es einzelnen Benutzern nicht möglich, die global administrativ festgelegte Berechtigungsstufe zu überschreiten und zum Beispiel auf "persönlich" zu setzen, wenn dies administrativ nicht gewünscht ist.
Explizite Berechtigungsstufe
Für besonders vertrauenswürdige Kontakte können Ausnahmen unter „Explizite Berechtigungsstufen“ festgelegt werden. Klicken Sie auf die Schaltfläche „Hinzufügen…“, um eine neue „Explizite Berechtigungsstufe“ zu konfigurieren und anschließend durch Klick auf die „OK“ Schaltfläche der Liste hinzuzufügen.
Hier eingefügte Domänen überschreiben die globale Einstellung und können somit individuell auf die Berechtigungsstufen „Öffentlich“, „Firmenintern“, „Teammitglied“ oder „Persönlich“ gesetzt werden.
Abweisen von Federation / Blacklist für bestimmte Domänen
Ist mit einer bestimmten Institution keine Federation erwünscht, so kann diese administrativ in die Domänen-Sperrliste (Blacklist) eingetragen werden.
UCServer Verwaltung - Federation - Domänen sperren
Hier können Sie die Domänen eintragen, die explizit nicht in ein Vertrauensnetzwerk über Federation aufgenommen werden sollen. Eine Domäne sperren können Sie über die Schaltfläche "Hinzufügen..."
Um eine Domäne inklusive Subdomänen zu sperren, setzen Sie * vor den Domänennamen. Beispiel: *.example.com
Installation des Clients
Die Identität des Benutzers mit allgemeinen Benutzerinformationen ist für die Nutzung der Federation wichtig. Über die Identität können andere Teilnehmer mit diesem Benutzer Präsenzinformationen und Chatnachrichten austauschen. Präsenz- und Benutzerinformationen können über Berechtigungsstufen in den Favoriten und im Monitor eingestellt werden.
Normalerweise wird diese Identität über das System vom UC Administrator vorgegeben.
Falls die Benutzer dies selbst in den ProCall Arbeitsplatzeinstellungen eingeben können, ist zu berücksichtigen, dass hier Kleinschreibung erforderlich ist und keine Sonderzeichen und Umlaute erlaubt sind.
Benutzer können andere Kontakte von freigegebenen Domänen wie folgt für Präsenz und Nachrichtenaustausch freischalten beziehungsweise eine Berechtigungsanfrage senden:
- Kontakt hinzufügen
- Kontakt suchen und übernehmen
- Drag-and-Drop eines Kontaktes aus Microsoft Outlook oder Visitenkarte (VCF) mit IM-Adresse
Nach dem Hinzufügen des Kontaktes erscheint beim Partner die Berechtigungsanfrage. Die Darstellung variiert in Abhängigkeit von aktivierter oder deaktivierter Sprechblase für Berechtigungsanfragen.
Nach Bestätigung „Übernehmen“ durch den Partner ist der Kontakt unter den eigenen Favoriten mit der Präsenz sichtbar.
Zertifikate in Windows Betriebssystemen
Zertifikate verwalten
So verwalten Sie Zertifikate für einen Computer:
1. Melden Sie sich als Administrator am System an.
2. Klicken Sie auf „Start“ und dann auf „Ausführen“, geben Sie mmc ein, und klicken Sie anschließend auf „OK“.
3. Klicken Sie im Menü „Datei“ auf „Snap-In hinzufügen/entfernen“, und klicken Sie dann auf „Hinzufügen“.
4. Doppelklicken Sie unter „Snap-In“ auf „Zertifikate“, klicken Sie dann auf „Computerkonto“ und anschließend auf „Weiter“.
5. Führen Sie eine der folgenden Aktionen aus:
- Um Zertifikate für den lokalen Computer zu verwalten, klicken Sie auf „Lokaler Computer“ und dann auf „Fertig stellen“.
- Um Zertifikate für einen Remotecomputer zu verwalten, klicken Sie auf „Anderen Computer“, geben den Computernamen ein oder wählen ihn durch Klicken auf „Durchsuchen“ aus und klicken dann auf „Fertig stellen“.
6. Klicken Sie auf „Schließen“.
7. Der Eintrag „Zertifikate (Computername)“ wird in der Liste der ausgewählten Snap-Ins für die neue Konsole angezeigt.
8. Wenn Sie zur Konsole keine weiteren Snap-Ins hinzufügen möchten, klicken Sie auf „OK“.
9. Zum Speichern dieser Konsole klicken Sie im Menü „Datei“ auf „Speichern“.
Importieren eines Zertifikates
Zertifikate sollten aus einer Datei (Microsoft Common Console-Document) importiert und nicht z. B. aus dem Benutzerbereich einfach verschoben werden. Dies ist besonders wichtig für Rechner, die keiner Domäne angehören.
Diagnose
Nach der Einrichtung der Federation über Open Federation oder statischen Routen können Sie in der UCServer Verwaltung im Punkt Federation - Diagnose eine Diagnose ausführen.
Über diese werden Fehler in der Einrichtung (Zertifikate, DNS Einträge usw.) sichtbar gemacht.
Weiterführende Artikel
Gegenüberstellung ProCall DataCenter/Enterprise und SIP-Federation
DNS Konfiguration für Open Federation überprüfen