介绍
本指南提供有关如何执行以下操作的详细信息:
1、使用的3CX FQDN,在3CX PBX上启用安全SIP – TLS。
2、通过SSL For Free免费获得Let’s Encrypt的通配符证书 。您可以选择从SSL提供商获取商业版的证书,例如GoDaddy。
3、3CX电话系统设置安全SIP(TLS),使得SIP消息传递时被加密,因此更加安全。
4、使用Microsoft的内置导入器获得受信任的证书。
5、配置IP电话以通过SIP安全通信。我们将使用适用于3CX桌面客户端,亿联IP话机和snom IP话机。
为使用3CX FQDN的3CX配置安全SIP – TLS
要为使用3CX FQDN的3CX启用安全SIP – TLS,您可以使用预先配置的Lets Encrypt证书,该证书每3个月自动更新一次:
- 对于3CX apps,在分机的“话机配置”栏>“网络”部分中,您可以设置选项“SIP传送”为“TLS”和“RTP模式”为“只允许安全”。您无需在3CX apps上更新任何设置。
- 默认情况下,3CX支持的IP话机信任 Let’s Encrypt 证书。
💡提示:
- 3CX v16 SP3无需重新启动服务即可即时更新其SSL证书。
- 3CX移动应用程序默认使用隧道加密,因此不需要配置TLS和SRTP。
- 对于3CX支持的VoIP提供商,您可以设置“TLS”,SIP中继中的选项>“选项”栏>“高级”部分>“传输协议”,以保护通过此SIP中继的通信。
在自定义FQDN上配置安全SIP – 3CX的TLS
为您的自定义FQDN选择受信任的证书时,您需要:
- 分配给3CX电话系统的静态公共IP地址。
- 已注册的域名。
- 具有管理您域名DNS记录的能力。
- 要验证供应商的受信任权限列表,请避免在IP电话和客户端计算机中导入证书。
步骤1 – 获取自定义FQDN的SSL证书
为您的自定义FQDN获取免费的Let’s Encrypt的SSL证书和密钥
1、访问SSL For Free,输入您的3CX PBX的FQDN,然后单击“Creat Free SSL Certificate”。
2、单击“Manual Verificatgion(DNS)”,然后单击“Manually Verify Domain”。
3、记录下显示的TXT记录的名称,值和TTL。
4、转到您的DNS服务器管理界面,并添加具有给定名称,值和TTL的新TXT记录。
5、添加TXT记录后,等待DNS记录传播。然后,返回到手动验证页面,然后单击链接以验证您的域的TXT记录。
6、现在,单击“Download SSL certificate”以为您的3CX FQDN生成证书。
7、使用文本编辑器将证书信息复制并粘贴为文件并另存为:
- 证书,例如:mypbx.example.com.crt
- 私钥,例如:mypbx.example.com.key
- CA bundle ,例如:mypbx.example.com.ca
8、将所有与证书相关的文件存储在安全的位置。
💡提示: 确保您使用电子邮件订阅了SSL Free,以便在证书过期之前得到提醒,以便您可以及时更新它。
步骤2-在3CX PBX中设置证书
1、将申请的证书应用在您的3CX电话系统中:3CX管理控制台中找到“设置”>“安全”>“安全SIP”的标签。
2、使用文本编辑器打开.crt文件,复制所有内容并将其粘贴到“证书”领域。
3、使用文本编辑器打开.key文件,复制所有内容并粘贴到“私人秘钥”领域。
4、点击“完成”以确认设置并重新启动3CX服务。
5、重新启动后,3CX电话系统已配置好并准备接受传入的TLS连接。
使用TLS配置IP电话
⚠重要注意:如果已使用自定义FQDN安装了3CX,并从未知的根颁发机构中选择了自签名或不受信任的证书,则还需要在所有端点中导入该证书。
为Windows配置3CX App以使用TLS
1、打开存储证书文件的文件夹
2、右键单击.crt证书文件,然后选择“ 安装证书 ”。
3、在里面“证书导入向导”点击“下一个”,选择“自动选择证书存储”选项并单击“下一个”。
4、点击“OK”完成向导并单击“OK”在成功的证书导入对话框中。
5、打开已注册3CX帐户的Windows 3CX应用程序。
6、转到“设置”>“配置帐户”并双击要为其启用安全SIP的帐户。
7、点击“高级设置”并设置“SIP传输”至“TLS”。
8、点击“OK”保存设置。Windows的3CX应用将使用TLS重新连接。
配置Yealink电话使用TLS
1、打开Yealink IP话机的Web界面
2、转到“安全”>“受信任的证书”。点击“浏览”按钮并上传客户端证书root_cert_3CXPHONE.pem
3、转到“帐号”栏,然后在“标签,显示名称和用户名”字段中输入分机号(例如:163)。在“注册名称”字段中,输入身份验证ID(例如id:163)。在“密码”字段中,输入分机的身份验证密码(例如:密码:163),在“ SIP服务器”字段中,输入3CX电话系统计算机的IP地址,例如,192.168.1.20。现在将端口设置为5061。将传输设置为TLS。最后点击底部的“提交”以确认设置。
4、如果您正在使用固件x.71.xx,那么您还需要转到“安全”栏,选择“受信任的证书”从左侧的菜单中,然后在“ CA证书”字段中,选择“所有证书”从下拉列表中。点击底部的“提交”以确认设置。Yealink IP话机将重新启动并注册到3CX电话系统,并将使用TLS传输进行SIP通信。
配置Snom电话以使用TLS
1、打开snom IP话机的Web界面。
2、转到“设置>可信证书”。点击“浏览”按钮并上传客户端证书root_cert_3CXPHONE.pem
3、转到设置>身份1链接,然后在“帐户”字段中输入分机号(例如:107)。在“密码”字段中,输入分机的身份验证密码(例如:107),在“注册者”字段中,输入3CX电话系统计算机的IP地址,例如192.168.1.20
4、在“出站代理”字段中,输入xxxx:5061; transport = tls,其中xxxx是3CX电话系统计算机的IP地址(例如:192.168.1.20:5061; transport = tls)
5、在“身份验证用户名”字段中,输入扩展的身份验证ID(例如:107)
6、单击页面底部的“保存”按钮。单击页面底部的重新注册按钮。snom电话现已注册到3CX电话系统,并将使用TLS传输进行SIP通信。
使用安全RTP配置IP电话
配置Yealink IP话机以使用安全RTP
1、打开Yealink IP话机的Web界面。
2、转到“帐户>高级”:开启语音加密(SRTP)。
3、按页面底部的“提交”。Yealink IP话机现在将使用安全RTP。
配置snom电话以使用安全RTP
1、打开snom IP话机的Web界面。
2、转到“设置>身份1”链接并单击“ RTP”:将选项RTP加密设置为“启用”。
3、按“保存”。snom电话现在将使用安全RTP。
配置3CX应用程序以使用安全RTP
1、打开Windows的3CX应用程序,转到“设置”>“配置帐户”并双击要启用安全RTP的帐户。
2、点击“高级设置”并设置“RTP模式”至:
- “允许安全”-这允许安全RTP和非安全RTP。
- “仅安全”-仅允许安全的RTP连接。
3、点击“完成”直到返回Windows 3CX主应用程序屏幕。现在,该应用已配置为使用安全RTP。