直接路由的新增功能

本文介绍直接路由中的新增功能。 请经常回来查看更新。

新的 Survivable Branch Appliance 版本 (v2024.8.15.1) 可用

从 2024 年 9 月 23 日起，适用于直接路由版本的新 Survivable Branch 设备 (SBA) 已推出。 最新版本支持以下功能：

• 通过本地 SBA/SBC 进行 PSTN 呼叫，媒体流经 SBC。
• 通过本地 SBA/SBC 接收 PSTN 呼叫，媒体流经 SBC。
• 保留和恢复 PSTN 呼叫。
• 盲目传输。
• 呼叫转接到单个电话号码或 Teams 用户。
• 将未接听的呼叫转接到单个电话号码或 Teams 用户。
• 将传入 PSTN 呼叫重定向到呼叫队列或自动助理号码到本地代理。
• 将传入 PSTN 呼叫重定向到呼叫队列或自动助理号码到备用呼叫队列或自动助理号码。
• VoIP 回退。 如果无法发起 VoIP 呼叫，并且接收方具有 PSTN 号码，则会尝试 PSTN 呼叫。
• 本地用户之间的 VoIP 呼叫。 如果两个用户都在同一 SBA 后面注册，则可以发起 VoIP 呼叫而不是 PSTN 呼叫，并且 SBA 将支持该呼叫。 若要获取最新版本，请联系 SBC 供应商。 有关支持的 SBC 供应商列表，请参阅 会话边界控制器配置。 若要详细了解 Survivable Branch Appliance (SBA) ，请参阅 Survivable Branch Appliance (SBA) for Direct Routing。

SBC 证书 EKU 扩展测试

2024 年 3 月 5 日， (从 UTC) 上午 9 点开始，Microsoft 将对其基础结构进行 24 小时测试。 在此期间，会话边界控制器 (SBC) 证书需要包括客户端和服务器身份验证，以便其扩展密钥用法 (EKU) 扩展。 我们请你确保证书的 EKU 扩展包括服务器身份验证和客户端身份验证，以避免任何服务降级。

如果 SBC 证书 EKU 扩展不包括服务器和客户端身份验证，则 SBC 将无法与Microsoft基础结构连接。

请注意，请求 EKU 服务器和客户端身份验证的最终开关将于 2024 年 3 月 19 日执行。

有关详细信息，请参阅 SBC 的公共受信任证书。

DOD 和 GCCH 云中 MSPKI 证书颁发机构的 SIP 证书更改

Microsoft 365 正在更新为消息、会议、电话、语音和视频提供支持的服务，以使用来自另一组根证书颁发机构 (CA) 的 TLS 证书。 受影响的终结点包括用于 Office 365 政府版 中的 PSTN 流量的 Microsoft Teams 直接路由 SIP 终结点 - GCC High (GCCH) 和 DoD 部署。 从 2024 年 5 月开始向新 CA 颁发的 SIP 终结点颁发的证书的转换。 这意味着需要在 2024 年 4 月底之前采取措施。

新的根 CA“DigiCert 全局根 G2”受到 Windows、macOS、Android 和 iOS 等操作系统以及 Microsoft Edge、Chrome、Safari 和 Firefox 等浏览器的广泛信任。 但是，SBC 很可能具有手动配置的证书根存储。 如果是这样，则需要更新 SBC CA 存储以包含新的 CA 以避免服务影响。 在其可接受的 CA 列表中没有新根 CA 的 SBC 会收到证书验证错误，这可能会影响服务的可用性或功能。 旧 CA 和新 CA 都必须受 SBC 信任 - 请勿删除旧 CA。 请参阅 SBC 供应商文档，了解如何更新 SBC 上接受的证书列表。 SBC 需要信任新旧根证书。 目前，Microsoft SIP 接口使用的 TLS 证书链接到以下根 CA：

CA 的公用名称：DigiCert 全局根 CA 指纹 (SHA1) ：a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 旧 CA 证书可以直接从 DigiCert 下载： http://cacerts.digicert.com/DigiCertGlobalRootCA.crt

Microsoft SIP 接口使用的新 TLS 证书现在将链接到以下根 CA：CA 的公用名称：DigiCert 全局根 G2 指纹 (SHA1) ：df3c24f9bfd666761b268073fe06d1cc8d4f82a4 可以直接从 DigiCert 下载新的 CA 证书： https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

有关详细信息，请参阅技术指南 https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide ：若要在更改之前测试和确认 SBC 证书配置，Microsoft准备了一个测试终结点，可用于验证 SBC 设备是否信任从新的根 CA (DigiCert 全局根 G2) 颁发的证书。 如果 SBC 可以建立到此终结点的 TLS 连接，则与 Teams 服务的连接不应受到更改的影响。 这些终结点应仅用于 SIP OPTIONS ping 消息，而不适用于语音流量。 它们不是生产终结点，不受冗余配置的支持。 这意味着他们将经历持续数小时的停机时间，预计可用性约为 95%。

测试 GCCH 的终结点 FQDN：x.sip.pstnhub.infra.gov.teams.microsoft.us 端口：5061

测试 DoD 的终结点 FQDN： x.sip.pstnhub.infra.dod.teams.microsoft.us 端口： 5061

SIP 证书最终切换到新的 MSPKI 证书颁发机构

在 9 月 5 日和 19 日进行了两次测试后，Microsoft将于 10 月 3 日上午 10 点（UTC 时间上午 10 点开始）执行到新的证书颁发机构 (CA) 的最后切换。 所有Microsoft SIP 终结点都逐渐切换为使用证书，其中证书链汇总到“DigiCert 全局根 G2”证书颁发机构 (CA) 。

如果会话边界控制器 (SBC) 未正确配置新的证书颁发机构 (CA) ，则直接路由传入和传出呼叫将在切换后失败。 请直接与 SBC 供应商合作，获取有关 SBC 配置的进一步指导。

更改要求和测试通过消息中心帖子以及Microsoft 管理员门户中的服务运行状况事件 (MC540239、TM614271、MC663640、TM674073 MC674729) 传达给直接路由客户。

MSPKI 证书颁发机构的 SIP 证书更改其他测试

从 9 月 19 日 (UTC) 下午 4 点开始，Microsoft将执行 24 小时测试，其中所有Microsoft SIP 终结点都将切换为使用证书链将汇总到“DigiCert 全局根 G2”证书颁发机构 (CA) 。 必须在 SBC 配置中添加新的证书颁发机构 (CA) ，并且必须保留旧的 Baltimore CA;不要替换旧的 CA。 如果 SBC 不信任此 CA，则无法在测试期间连接到 Teams SIP 终结点。 最终切换到新的证书颁发机构 (CA) 将于 10 月 3 日执行。

如果要在更改之前测试并确认 SBC 证书配置，Microsoft准备了一个测试终结点，可用于验证 SBC 设备是否信任从新的根 CA (DigiCert 全局根 G2) 颁发的证书。 此终结点应仅用于 SIP OPTIONS ping 消息，而不适用于语音流量。 如果 SBC 可以建立到此终结点的 TLS 连接，则与 Teams 服务的连接不应受到更改的影响。

测试终结点 FQDN：sip.mspki.pstnhub.microsoft.com

端口：5061

SIP 证书到 MSPKI 证书颁发机构更改测试

(9 月 5 日上午 9 点 UTC) ，Microsoft将执行 24 小时测试，其中所有Microsoft SIP 终结点将切换为使用证书链将汇总到“DigiCert 全局根 G2”证书颁发机构 (CA) 的证书。 如果 SBC 不信任此 CA，则可能无法连接到 Teams SIP 终结点。

如果要在更改之前测试并确认 SBC 证书配置，Microsoft准备了一个测试终结点，可用于验证 SBC 设备是否信任从新的根 CA (DigiCert 全局根 G2) 颁发的证书。 此终结点应仅用于 SIP OPTIONS ping 消息，而不适用于语音流量。 如果 SBC 可以建立到此终结点的 TLS 连接，则与 Teams 服务的连接不应受到更改的影响。

测试终结点 FQDN：sip.mspki.pstnhub.microsoft.com

端口：5061

将 SIP 证书更改为 MSPKI 证书颁发机构

Microsoft 365 正在更新为消息、会议、电话、语音和视频提供支持的服务，以使用来自另一组根证书颁发机构 (CA) 的 TLS 证书。 由于当前根 CA 将于 2025 年 5 月过期，因此正在进行此更改。 受影响的终结点包括用于使用 TLS 连接的 PSTN 流量的所有Microsoft SIP 终结点。 向新 CA 颁发的证书的转换从 8 月下旬开始。

新的根 CA“DigiCert 全局根 G2”受到 Windows、macOS、Android 和 iOS 等操作系统以及 Microsoft Edge、Chrome、Safari 和 Firefox 等浏览器的广泛信任。 但是，SBC 的证书根存储可能是手动配置的，需要更新。 在其可接受的 CA 列表中没有新根 CA 的 SBC 会收到证书验证错误，这可能会影响服务的可用性或功能。 请参阅 SBC 供应商文档，了解如何更新 SBC 上接受的证书列表。

目前，Microsoft SIP 接口使用的 TLS 证书链接到以下根 CA：

CA 的公用名称：Baltimore CyberTrust 根指纹 (SHA1) ：d4de20d05e66fc53fe1a50882c78db2852cae474

Microsoft SIP 接口使用的新 TLS 证书现在将链接到以下根 CA：

CA 的公用名称：DigiCert 全局根 G2 指纹 (SHA1) ：df3c24f9bfd666761b268073fe06d1cc8d4f82a4

可以直接从 DigiCert：DigiCert 全局根 G2 下载新的 CA 证书。

有关详细信息，请参阅 Office TLS 证书更改

新的直接路由 SIP 终结点

Microsoft将向 Teams 直接路由 SIP 终结点引入新的信令 IP。 为确保此更改不会影响服务可用性，请确保会话边界控制器和防火墙配置为使用建议的子网 52.112.0.0/14 和 52.122.0.0/15 进行分类和 ACL 规则。 有关详细信息，请参阅 Microsoft 365、Office 365 和 Office 365 GCC 环境。

基于 SIP 选项的中继降级逻辑

针对中继运行状况引入了基于 SIP 选项的新功能。 在网关配置中启用 (看到 Set-CsOnlinePSTNGateway cmdlet 和 SendSipOptions 参数) 时，出站呼叫的路由逻辑会降级不定期发送 SIP 选项的中继， (预期时间段是 SBC 每分钟发送一个 SIP 选项，) Microsoft后端。 这些降级的中继将放在可用于出站呼叫的中继列表的末尾，并最后尝试，这可能会缩短呼叫设置时间。

为该功能启用的任何中继，如果未在五分钟内将至少一个 SIP 选项发送到任何Microsoft区域 (NOAM、EMEA、APAC、OCEA) SIP 代理，则被视为降级。 如果中继仅将 SIP 选项发送到Microsoft区域 SIP 代理的子集，则首先尝试这些路由，其余路由将降级。

SIP 支持

2022 年 6 月 1 日，Microsoft将从直接路由配置中删除对 sip-all.pstnhub.microsoft.com 和 sip-all.pstnhub.gov.teams.microsoft.us FQDN 的支持。

如果在 6 月 1 日之前未执行任何操作，用户将无法通过直接路由拨打或接听呼叫。

防止服务影响：

• 对于任何分类或 ACL 规则，请使用建议的子网： (52.112.0.0/14 和 52.120.0.0/14) 。
• 为直接路由配置会话边界控件时，停止使用 sip-all FQDN。

有关详细信息，请参阅 计划直接路由。

TLS 证书

Microsoft 365 正在更新 Teams 和其他服务，以使用一组不同的根证书颁发机构 (CA) 。

有关详细信息和受影响服务的完整列表，请参阅 TLS 证书对Microsoft 365 服务（包括Microsoft Teams）的更改。

证书颁发机构

从 2022 年 2 月 1 日开始，直接路由 SIP 接口将仅信任证书颁发机构 (CA) 签名的证书，这些证书是Microsoft受信任的根证书计划的一部分。 执行以下步骤以避免对服务造成影响：

• 确保 SBC 证书由属于Microsoft受信任的根证书计划的 CA 签名。
• 验证证书的扩展密钥用法 (EKU) 扩展是否包括“服务器身份验证”。

有关Microsoft受信任的根证书计划的详细信息，请参阅 计划要求 - Microsoft受信任的根程序。

有关受信任的 CA 列表，请参阅 Microsoft包含的 CA 证书列表。

替换标头

从 2022 年 4 月开始，直接路由会拒绝定义了 Replaces 标头的 SIP 请求。 Microsoft将 Replaces 标头发送到会话边界控制器 (SBC) 的流没有更改。

检查 SBC 配置，并确保未在 SIP 请求中使用替换标头。

TLS1.0 和 1.1

为了为客户提供一流的加密，Microsoft计划弃用传输层安全性 (TLS) 版本 1.0 和 1.1。 2022 年 4 月 3 日，Microsoft将强制使用直接路由 SIP 接口的 TLS1.2。

若要避免任何服务影响，请确保 SBC 配置为支持 TLS1.2，并且可以使用以下密码套件之一进行连接：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i.e. ECDHE-RSA-AES256-GCM-SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 i.e. ECDHE-RSA-AES128-GCM-SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 i.e. ECDHE-RSA-AES256-SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256即 ECDHE-RSA-AES128-SHA256

相关文章

• 直接路由 - SIP 协议