Novidades para Roteamento Direto
Este artigo descreve as novidades no Roteamento Direto. Verifique com frequência se há atualizações.
Teste de extensões EKU de certificados SBC
Em 5 de março de 2024 (a partir das 9h utc), a Microsoft realizará um teste de 24 horas de sua infraestrutura. Durante esse tempo, os certificados SBCs (Controladores de Borda de Sessão) são necessários para incluir a Autenticação do Cliente e do Servidor para suas extensões de EKU (Uso de Chave Estendida). Solicitamos gentilmente que você verifique se a extensão EKU do certificado inclui Autenticação do Servidor e Autenticação do Cliente para evitar qualquer degradação de serviço.
Se a extensão EKU do certificado SBCs não incluir a Autenticação do Servidor e do Cliente, seus SBCs não poderão se conectar à infraestrutura da Microsoft.
Observe que a opção final para solicitar a autenticação do Servidor e do Cliente para EKU será executada em 19 de março de 2024.
Para obter mais informações, consulte Certificado de confiança pública para o SBC.
Alteração do certificado SIP para a Autoridade de Certificado MSPKI nas nuvens DoD e GCCH
O Microsoft 365 está atualizando serviços que alimentam mensagens, reuniões, telefonia, voz e vídeo para usar certificados TLS de um conjunto diferente de CAs (Autoridades de Certificado Raiz). Os pontos de extremidade afetados incluem pontos de extremidade SIP de Roteamento Direto do Microsoft Teams usados para tráfego PSTN em implantações de Office 365 Government – GCC High (GCCH) e DoD. A transição para certificados emitidos pela nova AC para pontos de extremidade SIP começa em maio de 2024. Isso significa que a ação precisa ser tomada antes do final de abril de 2024.
A nova AC raiz "DigiCert Global Root G2" é amplamente confiável por sistemas operacionais, incluindo Windows, macOS, Android e iOS e por navegadores como Microsoft Edge, Chrome, Safari e Firefox. No entanto, é provável que o SBC tenha um repositório raiz de certificado configurado manualmente. Nesse caso, a SUA LOJA de CA SBC PRECISA SER ATUALIZADA PARA INCLUIR A NOVA AC PARA EVITAR O IMPACTO DO SERVIÇO. Os SBCs que não têm a nova AC Raiz em sua lista de CAs aceitáveis recebem erros de validação de certificado, o que pode afetar a disponibilidade ou a função do serviço. O antigo e a nova AC DEVEM ser confiáveis pelo SBC – NÃO REMOVA A AC ANTIGA. Consulte a documentação do fornecedor do SBC sobre como atualizar a lista de certificados aceitos em seu SBC. Os certificados raiz antigos e novos precisam ser confiáveis pelo SBC. Hoje, os certificados TLS usados pelas interfaces do Microsoft SIP são encadeados até a seguinte AC Raiz:
Nome comum da AC: DigiCert Global Root CA Thumbprint (SHA1): a8985d3a65e5e5e5c4b2d7d66d40c6dd2fb19c5436 O certificado de AC antigo pode ser baixado diretamente do DigiCert: http://cacerts.digicert.com/DigiCertGlobalRootCA.crt
Os novos certificados TLS usados pelas interfaces do Microsoft SIP agora serão encadeados à seguinte AC Raiz: Nome comum da AC: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4 O novo certificado de AC pode ser baixado diretamente do DigiCert: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
Para obter mais detalhes, consulte as diretrizes técnicas em https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide Para testar e confirmar sua configuração de certificado SBCs antes da alteração, a Microsoft preparou um ponto de extremidade de teste que pode ser usado para verificar se os dispositivos SBC confiam em certificados emitidos da nova AC raiz (DigiCert Global Root G2). Se o SBC puder estabelecer uma conexão TLS com esse ponto de extremidade, sua conectividade com os serviços do Teams não deverá ser afetada pela alteração. Esses pontos de extremidade devem ser usados apenas para mensagens de ping SIP OPTIONS e não para tráfego de voz. Eles não são pontos de extremidade de produção e não são apoiados pela configuração redundante. Isso significa que eles terão um tempo de inatividade que dura várias horas— espere cerca de 95% de disponibilidade.
FQDN do ponto de extremidade de teste para GCCH: x.sip.pstnhub.infra.gov.teams.microsoft.us Porta: 5061
FQDN do ponto de extremidade de teste para DoD: porta x.sip.pstnhub.infra.dod.teams.microsoft.us: 5061
Opção final do certificado SIP para a nova Autoridade de Certificado MSPKI
Após dois testes nos dias 5 e 19 de setembro, a Microsoft executará a opção final para a nova Autoridade de Certificado (AC) em 3 de outubro, a partir das 10:00 UTC. Todos os pontos de extremidade do Microsoft SIP são alternados gradualmente para usar certificados em que a cadeia de certificados é distribuída para a AUTORIDADE de Certificado (AC) "DigiCert Global Root G2".
Se os SBCs (Controladores de Borda de Sessão) não estiverem configurados corretamente com a nova Autoridade de Certificado (AC), as chamadas de entrada e saída do Roteamento Direto falharão após a opção. Trabalhe diretamente com seu fornecedor SBC para obter mais diretrizes sobre a configuração do SBC.
O requisito e o teste de alteração foram comunicados aos clientes de Roteamento Direto por meio de postagens do Centro de Mensagens, bem como incidentes de integridade do serviço no Portal do Microsoft Administração (MC540239, TM614271, MC663640, TM674073, MC674729).
Certificado SIP para Autoridade de Certificado MSPKI altera teste adicional
Em 19 de setembro (a partir das 16h UTC), a Microsoft realizará um teste de 24 horas em que todos os pontos de extremidade do Microsoft SIP serão alternados para usar certificados em que a cadeia de certificados será revertida para a Autoridade de Certificado (AC) "DigiCert Global Root G2". A NOVA Autoridade de Certificado (AC) deve ser adicionada na configuração do SBC e a antiga AC de Baltimore deve ser mantida; não substitua a ac antiga. Se o SBC não confiar nessa AC, você não poderá se conectar aos pontos de extremidade SIP do Teams durante o teste. A mudança final para a nova AUTORIDADE de Certificado (AC) será executada em 3 de outubro.
Se você quiser testar e confirmar sua configuração de certificado SBCs antes da alteração, a Microsoft preparou um ponto de extremidade de teste que você pode usar para verificar se os dispositivos SBC confiam em certificados emitidos da nova AC raiz (DigiCert Global Root G2). Esse ponto de extremidade deve ser usado apenas para mensagens de ping SIP OPTIONS e não para tráfego de voz. Se o SBC puder estabelecer uma conexão TLS com esse ponto de extremidade, sua conectividade com os serviços do Teams não deverá ser afetada pela alteração.
FQDN do ponto de extremidade de teste: sip.mspki.pstnhub.microsoft.com
Porta: 5061
Teste de alteração do certificado SIP para MSPKI Certificate Authority
Em 5 de setembro (a partir das 9h utc), a Microsoft realizará um teste de 24 horas em que todos os pontos de extremidade do Microsoft SIP serão alternados para usar certificados em que a cadeia de certificados será distribuída para a AUTORIDADE de Certificado (AC) "DigiCert Global Root G2". Se o SBC não confiar nessa AC, talvez você não consiga se conectar aos pontos de extremidade SIP do Teams.
Se você quiser testar e confirmar sua configuração de certificado SBCs antes da alteração, a Microsoft preparou um ponto de extremidade de teste que pode ser usado para verificar se os dispositivos SBC confiam em certificados emitidos da nova AC raiz (DigiCert Global Root G2). Esse ponto de extremidade deve ser usado apenas para mensagens de ping SIP OPTIONS e não para tráfego de voz. Se o SBC puder estabelecer uma conexão TLS com esse ponto de extremidade, sua conectividade com os serviços do Teams não deverá ser afetada pela alteração.
FQDN do ponto de extremidade de teste: sip.mspki.pstnhub.microsoft.com
Porta: 5061
Alteração do certificado SIP para MSPKI Certificate Authority
O Microsoft 365 está atualizando serviços que alimentam mensagens, reuniões, telefonia, voz e vídeo para usar certificados TLS de um conjunto diferente de CAs (Autoridades de Certificado Raiz). Essa alteração está sendo feita porque a AC Raiz atual expira em maio de 2025. Os pontos de extremidade afetados incluem todos os pontos de extremidade do Microsoft SIP usados para tráfego PSTN que utilizam a conectividade TLS. A transição para certificados emitidos pela nova AC começa no final de agosto.
A nova AC raiz "DigiCert Global Root G2" é amplamente confiável por sistemas operacionais, incluindo Windows, macOS, Android e iOS e por navegadores como Microsoft Edge, Chrome, Safari e Firefox. No entanto, é provável que o SBC tenha um repositório raiz de certificado configurado manualmente e que precise ser atualizado. Os SBCs que não têm a nova AC Raiz em sua lista de CAs aceitáveis recebem erros de validação de certificado, o que pode afetar a disponibilidade ou a função do serviço. Consulte a documentação do fornecedor do SBC sobre como atualizar a lista de certificados aceitos em seu SBC.
Hoje, os certificados TLS usados pelas interfaces do Microsoft SIP são encadeados até a seguinte AC Raiz:
Nome comum da AC: Baltimore CyberTrust Root Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474
Os novos certificados TLS usados pelas interfaces do Microsoft SIP agora serão encadeados à seguinte AC Raiz:
Nome comum da AC: DigiCert Global Root G2 Thumbprint (SHA1): df3c24f9bfd6666761b268073fe06d1cc8d4f82a4
O novo certificado de AC pode ser baixado diretamente do DigiCert: DigiCert Global Root G2.
Para obter mais informações, confira Alterações de certificado do Office TLS
Novos pontos de extremidade SIP de roteamento direto
A Microsoft apresentará novos IPs de sinalização aos pontos de extremidade SIP de Roteamento Direto do Teams. Para garantir que essa alteração não afete sua disponibilidade de serviço, verifique se o Controlador de Borda de Sessão e o Firewall estão configurados para usar as sub-redes recomendadas 52.112.0.0/14 e 52.122.0.0/15 para regras de classificação e ACL. Para obter mais informações, confira Ambientes de GCC do Microsoft 365, Office 365 e Office 365.
Lógica de rebaixamento de tronco com base em Opções SIP
Um novo recurso baseado em Opções SIP é introduzido para a integridade do tronco. Quando habilitada na configuração do gateway (consulte Set-CsOnlinePSTNGateway parâmetro cmdlet e SendSipOptions), a lógica de roteamento para chamadas de saída rebaixa troncos que não enviam opções SIP periodicamente (o período esperado é uma opção SIP enviada pelo SBC por minuto) para o back-end da Microsoft. Esses troncos rebaixados são colocados no final da lista de troncos disponíveis para a chamada de saída e são testados por último, o que potencialmente diminui o tempo de configuração da chamada.
Qualquer tronco habilitado para esse recurso que não envia pelo menos uma opção SIP dentro de cinco minutos para qualquer um dos Proxies SIP regionais da Microsoft (NOAM, EMEA, APAC, OCEA) é considerado rebaixado. Se um tronco enviar opções SIP para apenas um subconjunto de Proxies SIP regionais da Microsoft, essas rotas serão testadas primeiro e as restantes serão rebaixadas.
Nota
Qualquer SBC (configurado sob o locatário do cliente ou da operadora com SendSipOptions definido como true) que não enviar OPções SIP será rebaixado. Os clientes que não desejam esse comportamento devem definir SendSipOptions como false na configuração do SBC. O mesmo se aplica aos troncos da operadora em que a configuração do SBC está na operadora ou no locatário do cliente. Nesses casos, quando SendSipOptions é definido como true, o SBC envia OPções SIP.
Suporte ao SIP
Em 1º de junho de 2022, a Microsoft removerá o suporte para sip-all.pstnhub.microsoft.com e sip-all.pstnhub.gov.teams.microsoft.us FQDNs da configuração de Roteamento Direto.
Se nenhuma ação for tomada antes de 1º de junho, os usuários não poderão fazer ou receber chamadas por meio do Roteamento Direto.
Para evitar o impacto do serviço:
- Use as sub-redes recomendadas: (52.112.0.0/14 e 52.120.0.0/14) para qualquer classificação ou regras de ACL.
- Descontinue o uso do FQDN sip-all ao configurar controles de borda de sessão para roteamento direto.
Para obter mais informações, consulte Planejar Roteamento Direto.
Nota
Os intervalos de IP apresentados neste documento são específicos para Roteamento Direto e podem ser diferentes dos aconselhados para o cliente do Teams.
Certificados TLS
O Microsoft 365 está atualizando o Teams e outros serviços para usar um conjunto diferente de CAs (Autoridades de Certificado Raiz).
Para obter mais informações e uma lista completa de serviços afetados, confira Alterações de certificado TLS nos serviços do Microsoft 365, incluindo o Microsoft Teams.
Autoridades de certificado
A partir de 1º de fevereiro de 2022, a interface SIP de Roteamento Direto confiará apenas em certificados assinados por CAs (Autoridades de Certificado) que fazem parte do Programa de Certificado Raiz Confiável da Microsoft. Siga as seguintes etapas para evitar o impacto do serviço:
- Verifique se o certificado SBC é assinado por uma AC que faz parte do Programa de Certificado Raiz Confiável da Microsoft.
- Verifique se a extensão EKU (Uso de Chave Estendida) do certificado inclui "Autenticação do Servidor".
Para obter mais informações sobre o Programa de Certificado Raiz Confiável da Microsoft, consulte Requisitos do Programa – Programa Raiz Confiável da Microsoft.
Para obter uma lista de ac confiáveis, consulte Lista de certificados de AC incluídos pela Microsoft.
Substituir cabeçalhos
A partir de abril de 2022, o Roteamento Direto rejeita solicitações SIP que têm cabeçalhos Replaces definidos. Não há alterações nos fluxos em que a Microsoft envia o cabeçalho Substituções para o SBC (Controlador de Borda de Sessão).
Verifique as configurações do SBC e verifique se você não está usando cabeçalhos Substitui em solicitações SIP.
TLS1.0 e 1.1
Para fornecer a melhor criptografia da classe para nossos clientes, a Microsoft planeja preterir as versões TLS (Transport Layer Security) 1.0 e 1.1. Em 3 de abril de 2022, a Microsoft forçará o uso do TLS1.2 para a interface SIP de Roteamento Direto.
Para evitar qualquer impacto no serviço, verifique se os SBCs estão configurados para dar suporte ao TLS1.2 e podem se conectar usando um dos seguintes pacotes de criptografia:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ou seja, ECDHE-RSA-AES256-GCM-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ou seja, ECDHE-RSA-AES128-GCM-SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ou seja, ECDHE-RSA-AES256-SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ou seja, ECDHE-RSA-AES128-SHA256
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de