MINISIPSERVER云

基于TLS的SIP (SIP over TLS)

1. 描述

一般情况下,大部分SIP设备都基于UDP协议进行部署,而在部分应用场合,尤其是企业应用场景,客户们经常会要求采用TLS作为主要协议,部署“SIP over TLS”,对SIP通信进行加密。云端miniSIPServer允许客户采用“SIP over TLS”连接SIP电话和虚拟服务器。

SIP over TLS网络拓扑

目前云miniSIPServer只允许本地分机(SIP终端、SIP电话)采用“SIP over TLS”,“SIP中继”和“外线”不能采用“SIP over TLS”,还只能采用UDP协议。

miniSIPServer默认只采用 TLSv1.2 加密方法,禁止SSLv2、SSLv3、TLSv1 以及 TLSv1.1 等方法。请确保您的SIP终端、电话能支持 TLSv1.2。未来我们会支持TLSv1.3以及其他更安全的加密方法。

2. 配置

在虚拟服务器侧无需做任何配置。云端miniSIPServer固定采用TCP端口6060接受基于TLS的SIP消息。请参考下图了解这项配置:

虚拟服务器系统配置

在SIP协议规范中,“SIP over TLS”采用TCP 5061端口作为默认端口,而云miniSIPServer的TLS端口为6060,也就是非标准端口,请务必注意这个重要的差别。在配置SIP电话、SIP终端时,需要明确指定出6060端口。

如果您的SIP电话可以独立配置服务器的端口,您可以将其配置为6060即可。如果您的SIP电话没有端口的独立配置项,那通常需要在服务器地址中一起指定。例如,如果您的服务器是“1425.s1.minisipserver”,那终端配置的服务器地址应该是“1425.s1.minisipserver.com:6060”。

另外,需要明确指定传输协议为“TLS”。

请参考以下示例,简单演示microSIP的配置:

SIP 电话配置项
3. 常见问题
Q1. 为什么不采用标准的 TLS 端口5061?

既然云系统是部署在公共网络中,直接采用标准默认端口就非常危险。网络中有大量未知的扫描、攻击,我们可能不得不浪费大量的资源进行防御,因此采用一个非标准端口可能是一个简单、更好的选择。

Q2. 我能配置另外一个 TLS 端口吗?

不,您不能配置另一个端口。目前云miniSIPServer系统只使用TCP 6060端口接受SIP over TLS的消息。