Erster Test fehlgeschlagen: Teams-Phone-Kunden verpassen Zertifikatstausch
Der Zertifikatswechsel für Teams Phone steht schon lange fest. Doch Microsofts Kunden erhalten die Informationen nicht – mit tausenden Anruffehlern beim Test.
(Bild: fizkes/Shutterstock.com)
- Benjamin Pfister
Bereits im Jahr 2022 kündigte Microsoft einen Zertifikatsaustausch seiner Zertifikate für den Direct Routing Dienst von Teams Phone an. Vor der harten Migration ab dem 3. Oktober 2023 hat Microsoft nun am 5. September einen eintägigen Test durchgeführt. Anruffehler bei mehreren tausend Kunden führten jedoch zum vorzeitigen Abbruch. Ein weiterer Testlauf soll am 19. September 2023 stattfinden.
Direct Routing verbindet Teams über einen kundenseitigen Session Border Controller (SBC) mit dem öffentlichen Telefonnetz oder auch On-Premises-Systemen. Dazu wird neben einem SIP-Trunk zum Provider und/oder dem On-Premises-System ein TLS-verschlüsselter SIP-Trunk zwischen dem SBC und Teams hergestellt. Eine unverschlüsselte Variante zu Microsoft ist nicht vorgesehen, was sicherheitstechnisch und aus Datenschutzsicht zu begrüßen ist. Somit muss dieser SBC der Stammzertifizierungsstelle (CA) des Serverauthentifizierungszertifikats von Microsoft vertrauen. Als Gegenstellen verwenden die SBCs die FQDNs sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com und sip3.pstnhub.microsoft.com jeweils auf Port 5061.
Jetzt zusätzliches CA-Zertifikat importieren
Das alte CA-Zertifikat der Baltimore Cybertrust Root CA läuft zum 13.05.2025 ab, weshalb sich Microsoft dazu entschieden hat, das neue Serverauthentifizierungszertifikat von einer anderen CA signieren zu lassen. Die neue CA ist die DigiCert Global Root G2 mit dem SHA-1-Fingerabdruck df3c24f9bfd666761b268073fe06d1cc8d4f82a4. Kunden müssen dies also vor der Umstellung als vertrauenswürdige CA in ihren SBCs hinterlegen, damit sie eingehende und ausgehende Anruf weiterhin tätigen können. Dies muss jedoch zunächst additiv geschehen, da das alte Zertifikat bis zur Umstellung noch aktiv bleibt.
Lesen Sie auch
Microsoft Teams als Telefonanlage im Unternehmen nutzen
Viele Kunden scheinen jedoch die bisherigen Meldungen übersehen oder ignoriert zu haben. Dabei stellt Microsoft für Tests sogar einen Testserver unter sip.mspki.pstnhub.microsoft.com bereit. Er beantwortet auf dem Port 5061 SIP-OPTIONS-Pakete, um die SIP-TLS-Verbindung prüfen zu können. Somit können Nutzer die korrekte Hinterlegung des Zertifikats zunächst ohne Risiko testen.
Neben der Meldung noch aus dem Jahr 2022 in der Tech Community wurde der Change im Message Center, als auch in den Service Health Incidents im Microsoft Admin Portal und auf LinkedIn angekündigt. Kunden, die bereits auf eine bidirektionale TLS auf dem SIP-Trunk zu Teams setzen, sollten das korrekte Zertifikat schon eingerichtet haben, da dieses dort bereits zur Anwendung kommt.
(fo)