Le Cloud de Christophe BOUCETTA

Voici le blog sur les communications unifiées et la collaboration Microsoft par un MVP nominé depuis 11 ans

Le message Microsoft MC540239 "SIP certificate to MSPKI Certificate Authority change" concerne les organisations et les intégrateurs gérant des environnements téléphoniques Microsoft Teams utilisant le scénario "Routage direct".

Microsoft 365 met à jour les services qui alimentent la messagerie, les réunions, la téléphonie, la voix et la vidéo afin d'utiliser des certificats TLS provenant d'un ensemble différent d'Autorités de certification racine (CA). Ce changement est effectué car le CA racine actuel expirera en mai 2025. Les points d'extrémité concernés comprennent tous les points d'extrémité SIP Microsoft utilisés pour le trafic PSTN qui utilisent une connectivité TLS. La transition vers des certificats émis par le nouveau CA commencera en juillet 2023.

Aujourd'hui, les certificats TLS utilisés par les interfaces Microsoft SIP sont enchaînés à l'Autorité de Certification racine suivante :

Common Name of the CA: Baltimore CyberTrust Root
Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474

Dans le cadre des intégrations téléphoniques avec le scénario "Routage Direct", un des prérequis est l'important de cette autorité de certification Baltimore CyberTrust Root dans les passerelles SBC.

Les nouveaux certificats TLS utilisés par les interfaces Microsoft SIP seront désormais enchaînés à l'autorité de certification racine suivante:

Common Name of the CA: DigiCert Global Root G2
Thumbprint (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4

Dans la situation ou vous équipements ne sont pas déjà configurés avec l'autorité de certification DigiCert Global Root G2 (configuration MTLS par exemple), pendant cette période de migration, il est possible de charger à la fois l'ancien certificat racine (Baltimore) et le nouveau certificat racine (DigiCert) dans le même contexte TLS.

https://learn.microsoft.com/en-us/microsoftteams/direct-routing-plan#public-trusted-certificate-for-the-sbc

Cependant, il est probable que votre SBC dispose d'un magasin de certificats racine qui est configuré manuellement et qu'il doit être mis à jour. Les passerelles SBC qui n'ont pas le nouveau CA racine dans leur liste des AC acceptables recevront des erreurs de validation de certificat, ce qui peut avoir un impact sur la disponibilité ou la fonction du service.

Le nouveau certificat de l'autorité de certification (CA) peut être téléchargé directement depuis DigiCert: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

Veuillez en tenir compte et mettre à jour vos passerelles SBC!  Le nouveau CA racine sera désormais DigiCert Global Root G2.

Informations ici: Message center - Microsoft 365 centre d’administration

Facebook Like