Microsoft-Teams-Direct-Routing: Wichtige Zertifikat-Updates 2026
Microsoft kündigt für Direct Routing und Operator Connect im Bereich der Microsoft-Teams-Telefonie signifikante Änderungen bei TLS-Zertifikaten an, die ab März 2026 relevant werden. Für Unternehmen mit eigener Telefonie-Infrastruktur und Session Border Controllern (SBCs) bedeutet das: frühzeitig planen, Zertifikate prüfen und bei Bedarf anzupassen, um Unterbrechungen bei Anrufen oder Dienstausfällen zu vermeiden. Denn fehlerhafte oder veraltete Zertifikate können dazu führen, dass Verbindungen zwischen Microsoft Teams und Ihrer Infrastruktur nicht mehr aufgebaut werden können.
Was genau ändert sich bei Microsoft-Teams-Direct-Routing?
mTLS und EKU im Fokus
Zur Absicherung der Verbindung zwischen Microsoft-Teams-SIP-Endpunkten und Session Border Controllern (SBCs) nutzt Direct Routing mutual TLS (mTLS) . Dabei authentifizieren sich beide Seiten – Microsoft Teams und Ihr SBC – mithilfe digitaler Zertifikate. Damit ein Zertifikat für diesen Zweck eingesetzt werden kann, muss es eine passende Extended Key Usage (EKU) enthalten, unter anderem die Client Authentication EKU.
Gleichzeitig passen Browser-Hersteller wie Google und Mozilla ihre Root-Programmpolitiken an. Ab Juni 2026 gelten öffentliche CA-Zertifikate, die Server-und Client-Authentifizierungs-EKUs enthalten, nicht mehr als vertrauenswürdig.
Für die direkte Teams-Telefonie bedeutet das:
Sie müssen sicherstellen, dass sowohl die Zertifikatsketten Ihres SBCs als auch die vertrauenswürdigen Root-CAs korrekt aktualisiert sind. Andernfalls kann es passieren, dass TLS-Verbindungen zwischen Microsoft Teams und Ihrer Telefonie-Infrastruktur nicht mehr aufgebaut werden können.
Praxisrelevante Änderungen und Handlungsempfehlungen
Microsoft definiert eine Reihe von Root-Zertifizierungsstellen (CAs), die im Trust-Store des SBC vorhanden sein müssen:
Fehlt eine dieser Root-CAs, kann die Verbindung zwischen Teams und SBC nicht mehr aufgebaut werden.
Zeitplan und Fristen
- März 2026: Microsoft beginnt mit der Umstellung der Direct Routing Infrastruktur. Ab hier muss Zertifikaten der genannten Zertifizierungsstellen vertraut werden.
- Juni 2026: Browser akzeptieren nur noch Server-EKU-Zertifikate von öffentlich vertrauenswürdigen CAs.
- Jetzt-2025: Zertifikate prüfen, aktualisieren und testen der SBC-Zertifikate und Trust-Stores.
Wenn SBC-Zertifikate nicht oder nicht mehr korrekt validiert werden, kann das die Microsoft-Teams-Telefonie beeinträchtigen oder zu Unterbrechungen bei Anrufen führen. Darum lautet die klare Empfehlung: prüfen Sie so früh wie möglich.
Warum diese Änderung notwendig ist
Die Umstellung ist kein reines Microsoft-Teams-Thema, sondern Teil einer branchenweiten Anpassung:
Browser-Hersteller und CA-Programme verlangen künftig, dass TLS-Zertifikate ausschließlich die Server Authentication EKU enthalten. Ziel ist es, die Vertrauenswürdigkeit von Zertifikaten zu verbessern und möglichen Missbrauch zu minimieren.
Für Unternehmen, die bislang öffentliche Zertifikate mit Client Authentication EKU für mTLS eingesetzt haben, bedeutet das einen klaren Handlungsbedarf: Entweder Sie lösen sich von dieser bisherigen Praxis oder weichen künftig auf private CA-Lösungen aus.
Vorteil für Ihr Unternehmen
Schutz vor Serviceausfällen
Durch die frühzeitige Prüfung und Aktualisierung Ihrer SBC-Zertifikate vermeiden Sie Kommunikationsprobleme oder Ausfälle in der Microsoft-Teams-Telefonie.
Höheres Sicherheitsniveau
Die angepasste Zertifikatsnutzung entspricht aktuellen Sicherheitsstandards und Browser-Anforderungen und stärkt die Zukunftsfähigkeit Ihrer Infrastruktur.
Kompatibilität mit modernen Clients
Auch wenn bestimmte EKU-Konfigurationen künftig nicht mehr von Browsern akzeptiert werden, gewährleisten korrekte Root-CA-Sets, dass Microsoft Teams und andere Clients weiterhin sicher verbunden werden.
Empfohlene Schritte für IT-Teams
Benötigen Sie Unterstützung bei der Umsetzung?
Die bevorstehenden Zertifikatsänderungen im Microsoft Teams Direct Routing Umfeld sind technisch komplex und betreffen sicherheitskritische Komponenten Ihrer Telefonie-Infrastruktur. Fehlerhafte Zertifikate oder unvollständige Trust-Stores können schnell zu Ausfällen oder Einschränkungen im Telefonie-Betrieb führen.
Net at Work unterstützt Sie dabei ganzheitlich:
So stellen Sie sicher, dass Ihre Telefonie-Infrastruktur rechtzeitig und stabil auf die kommenden Anforderungen vorbereitet ist.
Fazit: Jetzt vorbereiten statt später reagieren
Die Zertifikat-Updates im Microsoft-Teams-Direct-Routing-Bereich sind technisch anspruchsvoll, aber entscheidend für eine stabile Teams-Telefonie. Unternehmen, die frühzeitig prüfen und proaktiv handeln, profitieren von höherer Sicherheit, besserer Kompatibilität und geringeren Betriebsrisiken. Beginnen Sie jetzt mit einer Bestandsaufnahme Ihrer Zertifikatkonfiguration und planen Sie Updates vor der ersten Deadline im März 2026, um spätere Störungen zu vermeiden.
Jetzt kostenfreie Erstberatung buchen!
Sie möchten Ihre Microsoft-Teams-Telefonie frühzeitig und sicher auf die kommenden Zertifikatsanforderungen vorbereiten?
Wir unterstützen Sie dabei, den aktuellen Stand einzuordnen und die nächsten Schritte strukturiert zu planen.
Weitere News zu diesem Thema
