اقرأ باللغة الإنجليزية

مشاركة عبر

مجموعات تشفير الخادم ومتطلبات TLS

  • مقالة

ملاحظة

إن مركز مسؤولي Power Platformالجديد والمحسن موجود الآن في إصدار أولي للاستخدام العام! لقد صممنا مركز الإدارة الجديد ليكون أسهل في الاستخدام، مع التنقل الموجه نحو المهام الذي يساعدك على تحقيق نتائج محددة بشكل أسرع. سننشر وثائق جديدة ومحدثة مع انتقال مركز مسؤولي Power Platform الجديد إلى التوفر العام.

مجموعة التشفير هي مجموعة من خوارزميات التشفير. وتُستخدم لتشفير الرسائل بين العملاء/الخوادم والخوادم الأخرى. يستخدم Dataverse أحدث مجموعات التشفير TLS 1.3 و1.2 كما تمت الموافقة عليها من قِبل Microsoft Crypto Board.

قبل إنشاء اتصال آمن، يتم التفاوض على البروتوكول والتشفير بين الخادم والعميل استنادًا إلى التوفر على كلا الجانبين.

يمكنك استخدام الخوادم المحلية للتكامل مع خدمات Dataverse التالية:

  1. مزامنة رسائل البريد الإلكتروني من خادم Exchange.
  2. تشغيل المكونات الإضافية الصادرة.
  3. تشغيل عملاء أصليين/محليين للوصول إلى بيئاتك.

للامتثال لسياسة الأمان للاتصال الآمن، يجب أن يحتوي الخادم على ما يلي:

  1. امتثال بروتوكول أمان طبقة النقل (TLS) 1.3/1.2

  2. أحد التشفيرات التالية علي الأقل:

    • عمليات تشفير TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256

    • عمليات تشفير TLS 1.2:

      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    هام

    تم إهمال إصدارات TLS 1.0 و1.1 القديمة ومجموعات التشفير القديمة، علي سبيل. راجع الإعلان. يجب أن يتوفر بروتوكول الأمان أعلاه لدى الخوادم لمتابعة تشغيل خدمات Dataverse.

    قد تظهرTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 و TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 على أنها ضعيفة أثناء اختبار تقرير SSL. ويرجع السبب في ذلك إلى هجمات معروفة نحو تنفيذ OpenSSL. يستخدم Dataverse تطبيق Windows الذي لا يستند إلى OpenSSL ولذلك فهو غير عرضة للتهديدات.

    يمكنك إما ترقية إصدار Windows أو تحديث تسجيل Windows TLS للتأكد من أن نقطة نهاية الخادم تدعم إحدى مجموعتي التشفير هذه.

    للتحقق من أن الخادم متوافق مع بروتوكول الأمان، يمكنك تنفيذ اختبار باستخدام أداة مسح وتشفير TLS:

    1. اختبار اسم المضيف باستخدام SSLLABS، أو
    2. فحص الخادم باستخدام NMAP

  3. شهادات المرجع المصدق الجذر التالية المثبتة. قم بتثبيت ما تتوافق مع بيئة سحابتك.

    للعام/الإنتاج

    المرجع المصدق للشهادة تاريخ انتهاء الصلاحية الرقم التسلسلي/‏‫بصمة الإبهام تنزيل
    DigiCert Global Root G2 15 يناير 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 يناير 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    المرجع المصدق لشهادة جذر Microsoft ECC 2017 18 يوليو 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    المرجع المصدق لشهادة جذر Microsoft RSA 2017 18 يوليو 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    لسحابات Fairfax/Arlington/US Gov

    المرجع المصدق للشهادة تاريخ انتهاء الصلاحية الرقم التسلسلي/‏‫بصمة الإبهام تنزيل
    DigiCert Global Root CA 10 نوفمبر 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 سبتمبر 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 سبتمبر 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    لسحابات Mooncake/Gallatin/China Gov

    المرجع المصدق للشهادة تاريخ انتهاء الصلاحية الرقم التسلسلي/‏‫بصمة الإبهام تنزيل
    DigiCert Global Root CA 10 نوفمبر 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 مارس 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    ما سبب الحاجة إلى ذلك؟

    راجع بروتوكول أمان طبقة النقل (TLS) الإصدار 1.3 و وثائق معايير TLS 1.2 - القسم 7.4.2 - certificate-list.

لماذا تستخدم شهادات Dataverse SSL/TLSمجالات أحرف البدل؟

يتم تصميم شهادات SSL/TLS بأحرف البدل نظرًا لأنه يجب الوصول إلى مئات عناوين URL للمؤسسات من كل خادم مضيف. شهادات SSL / TLS التي تحتوي على مئات الأسماء البديلة للموضوعات (SANs) لها تأثير سلبي على بعض عملاء ومتصفحات الويب. هذا أحد قيود البنية الأساسية استنادًا إلى طبيعة عرض البرنامج كخدمة (SAAS)، والذي يستضيف العديد من مؤسسات العملاء على مجموعة من البني الأساسية المشتركة.

(راجع أيضًا)

الاتصال بـ Exchange Server (محليًا)
المزامنة من جانب Dynamics 365 Server
إرشادات Exchange server TLS
مجموعات التشفير في TLS/SSL (Schannel SSP)
إدارة بروتوكول أمان طبقة النقل (TLS)
تعقب بيانات IETF لمعايير TLS.