Пакети шифри за сървър и изисквания за TLS
Шифров пакет е набор от криптографски алгоритми. Използва се за криптиране на съобщения между клиенти / сървъри и други сървъри. Dataverse използва най-новите пакети за шифроване TLS 1.2, одобрени от Microsoft Crypto Board.
Преди да се установи сигурна връзка, протоколът и шифърът се договарят между сървър и клиент въз основа на наличността и от двете страни.
Можете да използвате вашите локални сървъри, за да се интегрирате със следните услуги на Dataverse:
- Синхронизиране на имейли от вашия Exchange сървър.
- Изпълнение на изходящи добавки.
- Изпълнение на основни/местни клиенти за достъп до вашите среди.
За да се съобрази с нашата политика за сигурност за сигурна връзка, вашият сървър трябва да има следното:
Съответствие с Изисквания за защита на транспортния слой (TLS) 1.2
Поне една от следните шифри:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384Важно
По-старите TLS 1.0 & 1.1 и шифърни пакети (например TLS_RSA) са отхвърлени; Вижте обявата. Вашите сървъри трябва да имат горния протокол за защита, за да продължат да изпълняват услугите на Dataverse.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 и TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 може да се окажат слаби, когато извършите тест за SSL доклад. Това се дължи на известни атаки към прилагането на OpenSSL. Dataverse използва реализация на Windows, която не е базирана на OpenSSL и следователно не е уязвима.
Може или да надстроите версията на Windows, или да актуализирате регистъра на Windows TLS, за да сте сигурни, че крайната точка на вашия сървър поддържа един от тези шифри.
За да проверите дали вашият сървър отговаря на протокола за защита, можете да извършите тест, като използвате TLS шифър и инструмент за скенер:
Инсталирани са следните главни CA сертификати. Инсталирайте само тези, които отговарят на вашата облачна среда.
За Public/PROD
Сертифициращ орган Крайна дата Сериен номер/отпечатък на палеца Download DigiCert Global Root G2 15 януари 2038 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM DigiCert Global Root G3 15 януари 2038 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM Microsoft ECC Root Certificate Authority 2017 18 юли 2042 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM Microsoft RSA Root Certificate Authority 2017 18 юли 2042 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM За Fairfax/Arlington/US Gov Cloud
Сертифициращ орган Крайна дата Сериен номер/отпечатък на палеца Download DigiCert Global Root CA 10 ноември 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert SHA2 защитен сървър CA 22 септември 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 септември 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM За Mooncake/Gallatin/China Gov Cloud
Сертифициращ орган Крайна дата Сериен номер/отпечатък на палеца Download DigiCert Global Root CA 10 ноември 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert Basic RSA CN CA G2 4 март 2030 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM Защо е нужно това?
Вижте TLS 1.2 Стандартна документация - Раздел 7.4.2 - сертификат-списък.
Dataverse Защо SSL/TLS сертификатите използват заместващи домейни?
Wildcard SSL / TLS сертификатите са по дизайн, тъй като стотици URL адреси на организации трябва да бъдат достъпни от всеки хост сървър. SSL / TLS сертификати със стотици алтернативни имена на теми (SAN) имат отрицателно въздействие върху някои уеб клиенти и браузъри. Това е инфраструктурно ограничение въз основа на естеството на предлагането на софтуер като услуга (SAAS), което хоства множество клиентски организации на набор от споделена инфраструктура.
Вижте също
Свързване с Exchange Server (локален)
Синхронизиране от страна на Dynamics 365 Server
TLS насоки за сървър на Exchange
Шифрови комплекти в TLS / SSL (Schannel SSP)
Управление на защита на транспортния слой (TLS)
Как да активирате TLS 1.2
Обратна връзка
https://aka.ms/ContentUserFeedback.
Очаквайте скоро: През цялата 2024 г. постепенно ще отстраняваме проблемите в GitHub като механизъм за обратна връзка за съдържание и ще го заменим с нова система за обратна връзка. За повече информация вижте:Подаване и преглед на обратна връзка за