Conjunts de xifratge de servidor i requisits de TLS

Un conjunt de xifratge és un conjunt d'algoritmes criptogràfics. S'utilitza per xifrar els missatges entre els clients o servidors i altres servidors. Dataverse està utilitzant les últimes suites de xifratge TLS 1.3 i 1.2 aprovades per Microsoft Crypto Board.

Abans que s'estableixi una connexió segura, el protocol i el xifratge es negocien entre el servidor i el client segons la seva disponibilitat.

Podeu utilitzar els vostres servidors locals per integrar-los amb els següents serveis del Dataverse:

  1. Sincronització de correus electrònics de l'Exchange Server.
  2. Execució de complements de sortida.
  3. Execució de clients natius/locals per accedir als entorns.

Per complir la nostra norma de seguretat per a una connexió segura, el servidor ha de tenir el següent:

  1. Compliment de Transport Layer Security (TLS) 1.3/1.2

  2. Com a mínim una de les opcions següents de xifratge:

    • Xifratges TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256

    • Xifratges TLS 1.2:

      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Important

    Els TLS 1.0 i 1.1 més antics i els conjunts de xifratge (per exemple TLS_RSA) han quedat obsolets; Vegeu l'anunci. Els servidors han de tenir el protocol de seguretat anterior per continuar executant els serveis del Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 i TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 poden semblar febles quan heu realitzat una prova d'informe SSL. Això es deu a atacs coneguts a la implementació OpenSSL. Dataverse utilitza la implementació del Windows que no està basada en OpenSSL i, per tant, no és vulnerable.

    Podeu actualitzar la versió de Windows o actualitzar el registre TLS del Windows per assegurar-vos que el vostre extrem del servidor admeti un d'aquests xifratges.

    Per verificar que el vostre servidor compleix amb el protocol de seguretat, podeu realitzar una prova utilitzant un xifratge TLS i una eina d'anàlisi:

    1. Proveu el nom d'amfitrió amb SSLLABS o
    2. Analitzeu el servidor mitjançant NMAP

  3. Hi ha instal·lats els següents certificats CA arrel. Instal·leu només els que corresponguin al vostre entorn de núvol.

    Per a públic/PROD

    Entitat emissora de certificats Data de caducitat Número de sèrie/empremta digital Descarrega
    G2 d'arrel global de DigiCert 15-gen-2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    G3 d'arrel global de DigiCert 15-gen-2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Entitat de certificació arrel 2017 Microsoft 2017 18 jul. 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Entitat de certificació arrel 2017 Microsoft 2017 18 jul. 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Per a Fairfax / Arlington / US Gov Cloud

    Entitat emissora de certificats Data de caducitat Número de sèrie/empremta digital Descarrega
    CA arrel global de DigiCert 10-Nov-2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    CA del servidor segur de DigiCert SHA2 22-Set-2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Híbrid ECC SHA384 2020 CA1 22-Set-2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Per a Mooncake/Gallatin/China Gov Cloud

    Entitat emissora de certificats Data de caducitat Número de sèrie/empremta digital Descarrega
    CA arrel global de DigiCert 10-Nov-2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Bàsic RSA CN CA G2 4-mar-2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Per què és aquesta necessitat?

    Vegeu la versió 1.3 del protocol de seguretat de la capa de transport (TLS) i la documentació dels estàndards TLS 1.2 - Secció 7.4.2 - certificate-list.

Per què els Dataverse certificats SSL/TLS utilitzen dominis comodí?

Els certificats SSL/TLS comodí estan dissenyats, ja que centenars d'URL d'organització han de ser accessibles des de cada servidor amfitrió. Els certificats SSL/TLS amb centenars de noms alternatius (SAN) tenen un impacte negatiu en alguns clients web i navegadors. Es tracta d'una restricció d'infraestructura basada en la naturalesa d'una oferta de programari com a servei (SAAS), que allotja diverses organitzacions de clients en un conjunt d'infraestructura compartida.

Consulteu també

Connecteu-vos a l'Exchange Server (on-premises)
Sincronització del servidor del Dynamics 365
Guia TLS del servidor Exchange
Conjunts de xifratge en TLS/SSL (Schannel SSP)
Gestionar la seguretat de la capa de transport (TLS)
IETF Datatracker per a estàndards TLS.

  • Last updated on