Serverkrypteringspakker og TLS-krav

  • Artikel

En krypteringspakke er et sæt kryptografiske algoritmer. Den bruges til at kryptere meddelelser mellem klienter/servere og andre servere. Dataverse bruger de nyeste TLS 1.2-krypteringspakker som godkendt af Microsoft Crypto Board.

Inden der etableres en sikker forbindelse, forhandles protokollen og krypteringen mellem server og klient baseret på tilgængelighed på begge sider.

Du kan bruge dit lokale miljø/lokale servere til at integrere med følgende Dataverse-tjenester:

  1. Synkronisering af mails fra din Exchange Server.
  2. Kørsel af udgående plug-ins.
  3. Kørsel af indbyggede/lokale klienter for at få adgang til dine miljøer.

For at overholde sikkerhedspolitikken for en sikker forbindelse skal serveren have følgende:

  1. Overholdelse af Transport Layer Security (TLS) 1.2-krav

  2. Mindst en af følgende krypteringer:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Vigtigt

    Ældre TLS 1.0 og 1.1 og krypteringspakker (f.eks. TLS_RSA) er frarådet. Se meddelelsen. Dine servere skal have ovennævnte sikkerhedsprotokol, for at Dataverse-tjenesterne fortsat kan køres.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 og TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 vises muligvis som svage, når du har udført en SSL-rapporttest. Dette skyldes kendte angreb på OpenSSL-implementering. Dataverse bruger Windows-implementering, der ikke er baseret på OpenSSL, og som derfor ikke er sårbar.

    Du kan enten opgradere Windows-versionen eller opdatere Windows TLS-registreringsdatabasen for at sikre dig, at serverens slutpunkt understøtter en af disse krypteringer.

    Du kan kontrollere, om serveren overholder sikkerhedsprotokollen, ved at udføre en test med et TLS-krypterings- og scannerværktøj:

    1. Test værtsnavnet ved hjælp af SSLLABS, eller
    2. Scan serveren ved hjælp af NMAP

  3. Følgende rodnøglecentercertifikater er installeret. Installer kun dem, der svarer til dit skymiljø.

    Til offentlig/PROD

    Certifikatmyndighed Udløbsdato Serienummer/Aftryk Hent
    DigiCert global rod G2 15. januar 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. januar 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017 18. juli 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017 18. juli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    For Fairfax/Arlington/US Gov Cloud

    Certifikatmyndighed Udløbsdato Serienummer/Aftryk Hent
    DigiCert globalt rodnøglecenter 10. nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22. sep 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. sep 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    For Mooncake/Gallatin/China Gov Cloud

    Certifikatmyndighed Udløbsdato Serienummer/Aftryk Hent
    DigiCert globalt rodnøglecenter 10. nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 mar 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Hvorfor det?

    Se dokumentationen til TLS 1.2-standarder – sektion 7.4.2 - certifikatliste.

Hvorfor bruger Dataverse SSL/TLS-certifikater domæner med jokertegn?

SSL/TLS-certifikater med jokertegn er efter design, da der skal være adgang til hundredvis af URL-adresser til organisationer fra de enkelte værtsservere. SSL/TLS-certifikater med hundredvis af SAN'er (Subject Alternate Names) har en negativ indvirkning på visse webklienter og browsere. Dette er en infrastrukturbegrænsning, der er baseret på et SaaS-tilbud (Software as a Service), som er vært for flere kundeorganisationer på et sæt af delt infrastruktur.

Se også

Oprette forbindelse til Exchange Server (i det lokale miljø)
Synkronisering af Dynamics 365 Server
TLS-vejledning for Exchange Server
Krypteringpakker i TLS/SSL (Schannel SSP)
Administration af TLS (Transport Layer Security)
Sådan aktiveres TLS 1.2