Conjuntos de cifrados de servidor y requisitos de TLS

Un conjunto de aplicaciones de cifrado es un conjunto de algoritmos criptográficos. Esto se utiliza para cifrar mensajes entre clientes / servidores y otros servidores. Dataverse está usando los últimos Paquetes de cifrado TLS 1.2 aprobados por Microsoft Crypto Board.

Antes de que se establezca una conexión segura, el protocolo y el cifrado se negocian entre el servidor y el cliente en función de la disponibilidad en ambos lados.

Puede utilizar sus servidores on-premises/locales para integrarse con lo siguientes servicios Dataverse:

  1. Sincronizando correos electrónicos desde su servidor Exchange.
  2. Ejecutando complementos salientes.
  3. Ejecutando clientes nativos/locales para acceder a sus entornos.

Para cumplir con nuestra directiva de seguridad para una conexión segura, su servidor debe tener lo siguiente:

  1. Cumplimiento de la Seguridad de la capa de transporte (TLS) 1.2

  2. Al menos uno de los siguientes cifrados:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Importante

    Los conjuntos de cifrado y TLS 1.0 y 1.1 más antiguos (por ejemplo, TLS_RSA) han quedado obsoletos; consulte el anuncio. Sus servidores deben tener el protocolo de seguridad anterior para continuar ejecutando los servicios Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 y TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 puede aparecer como débil cuando realizó una prueba de informe SSL. Esto se debe a ataques conocidos hacia la implementación de OpenSSL. Dataverse utiliza la implementación de Windows que no se basa en OpenSSL y, por lo tanto, no es vulnerable.

    Puede actualizar la versión de Windows o actualizar el registro TLS de Windows para asegurarse de que su extremos de servidor admita uno de estos cifrados.

    Para verificar que su servidor cumple con el protocolo de seguridad, puede realizar una prueba utilizando una herramienta de cifrado y escáner TLS:

    1. Pruebe su nombre de host usando SSLLABS, o
    2. Escanee su servidor usando NMAP
  3. Los siguientes certificados raíz CA instalados. Instale solo aquellos que correspondan a su entorno de nube.

    Para Público/PROD

    Entidad de certificación Fecha de expiración Número de serie/huella digital Descargar
    DigiCert Global Root G2 15 enero, 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
    PEM
    DigiCert Global Root G3 15 enero, 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E
    PEM
    Microsoft ECC Root Certificate Authority 2017 Jul 18, 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5
    PEM
    Microsoft RSA Root Certificate Authority 2017 Jul 18, 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74
    PEM

    Para Fairfax/Arlington/nube US Gov

    Entidad de certificación Fecha de expiración Número de serie/huella digital Descargar
    DigiCert Global Root CA 10 noviembre, 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
    PEM
    DigiCert SHA2 Secure Server CA 22 septiembre, 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C
    PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 septiembre, 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28
    PEM

    Para Mooncake/Gallatin/Nube China Gov

    Entidad de certificación Fecha de expiración Número de serie/huella digital Descargar
    DigiCert Global Root CA 10 noviembre, 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
    PEM
    DigiCert Basic RSA CN CA G2 4 marzo, 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179
    PEM

    ¿Por qué se necesita esto?

    Consulte la lista de certificados Documentación de estándares TLS 1.2 - Sección 7.4.2.

¿Por qué los certificados SSL/TLS de Dataverse usan dominios comodín?

Los certificados SSL/TLS comodín son por diseño, ya que se debe poder acceder a cientos de URL de organización desde cada servidor host. Los certificados SSL/TLS con cientos de nombres alternativos de sujeto (SAN) tienen un impacto negativo en algunos clientes web y navegadores. Esta es una restricción de infraestructura basada en la naturaleza de una oferta de software como servicio (SAAS), que alberga varias organizaciones de clientes en un conjunto de infraestructura compartida.

Consulte también

Conectar con Exchange Server (local)
Configurar la sincronización del lado de Dynamics 365 Server
Instrucciones de intercambio de servidor TLS
Conjunto de aplicaciones de cifrado en TLS / SSL (Schannel SSP)
Administrar la Seguridad de la capa de transporte (TLS)
Cómo habilitar TLS 1.2