Jagamisviis:

Serveri šifrikomplektid ja transpordikihi turbe (TLS) nõuded

  • Artikkel

Šifrikomplekt on krüptograafilistt algoritmide komplekt. Seda kasutatakse klientide/serverite ja muude serverite vaheliste sõnumite krüptimiseks. Dataverse kasutab uusimat TLS 1.2 šifrikomplekti, mille on heaks kiitnud Microsoft Crypto Board.

Enne turvalise ühenduse loomist sõlmitakse protokolli ja šifriga seotud kokkulepe serveri ja kliendi vahel, lähtudes mõlema kättesaadavusest.

Saate kasutada oma asutusesiseseid/kohalikke servereid järgmiste Dataverse'i teenustega integreerimiseks.

  1. Exchange'i serverist meilide sünkroonimine.
  2. Väljaminevate lisandmoodulite käitamine.
  3. Oma/kohalike klientide käitamine, et pääseda juurde oma keskkondadele.

Meie turvalise ühenduse turbepoliitika järgimiseks peab teie server tegema järgmist:

  1. Transpordikihi turbe (TLS) 1.2 vastavus

  2. Serveril peab olema vähemalt üks järgmistest šifritest:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Oluline

    Vanemad TLS 1.0 & 1.1 ja šifrikomplektid (näiteks TLS_RSA) on aegunud; vaata teadaannet. Teenuste käitamise jätkamiseks peab teie serverites olema eelmainitud turvalisuse protokoll Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ja TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 võivad SSL-aruande testi tegemisel osutuda nõrgaks. Selle põhjuseks on teadaolevad rünnakud OpenSSL-i rakendamise vastu. Dataverse kasutab Windowsi rakendamist, mis ei põhine OpenSSL-il ja seetõttu ei ole haavatav.

    Võite uuendada Windowsi versiooni või värskendada Windows TLS-i registri, veendumaks, et teie serveri lõpp-punkt toetab ühte nendest šifritest.

    Veendumaks, et teie server vastab turvalisuse protokollile, saate testida TLS-i šifri ja skanneri tööriista abil.

    1. Testige oma hostinime SSLLABS-i abil või
    2. Skanneerige oma serverit NMAP-i abil

  3. Installitud on järgmised juur-CA serdid. Installige ainult need, mis vastavad teie pilvekeskkonnale.

    Avaliku/PROD jaoks

    Sertimisasutus Aegumiskuupäev Seerianumber/sõrmejälg Allalaadimine
    DigiCerti globaalne juur G2 15. jaanuar 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCerti globaalne juur G3 15. jaanuar 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC juurserti asutus 2017 18. juuli 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA juurserti asutus 2017 18. juuli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax/Arlington/USA riigiasutuse pilve jaoks

    Sertimisasutus Aegumiskuupäev Seerianumber/sõrmejälg Allalaadimine
    DigiCerti globaalne juur CA 10. november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCerti 2 turbeserveri CA 22. september 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCerti TLS-hübriid ECC SHA384 2020 CA1 22. september 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mooncake'i/Gallatini/Hiina pilvede jaoks

    Sertimisasutus Aegumiskuupäev Seerianumber/sõrmejälg Allalaadimine
    DigiCerti globaalne juur CA 10. november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCerti Põhi-RSA CN CA G2 4. märts 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Miks on see vajalik?

    Vaadake TLS 1.2 standardi dokumentatsioon – jaotis 7.4.2 – sertide loend.

Miks SSL Dataverse /TLS-sertifikaadid kasutavad metamärke?

Metamärgi SSL/TLS-sertifikaadid on disainitud, kuna sadadele organisatsiooni URL-idele peab olema juurdepääs igast hostiserverist. SSL/TLS-sertifikaadid, millel on sadu teema alternatiivseid nimesid (SAN), avaldavad negatiivset mõju mõnele veebikliendile ja brauserile. See on infrastruktuuri piirang, mis põhineb tarkvara kui teenuse (SAAS) pakkumise olemusel, mis majutab mitut kliendiorganisatsiooni jagatud infrastruktuuri komplektis.

Vaata ka

Exchange Serveriga ühenduse loomine (asutusesisene)
Dynamics 365 Serveri-poolne sünkroonimine
Exchange’i serveri TLS-iga seotud juhised
TLS-i/SSL-i (Schannel SSP) šifrikomplektid
Transpordikihi turbe (TLS) haldamine
TLS 1.2 lubamine