Palvelimen salausohjelmistopaketit ja TLS-vaatimukset

  • Artikkeli

Cipher Suite on joukko salausalgoritmeja. Tätä käytetään viestien salaamiseen asiakkaiden/palvelimien ja muiden palvelimien välillä. Dataverse käyttää uusimpia Microsoft Crypto Boardin hyväksymiä TLS 1.2 -salausohjelmistopaketteja.

Ennen suojatun yhteyden luomista palvelimen ja asiakkaan välillä neuvotellaan protokolla ja salaus molempien osapuolten saatavuuden perusteella.

Voit integroida on-premises-/paikallisten palvelimien avulla seuraaviin Dataverse-palveluihin:

  1. Sähköpostiviestien synkronoiminen Exchange-palvelimesta.
  2. Suorittaa lähtevät laajennukset.
  3. Voit käyttää ympäristöjä suorittamalla alkuperäisiä/paikallisia asiakasohjelmia.

Jotta suojauskäytäntömme olisi suojattu, palvelimessa on oltava seuraavat:

  1. TLS (Transport Layer Security) 1.2 -vaatimustenmukaisuus

  2. Vähintään yksi seuraavista:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Tärkeää

    Vanhat TLS 1.0 ja 1.1 ja salausohjelmistopaketit (esimerkiksi TLS_RSA) ovat vanhentuneet; näytä ilmoitus. Palvelimilla on oltava yllä mainittu suojausprotokolla, jotta Dataverse-palveluiden suoritusta voidaan jatkaa.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ja TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 saattavat näkyä erittäin heikkoina, kun suoritit SSL-raportin testin. Tämä johtuu tunnetuista hyökkäyksistä OpenSSL-toteutusta vastaan. Dataverse käyttää Windows-toteutusta, joka ei perustu OpenSSL-toteutukseen, joten se ei ole haavoittuvainen.

    Voit joko päivittää Windows-version tai päivittää Windowsin TLS-rekisterin, jotta voit varmistaa, että palvelimen päätepiste tukee jotain näistä salausohjelmistopaketeista.

    Voit tarkistaa, että palvelin noudattaa suojausprotokollaa, testaamalla sen TLS-salausohjelmistopaketilla ja skannaustyökalulla:

    1. Isäntänimen testauksessa on käytössä SSLLABS tai
    2. Palvelimen skannauksessa on käytössä NMAP

  3. Seuraavat Root CA -varmenteet asennettuna. Asenna vain pilviympäristöäsi vastaavat asennukset.

    Julkiseen/PROD-versioon

    Varmenteen myöntäjä Vanhenemispäivä Sarjanumero/allekirjoitus Lataa palvelimesta
    DigiCert Global Root G2 15. tammikuuta 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. tammikuuta 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC -päävarmenteen myöntäjä 2017 18.7.2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA -päävarmenteen myöntäjä 2017 18.7.2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax/Washington/US Gov Cloud

    Varmenteen myöntäjä Vanhenemispäivä Sarjanumero/allekirjoitus Lataa palvelimesta
    DigiCert Global Root CA 10.11.2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22. syyskuuta 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. syyskuuta 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mooncake/Gallatin/China Gov Cloud

    Varmenteen myöntäjä Vanhenemispäivä Sarjanumero/allekirjoitus Lataa palvelimesta
    DigiCert Global Root CA 10.11.2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4.3.2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Miksi tämä on tarpeen?

    Katso TLS 1.2:n standardeihin liittyvät ohjeet – osa 7.4.2 – varmenneluettelo.

Miksi Dataversen SSL/TLS-varmenteissa käytetään yleismerkkitoimialueita?

Yleismerkkejä käyttävät SSL/TLS-varmenteet ovat tarkoituksenmukaisia, koska kultakin isäntäpalvelimelta on voitava käyttää satoja organisaation URL-osoitteita. SSL/TLS-varmenteet, joilla on satoja aiheen vaihtoehtoisia nimiä (SAN), vaikuttavat kielteisesti tiettyihin verkkoasiakasohjelmiin ja -selaimiin. Tämä on infrastruktuurirajoitus, joka perustuu ohjelmisto palveluna (SAAS) -tarjonnan luonteeseen. Siinä isännöidään useita asiakkaan organisaatioita jaetulla infrastruktuurilla.

Katso myös

Paikallisen Exchange Serverin yhdistäminen
Dynamics 365 -palvelinpään synkronoinnin yleiskuvaus
Exchange Server TLS -opastus
TLS/SSL (Schannel SSP) -salauspaketit
Hallitse Transport Layer Securitya (TLS)
TLS 1.2 -järjestelmän käyttöönotto