Configuration requise pour les suites de chiffrement serveur et TLS

  • Article

Une suite de chiffrement est un ensemble d’algorithmes cryptographiques. Ceci est utilisé pour chiffrer les messages entre les clients/serveurs et d’autres serveurs. Dataverse utilise les dernières suites de chiffrement TLS 1.2 approuvées par Microsoft Crypto Board.

Avant qu’une connexion sécurisée ne soit établie, le protocole et le chiffrement sont négociés entre le serveur et le client en fonction de la disponibilité des deux côtés.

Vous pouvez utiliser vos serveurs locaux pour intégrer les éléments Dataverse suivants :

  1. Synchronisation des e-mails depuis votre serveur Exchange.
  2. Exécution de plug-ins sortants.
  3. Exécution de clients natifs/locaux pour accéder à vos environnements.

Pour se conformer à notre politique de sécurité pour une connexion sécurisée, votre serveur doit disposer des éléments suivants :

  1. Compatibilité TLS (Transport Layer Security) 1.2

  2. Au moins un des chiffrements suivants :

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Important

    Les anciens TLS 1.0 et 1.1 et les suites de chiffrement (par exemple TLS_RSA) sont obsolètes ; voir l’annonce. Vos serveurs doivent disposer du protocole de sécurité ci-dessus pour continuer à exécuter les services Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 et TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 peut apparaître comme faible lorsque vous effectuez un test de rapport SSL. Cela est dû à des attaques connues contre l’implémentation d’OpenSSL. Dataverse utilise une implémentation Windows qui n’est pas basée sur OpenSSL et n’est donc pas vulnérable.

    Vous pouvez soit mettre à jour la version Windows ou mettre à jour le Registre Windows TLS pour vous assurer que votre point de terminaison de serveur prend en charge l’un de ces chiffrements.

    Pour vérifier que votre serveur est conforme au protocole de sécurité, vous pouvez effectuer un test à l’aide d’un outil de chiffrement et de scanner TLS :

    1. Testez votre nom d’hôte en utilisant SSLLABS, ou
    2. Scannez votre serveur à l’aide de NMAP

  3. Les certificats d’autorité de certification racine suivants installés. Installez uniquement ceux qui correspondent à votre environnement cloud.

    Pour le public/PROD

    Autorité de certification Date d’expiration Numéro de série/Empreinte Téléchargement
    DigiCert Global Root G2 15 jan 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 jan 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Autorité de certification racine Microsoft ECC 2017 18 Jui. 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Autorité de certification racine Microsoft RSA 2017 18 Jui. 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Pour Fairfax/Arlington/US Gov Cloud

    Autorité de certification Date d’expiration Numéro de série/Empreinte Téléchargement
    DigiCert Global Root CA 10 nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    Autorité de certification du serveur sécurisé DigiCert SHA2 22 sept 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS hybride ECC SHA384 2020 CA1 22 sept 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Pour Mooncake/Gallatin/Chine Gov Cloud

    Autorité de certification Date d’expiration Numéro de série/Empreinte Téléchargement
    DigiCert Global Root CA 10 nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 mars 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Pourquoi cela est-il nécessaire ?

    Voir Documentation sur les normes TLS 1.2 - Section 7.4.2 - liste de certificats.

Pourquoi les certificats SSL/TLS Dataverse utilisent-ils des domaines avec caractères génériques ?

Les certificats SSL/TLS avec caractères génériques sont liés à la conception, puisque des centaines d’URL d’organisation doivent être accessibles à partir de chaque serveur hôte. Les certificats SSL/TLS avec des centaines de noms alternatifs du sujet (SAN) ont un impact négatif sur certains clients et navigateurs Web. Il s’agit d’une contrainte d’infrastructure basée sur la nature d’une offre Software as a service (SAAS), qui héberge plusieurs organisations clientes sur un ensemble d’infrastructures partagées.

Voir aussi

Se connecter à Exchange Server (local)
Synchronisation côté Dynamics 365 Server
Instructions TLS du serveur Exchange
Suites de chiffrement dans TLS/SSL (Schannel SSP)
Gérer le protocole TLS (Transport Layer Security)
Comment activer TLS 1.2