Compartir por

Conxuntos de cifraxes do servidor e requisitos de TLS

  • Artigo

Unha suite de cifrado é un conxunto de algoritmos criptográficos. Utilízase para cifrar mensaxes entre clientes/servidores e outros servidores. Dataverse está a utilizar os últimos paquetes de cifrado TLS 1.2 aprobados por Microsoft Crypto Board.

Antes de que se estableza unha conexión segura, o protocolo e o cifrado negócianse entre o servidor e o cliente en función da dispoñibilidade dos dous lados.

Pode usar os seus servidores locais para integrarse cos seguintes servizos de Dataverse:

  1. Sincronización de correos electrónicos desde o servidor de Exchange.
  2. Execución de complementos de saída.
  3. Execución de clientes nativos/locais para acceder aos seus ambientes.

Para cumprir coa nosa política de seguridade para facer unha conexión segura, o servidor debe ter o seguinte:

  1. Cumprimento da seguranza da capa de transporte (TLS) 1.2

  2. Polo menos un dos seguintes cifrados:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Importante

    TLS 1.0 e amp; 1.1 e os conxuntos de cifrado, (por exemplo, TLS_RSA) quedaron en desuso; consulte o anuncio. Os seus servidores deben ter o protocolo de seguridade anterior para continuar executando os servizos de Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 poden mostrarse débiles cando realizaches unha proba de informe SSL. Isto débese a ataques coñecidos contra a implementación de OpenSSL. Dataverse usa implementación de Windows que non está baseada en OpenSSL e, polo tanto, non é vulnerable.

    Pode actualizar a versión de Windows ou actualizar o rexistro de Windows TLS para asegurarse de que o extremo do servidor admite un destes cifrados.

    Para verificar que o seu servidor cumpre co protocolo de seguridade, pode realizar unha proba empregando unha ferramenta de cifrado e escáner TLS:

    1. Probe o seu nome de host usando SSLLABS ou
    2. Escanee o seu servidor usando NMAP

  3. Instaláronse os seguintes certificados de CA raíz. Instale só os que correspondan ao seu ambiente na nube.

    Para Público/PROD

    Autoridade de certificación Data de caducidade Número de serie/Impresión dixital Descargar
    DigiCert Global Root G2 15 xan 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 xan 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft Autoridade de certificación raíz ECC 2017 18 xul 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft Autoridade de certificación raíz RSA 2017 18 xul 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Para Fairfax/Arlington/US Gov Cloud

    Autoridade de certificación Data de caducidade Número de serie/Impresión dixital Descargar
    DigiCert Global Root CA 10 nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 sep 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 sep 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Para Mooncake/Gallatin/China Gov Cloud

    Autoridade de certificación Data de caducidade Número de serie/Impresión dixital Descargar
    DigiCert Global Root CA 10 nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 mar 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Por que é esta necesidade?

    Consulte Documentación de estándares de TLS 1.2 - Sección 7.4.2 - lista de certificados.

Por que Dataverse os certificados SSL/TLS usan dominios comodín?

Os certificados SSL/TLS comodín son por deseño xa que centos de URL de organización deben ser accesibles desde cada servidor host. Os certificados SSL/TLS con centos de nomes alternativos de asunto (SAN) teñen un impacto negativo nalgúns clientes web e navegadores. Esta é unha restrición de infraestrutura baseada na natureza dunha oferta de software como servizo (SAAS), que aloxa varias organizacións de clientes nun conxunto de infraestruturas compartidas.

Consulte tamén

Conectar ao servidor Exchange (local)
Sincronización do servidor de Dynamics 365
Guía de TLS do servidor de Exchange
Cipher Suites en TLS/SSL (Schannel SSP)
Xestionar o transporte capa Seguridade (TLS)
Como activar TLS 1.2