Share via


דרישות TLS וחבילות צופן של שרת

חבילת צופן היא קבוצה של אלגוריתמים של הצפנה. זה משמש כדי להצפין הודעות בין לקוחות/שרתים ושרתים אחרים. Dataverse משתמש בגרסה העדכנית ביותר של חבילות צופן TLS 1.2 כפי שאושרו על ידי Microsoft Crypto Board.

לפני יצירת חיבור מאובטח, מתבצע משא ומתן על הפרוטוקול והצופן בין השרת ללקוח בהתבסס על זמינות בשני הצדדים.

באפשרותך להשתמש בשרתים מקומיים כדי לשלב עם שירותי Dataverse הבאים:

  1. סינכרון הודעות דואר אלקטרוני משרת Exchange.
  2. הפעלת יישומי Plug-in יוצאים.
  3. הפעלת לקוחות מקומיים לצורך גישה אל הסביבות שלך.

כדי לציית למדיניות האבטחה שלנו עבור חיבור מאובטח, השרת שלך צריך להכיל את הדברים הבאים:

  1. תאימות ל- Transport Layer Security (TLS) 1.2

  2. לפחות אחד מהצפנים הבאים:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    חשוב

    TLS 1.0 ו- 1.1 וחבילות צופן ישנים יותר (לדוגמה, TLS_RSA) יצאו משימוש; עיין בהכרזה. השרתים שלך מוכרחים לכלול את פרוטוקול האבטחה לעיל כדי להמשיך להפעיל את שירותי Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ו-TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 עשוי להופיע כחלשות לאחר ביצוע בדיקת דוח SSL. זה נובע מהתקפות ידועות כלפי יישום OpenSSL. Dataverse משתמש ביישום Windows שאינו מבוסס על OpenSSL ולכן אינו פגיע.

    אתה רשאי לשדרג את גירסת Windows או לעדכן את רישום Windows TLS כדי לוודא שנקודת הקצה של השרת שלך תומכת באחד מבין הצפנים הללו.

    כדי לוודא שהשרת שלך תואם לפרוטוקול האבטחה, באפשרותך לבצע בדיקה באמצעות כלי צופן וסורק TLS.

    1. בדוק את שם המארח שלך באמצעות SSLLABS או
    2. סרוק את השרת שלך באמצעות NMAP
  3. אישורי Root CA הבאים הותקנו. התקן רק את אלה התואמים לסביבת הענן שלך.

    לפרסום ציבורי/ייצור

    רשות האישורים תאריך תפוגה מספר סידורי/טביעת אצבע הורדה
    DigiCert Global Root G2 15 ינו' 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
    PEM
    DigiCert Global Root G3 15 ינו' 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E
    PEM
    רשות אישורים של בסיס של Microsoft ECC 2017 18 ביולי 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5
    PEM
    רשות אישורים של בסיס של Microsoft RSA 2017 18 ביולי 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74
    PEM

    עבור ענן ממשלתי של Fairfax/Arlington/ארה"ב

    רשות האישורים תאריך תפוגה מספר סידורי/טביעת אצבע הורדה
    DigiCert Global Root CA 10 בנוב' 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
    PEM
    DigiCert SHA2 Secure Server CA 22 בספט' 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C
    PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 בספט' 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28
    PEM

    עבור הענן הממשלתי של Mooncake/Gallatin/סין

    רשות האישורים תאריך תפוגה מספר סידורי/טביעת אצבע הורדה
    DigiCert Global Root CA 10 בנוב' 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
    PEM
    DigiCert Basic RSA CN CA G2 4 במרץ 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179
    PEM

    מדוע זה נצרך?

    ראה תיעוד סטנדרטים של TLS 1.2 - מקטע 7.4.2 - רשימת אישורים.

מדוע אישורי SSL/TLS Dataverse משתמשים בתחומים עם תו כללי?

תעודות SSL/TLS של תו כללי מעוצבות כך באופן מכוון כי מאות כתובות URL של ארגון חייבות להיות נגישות מכל שרת מארח. לתעודות SSL/TLS עם מאות שמות חלופיים של נושאים (SANs) יש השפעה שלילית על לקוחות אינטרנט ודפדפנים מסוימים. מדובר באילוץ תשתיתי המבוסס על האופי של הצעת 'תוכנה כשירות' (SAAS), המארחת מספר ארגוני לקוחות על קבוצה של תשתית משותפת.

למידע נוסף‬

התחברות ל- Exchange Server (מקומי)
סינכרון בצד Dynamics 365 Server
הדרכת TLS של שרת Exchange
חבילות צופן ב- TLS/SSL‏ (SSP של ערוץ)
ניהול Transport Layer Security ‏(TLS)
כיצד להפוך את TLS 1.2 לזמין