Dijeli putem

Paketi šifri poslužitelja i zahtjevi za TLS

  • Članak

Paket šifri je skup kriptografskih algoritama. Koristi se za šifriranje poruka između klijenata/poslužitelja i drugih poslužitelja. Dataverse upotrebljava najnovije TLS 1.2 pakete šifri koje je odobrio Microsoft Crypto Board.

Prije uspostavljanja sigurne veze, protokol i šifra dogovaraju se između poslužitelja i klijenta na temelju dostupnosti na obje strane.

Možete upotrebljavati svoje lokalne poslužitelje za integraciju sa sljedećim uslugama Dataverse:

  1. Sinkroniziranje poruka e-pošte na poslužitelju Exchange.
  2. Pokretanje izlaznih dodataka.
  3. Pokretanje izvornih/lokalnih klijenata za pristup okruženjima na usluzi .

Da biste bili u skladu s našim sigurnosnim pravilima za sigurnu vezu, vaš poslužitelj mora imati sljedeće:

  1. Usklađenost s protokolom Transport Layer Security (TLS) 1.2

  2. Barem jednu od sljedećih šifri:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Važno

    Stariji TLS 1.0 i 1.1 i paketi šifri (na primjer TLS_RSA) zastarjeli su; Pogledajte objavu. Vaši poslužitelji moraju imati prethodni sigurnosni protokol za nastavak pružanja usluga Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 i TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 mogu se prikazati kao slabi kada izvršite SSL test izvješća. To je zbog poznatih napada na implementaciju OpenSSL-a. Dataverse upotrebljava Windows implementaciju koja se ne temelji na OpenSSL-u i stoga nije ranjiva.

    Možete nadograditi verziju sustava Windows ili ažurirati Windows TLS registar kako biste osigurali da krajnja točka vašeg poslužitelja podržava jednu od ovih šifri.

    Da biste provjerili je li vaš poslužitelj u skladu sa sigurnosnim protokolom, možete izvršiti test pomoću TLS šifre i alata za skeniranje:

    1. Testirajte naziv glavnog računala pomoću SSLLABS ili
    2. Skenirajte svoj poslužitelj pomoću alata NMAP

  3. Instalirani su sljedeći Root CA certifikati. Instalirajte samo one koji odgovaraju vašem okruženju oblaka.

    Za javnost/PROD

    Izdavač certifikata Datum isteka Serijski broj / otisak certifikata Preuzmi
    DigiCert Global Root G2 15. sij 2038. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. sij 2038. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017. 18. srp 2042. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017. 18. srp 2042. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Za Fairfax / Arlington / američke državne ustanove u oblaku

    Izdavač certifikata Datum isteka Serijski broj / otisak certifikata Preuzmi
    DigiCert Global Root CA 10. stud 2031. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22. ruj 2030. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. ruj 2030. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Za Mooncake / Gallatin / kineske državne ustanove u oblaku

    Izdavač certifikata Datum isteka Serijski broj / otisak certifikata Preuzmi
    DigiCert Global Root CA 10. stud 2031. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4. ožu 2030. 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Zašto je to potrebno?

    Pogledajte TLS 1.2 standardnu dokumentaciju – odjeljak 7.4.2 – popis certifikata.

Dataverse Zašto SSL/TLS certifikati koriste zamjenske domene?

SSL/TLS certifikati zamjenskih znakova dizajnirani su jer stotine URL-ova tvrtke ili ustanove moraju biti dostupne sa svakog poslužitelja glavnog računala. SSL/TLS certifikati sa stotinama alternativnih naziva predmeta (SAN-ova) negativno utječu na neke web klijente i preglednike. To je infrastrukturno ograničenje koje se temelji na prirodi ponude softvera kao usluge (SAAS), koja ugošćuje više korisničkih organizacija na skupu zajedničke infrastrukture.

Pogledajte

Povezivanje s poslužiteljem Exchange Server (lokalno)
Sinkronizacija na strani poslužitelja Dynamics 365 Server
Smjernice TLS za poslužitelj Exchange
Paketi šifri u TLS-u/SSL-u (Schannel SSP)
Upravljanje protokolom Transport Layer Security (TLS)
Kako omogućiti TLS 1.2