Kiszolgáló titkosítócsomagjai és TLS-követelmények

  • Cikk

A titkosítási csomag a kriptográfiai algoritmusok halmaza. Ez az ügyfelek/kiszolgálók és más kiszolgálók közötti üzenetek titkosítására szolgál. A Dataverse a Microsoft Crypto Board által jóváhagyott legújabb TLS 1.2 cipcsomagokat használja.

A biztonságos kapcsolat létrehozása előtt történik a protokoll és a titkosítási szint egyeztetése a kiszolgáló és az ügyfél között a mindkét oldali elérhetőség alapján.

A helyszíni/helyi kiszolgálót használhatja a következő Dataverse-szolgáltatásokkal való integrációra:

  1. E-mailek szinkronizálása az Exchange-kiszolgálóról.
  2. Kimenő beépülő modulok futtatása.
  3. A natív/helyi ügyfelek futtatása a környezet eléréséhez.

Ahhoz, hogy megfeleljen a biztonságos kapcsolatra vonatkozó biztonsági házirendünknek, a kiszolgálónak a következőkkel kell rendelkeznie:

  1. A Transport Layer Security (TLS) 1.2 követelményei

  2. A következő titkosítási elemek legalább egyike:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Fontos

    A régebbi TLS 1.0 &; 1.1 és titkosítási csomagok (például TLS_RSA) elavultak; Lásd a bejelentést. A kiszolgálóknak a Dataverse-szolgáltatások futtatásához a fenti biztonsági protokollal kell rendelkeznie.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 és TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 az SSL jelentéstesztje során előeshet. Ennek oka az OpenSSL megvalósítása elleni ismert támadások. A Dataverse a Windows megvalósítást használja, amely nem az OpenSSL rendszeren alapul, ezért nem sebezhető.

    Frissítheti a Windows verziót, vagy frissítheti a Windows TLS regisztrációs adatbázisát, hogy meggyőződjön arról, hogy a kiszolgálói végpont biztosan támogatja-e ezen titkosítók valamelyikét.

    Annak ellenőrzéséhez, hogy a kiszolgáló megfelel-e a biztonsági protokollnak, elvégezhet egy tesztet TLS titkosító és szkenner eszköz használatával:

    1. Az állomásnév tesztelése az SSLLABS használatával, vagy
    2. A kiszolgáló átvizsgálása az NMAP használatával

  3. A következő telepített legfelső szintű hitelesítésszolgáltató-tanúsítványok. Csak azokat telepítse, amelyek megfelelnek a felhőalapú környezetnek.

    Nyilvános/PROD

    Tanúsítvány-hitelesítésszolgáltató Lejárat dátuma Sorozatszám/Ujjlenyomat Letöltés
    DigiCert globális gyökér G2 2038. jan. 15. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert globális gyökér G3 2038. jan. 15. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC főtanúsítvány-hitelesítésszolgáltató 2017 2042. júl. 18. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA főtanúsítvány-hitelesítésszolgáltató 2017 2042. júl. 18. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    A Fairfax/Arlington/US Gov felhőhöz

    Tanúsítvány-hitelesítésszolgáltató Lejárat dátuma Sorozatszám/Ujjlenyomat Letöltés
    DigiCert globális gyökér CA 2031. nov. 10. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 biztonságos szerver CA 2030. szept. 22. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 2030. szept. 22. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    A Mooncake/Gallatin/China Gov felhőhöz

    Tanúsítvány-hitelesítésszolgáltató Lejárat dátuma Sorozatszám/Ujjlenyomat Letöltés
    DigiCert globális gyökér CA 2031. nov. 10. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Alapszintű RSA CN CA G2 2030. már. 4. 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Miért van erre szükség?

    Lásd: TLS 1.2 szabványdokumentáció – 7.4.2. szakasz – tanúsítványlista.

Miért használnak az Dataverse SSL / TLS tanúsítványok helyettesítő karakteres domaineket?

A helyettesítő SSL / TLS tanúsítványok tervezésűek, mivel több száz szervezeti URL-címnek elérhetőnek kell lennie minden gazdakiszolgálóról. A több száz tulajdonos alternatív nevét (SAN) tartalmazó SSL/TLS tanúsítványok negatív hatással vannak egyes webes kliensekre és böngészőkre. Ez egy infrastruktúra-korlátozás, amely a szolgáltatott szoftver (SAAS) ajánlat jellegén alapul, amely több ügyfélszervezetet üzemeltet megosztott infrastruktúrán.

Kapcsolódó információk

Csatlakozás az Exchange Server (on-premises) szolgáltatáshoz
Dynamics 365 szerveroldali szinkronizálás
Exchange-kiszolgáló TLS-irányelvei
Titkosítási csomagok a TLS/SSL protokollban (Schannel SSP)
Transport Layer Security (TLS) kezelése
A TLS 1.2 engedélyezése