Bagikan melalui

Rangkaian cipher server dan persyaratan TLS

  • Artikel

Suite penyandian adalah seperangkat algoritme kriptografi. Ini digunakan untuk mengenkripsi pesan antara klien/server dan server lainnya. Dataverse menggunakan rangkaian sandi TLS 1.2 terbaru seperti yang disetujui oleh Microsoft Crypto Board.

Sebelum sambungan aman dibuat, protokol dan sandi dinegosiasikan antara server dan klien berdasarkan ketersediaan pada kedua sisi.

Anda dapat menggunakan server lokal untuk melakukan integrasi dengan layanan Dataverse berikut:

  1. Menyinkronkan email dari server Exchange.
  2. Menjalankan plug-in Outbound.
  3. Menjalankan klien lokal/asli untuk mengakses lingkungan Anda.

Untuk mematuhi kebijakan keamanan kami untuk sambungan yang aman, server Anda harus memiliki yang berikut:

  1. Kepatuhan Keamanan Lapisan Transportasi (TLS) 1.2

  2. Setidaknya salah satu dari sandi berikut:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Penting

    TLS 1.0 & 1.1 yang lebih lama dan rangkaian sandi, (misalnya TLS_RSA) telah tidak digunakan lagi; Lihat pengumumannya. Server Anda harus memiliki protokol keamanan di atas untuk terus menjalankan layanan Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 dan TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 mungkin muncul sebagai lemah saat Anda melakukan pengujian laporan SSL. Hal ini disebabkan oleh serangan yang diketahui terhadap implementasi OpenSSL. Dataverse menggunakan implementasi Windows yang tidak berdasarkan pada OpenSSL, sehingga tidak rentan.

    Anda dapat meningkatkan versi Windows atau memperbarui registri TLS Windows untuk memastikan titik akhir server Anda mendukung salah satu cipher ini.

    Untuk memastikan server Anda mematuhi protokol keamanan tersebut, lakukan pengujian menggunakan alat pemindai dan cipher TLS:

    1. Uji nama host Anda menggunakan SSLLABS, atau
    2. Memindai server menggunakan NMAP

  3. Sertifikat Root CA berikut terinstal. Instal hanya yang sesuai dengan lingkungan cloud Anda.

    Untuk Publik/PROD

    Otoritas Sertifikat Tanggal kedaluwarsa Nomor Seri/Sidik Jari Unduh
    DigiCert Global Root G2 15 Januari 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 Januari 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft Otoritas Sertifikat Root ECC 2017 18 Juli 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft Otoritas Sertifikat Root RSA 2017 18 Juli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Untuk Fairfax/Arlington/US Gov Cloud

    Otoritas Sertifikat Tanggal kedaluwarsa Nomor Seri/Sidik Jari Unduh
    DigiCert Global Root CA 10 November 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 September 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 September 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Untuk Mooncake/Gallatin/Tiongkok Gov Cloud

    Otoritas Sertifikat Tanggal kedaluwarsa Nomor Seri/Sidik Jari Unduh
    DigiCert Global Root CA 10 November 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 Maret 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Mengapa kebutuhan ini?

    Lihat Dokumentasi Standar TLS 1.2 - Bagian 7.4.2 - daftar sertifikat.

Mengapa Dataverse sertifikat SSL/TLS menggunakan domain wildcard?

Sertifikat SSL/TLS wildcard dirancang karena ratusan URL organisasi harus dapat diakses dari setiap server host. Sertifikat SSL/TLS dengan ratusan Nama Alternatif Subjek (SAN) memiliki dampak negatif pada beberapa klien web dan browser. Ini adalah kendala infrastruktur berdasarkan sifat penawaran perangkat lunak sebagai layanan (SAAS), yang menampung beberapa organisasi pelanggan pada satu set infrastruktur bersama.

Baca juga

Menyambungkan ke Exchange Server (lokal)
Sinkronisasi sisi Server Dynamics 365
Panduan TLS server Exchange
Suite Sandi di TLS/SSL (Schannel SSP)
Kelola Keamanan Lapisan Transportasi (TLS)
Cara mengaktifkan TLS 1.2