Requisiti TLS e suite di crittografia del server

  • Articolo

Una suite di cifratura è un insieme di algoritmi crittografici. Viene utilizzata per crittografare i messaggi tra client/server e altri server. Dataverse sta usando le ultime suite di crittografia TLS 1.2 approvate da Microsoft Crypto Board.

Prima che venga stabilita una connessione sicura, il protocollo e il codice vengono negoziati tra server e client in base alla disponibilità su entrambi i lati.

Puoi utilizzare i server locali per l'integrazione con i seguenti servizi Dataverse:

  1. Sincronizzazione dei messaggi e-mail dal server Exchange.
  2. Esecuzione di plug-in in uscita.
  3. Esecuzione di client nativi/locali per accedere all'ambiente.

Per rispettare i criteri di sicurezza per una connessione sicura, il tuo server deve avere quanto segue:

  1. Conformità di Transport Layer Security (TLS) 1.2

  2. Almeno uno dei seguenti codici:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Importante

    TLS 1.0 e 1.1 e le suite di crittografia meno recenti (ad esempio TLS_RSA) sono stati deprecati; vedi l'annuncio. I server devono disporre del protocollo di sicurezza di cui sopra per continuare a eseguire i servizi Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 potrebbe risultare debole quando hai eseguito un test del report SSL. Ciò è dovuto a noti attacchi all'implementazione di OpenSSL. Dataverse utilizza l'implementazione di Windows che non è basata su OpenSSL e quindi non è vulnerabile.

    Puoi aggiornare la versione di Windows o aggiornare il registro TLS di Windows per assicurarti che l'endpoint del server supporti una di queste crittografie.

    Per verificare che il server sia conforme al protocollo di sicurezza, puoi eseguire un test utilizzando uno strumento di scansione e crittografia TLS:

    1. Prova il tuo nome host usando SSLLABS o
    2. Scansiona il tuo server usando NMAP

  3. I seguenti certificati CA radice sono installati. Installa solo quelli che corrispondono al tuo ambiente cloud.

    Per pubblico/PRODUZIONE

    Autorità di certificazione Data di scadenza Numero di serie/identificazione personale Scarica
    DigiCert Global Root G2 15 gennaio 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 gennaio 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Autorità di certificazione radice Microsoft ECC 2017 18 luglio 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Autorità di certificazione radice Microsoft RSA 2017 18 luglio 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Per Fairfax/Arlington/US Gov Cloud

    Autorità di certificazione Data di scadenza Numero di serie/identificazione personale Scarica
    DigiCert Global Root CA 10 novembre 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 settembre 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 settembre 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Per Mooncake/Gallatin/Cina Gov Cloud

    Autorità di certificazione Data di scadenza Numero di serie/identificazione personale Scarica
    DigiCert Global Root CA 10 novembre 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 marzo 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Perché è necessario?

    Vedi Documentazione sugli standard TLS 1.2 - Sezione 7.4.2 - elenco dei certificati.

Perchè i certificati SSL/TLS di Dataverse utilizzano domini con caratteri jolly?

I certificati SSL/TLS con caratteri jolly sono progettati poiché centinaia di URL dell'organizzazione devono essere accessibili da ciascun server host. I certificati SSL/TLS con centinaia di nomi alternativi soggetto (SAN) hanno un impatto negativo su alcuni client Web e Web browser. Si tratta di un vincolo infrastrutturale basato sulla natura di un'offerta software come un servizio (SAAS), che ospita più organizzazioni di clienti in un set di infrastruttura condivisa.

Vedi anche

Connettersi a Exchange Server (locale)
Sincronizzazione lato server Dynamics 365 Server
Linee guida TLS per server Exchange
Suite di cifratura in TLS/SSL (Schannel SSP)
Gestione di Transport Layer Security (TLS)
Come abilitare TLS 1.2