サーバー暗号スイートと TLS 要件

  • [アーティクル]

暗号スイート は、暗号アルゴリズムのセットです。 これは、クライアント/サーバーとその他のサーバーとの間でメッセージを暗号化するために使用されます。 Dataverse は、Microsoft Crypto Board の承認を受けた最新の TLS 1.2 暗号スイートを使用しています。

セキュリティで保護された接続が確立される前に、プロトコルと暗号は、両側の利用可能性に基づいてサーバーとクライアントの間でネゴシエートされます。

オンプレミス/ローカル サーバーを使用して、以下の Dataverse サービスと統合できます。

  1. Exchange サーバーからのメールの同期。
  2. アウトバウンド プラグインの実行。
  3. ネイティブ/ローカル クライアントを実行した環境へのアクセス。

セキュリティで保護された接続のためのセキュリティ ポリシーに準拠するために、サーバーには次のものが必要です。

  1. トランスポート層セキュリティ (TLS) 1.2 コンプライアンス

  2. 少なくとも 1 つの暗号。

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    重要

    以前の TLS1.0 および 1.1 と暗号スイート (TLS_RSA など) は非推奨になりました。発表を参照してください。 Dataverse サービスの実行を継続するには、サーバーに上記のセキュリティ プロトコルが必要です。

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256およびTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384は、SSL レポートテストを行った際に、弱いと表示されることがあります。 これは、OpenSSL の実装に対する既知の攻撃によるものです。 Dataverse は、OpenSSL をベースとしない Windows の実装を使用しているため、脆弱性はありません。

    Windows のバージョンをアップグレードするか、Windows TLS レジストリを更新し、サーバー エンドポイントがこれらの暗号の 1 つをサポートしていることを確認します。

    サーバーがセキュリティ プロトコルに準拠していることを確認するには、たとえば TLS 暗号およびスキャナー ツールを使用してテストを実行できます。

    1. SSLLABS を使用してホスト名をテストします、または
    2. NMAP を使用してサーバーをスキャンします

  3. 次のルート CA 証明書がインストールされています。 クラウド環境に対応するもののみをインストールしてください。

    パブリック/PROD の場合

    認証局 有効期限 シリアル番号/サムプリント ダウンロード
    DigiCert グローバル ルート G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert グローバル ルート G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC ルート認証局 2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA ルート認証局 2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax/Arlington/US Gov クラウドの場合

    認証局 有効期限 シリアル番号/サムプリント ダウンロード
    DigiCert グローバル ルート CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 セキュア サーバー CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS ハイブリッド ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mooncake/Gallatin/中国政府クラウド

    認証局 有効期限 シリアル番号/サムプリント ダウンロード
    DigiCert グローバル ルート CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    なぜこれが必要ですか?

    TLS1.2 標準ドキュメント - セクション 7.4.2 - 証明書リストをご覧ください。

Dataverse SSL/TLS 証明書では、なぜワイルドカード ドメインを使用するのですか?

ワイルドカード SSL/TLS 証明書は、各ホスト サーバーから数百の組織 URL にアクセスする必要があるため、設計によるものです。 数百のサブジェクト代替名 (SAN) を持つ SSL/TLS 証明書は、一部の Web クライアントおよびブラウザーに悪影響を及ぼします。 これは、一連の共有インフラストラクチャ上で複数の顧客組織をホストするサービスとしてのソフトウェア (SAAS) オファリングの性質に基づくインフラストラクチャの制約です。

参照

Exchange Server への接続 (オンプレミス)
Dynamics 365 サーバー側の同期
Exchange サーバーの TLS ガイダンス
TLS/SSL (Schannel SSP) の暗号スイート
トランスポート層セキュリティ (TLS) の管理
TLS 1.2 を有効にする方法