Бөлісу құралы:

Сервердің шифрланған мәтінінің жиынтықтары мен TLS талаптары

  • Мақала

Шифрланған мәтін жинақтары криптографиялық алгоритмдердің жиынтығы болып табылады. Бұл клиенттер/серверлер және басқа серверлер арасындағы хабарларды шифрлау үшін пайдаланылады. Dataverse Криптографиялық кеңес бекіткен ең соңғы Microsoft TLS 1.2 шифр жинақтарын пайдалануда.

Қауіпсіз байланыс орнатылмас бұрын, протокол мен шифр сервер мен клиент арасында екі жақтың қол жетімділігі негізінде келісіледі.

Жергілікті серверлеріңізді келесі Dataverse қызметтерімен біріктіру үшін пайдалана аласыз:

  1. Exchange серверінен электрондық поштаны синхрондау.
  2. Outbound қосылатын модульдерін іске қосу.
  3. Орталарға қатынасу үшін жергілікті клиенттерді іске қосу.

Қауіпсіз байланыс үшін қауіпсіздік саясатына сәйкес болу үшін сіздің серверіңізде мыналар болуы керек:

  1. Транспорт деңгейі қауіпсіздігі (TLS) 1.2 сәйкестігі

  2. Келесі шифрлардың кем дегенде біреуі:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Маңызды

    Ескі TLS 1.0 & 1.1 және шифр жинақтары (мысалы, TLS_RSA) ескірген; хабарландыруды қараңыз. Dataverse қызметтерін іске қосуды жалғастыру үшін серверлеріңізде жоғарыда көрсетілген қауіпсіздік протоколы болуы керек.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 және TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 SSL есеп сынағын орындаған кезде әлсіз болып көрінуі мүмкін. Бұл OpenSSL енгізуге бағытталған белгілі шабуылдарға байланысты. Dataverse OpenSSL элементіне негізделмеген Windows енгізуін пайдаланады, сондықтан оларға қауіп төнбеуі мүмкін.

    Осы шифрлардың біріне сервердің соңы нүктесі қолдау көрсететініне көз жеткізу үшін Windows нұсқасын немесе Windows TLS тізбесін жаңартуға болады.

    Серверіңіздің қауіпсіздік протоколымен сәйкестігін тексеру үшін TLS шифры мен сканер құралы арқылы тексеру жүргізуге болады:

    1. Хост атыңызды SSLLABS арқылы тексеріңіз немесе
    2. Серверіңізді NMAP арқылы сканерлеңіз

  3. Келесі түбірлік CA сертификаттары орнатылған. Бұлттық ортаңызға сәйкес келетін сертфикаттарды ғана орнатыңыз.

    Қоғамдық/PROD үшін

    Сертификаттау орталығы Мерзімі аяқталу күні Сериялық нөмірі/саусақ ізі Жүктеу
    DigiCert Global Root G2 15 қаңтар, 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 қаңтар, 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017 18 шілде, 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017 18 шілде, 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax/Arlington/US Gov Cloud үшін

    Сертификаттау орталығы Мерзімі аяқталу күні Сериялық нөмірі/саусақ ізі Жүктеу
    DigiCert Global Root CA 10 қараша, 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 қыркүйек, 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 қыркүйек, 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mooncake/Gallatin/China Gov Cloud үшін

    Сертификаттау орталығы Мерзімі аяқталу күні Сериялық нөмірі/саусақ ізі Жүктеу
    DigiCert Global Root CA 10 қараша, 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 наурыз, 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Бұл неліктен қажет?

    See TLS 1.2 стандарттар құжаттамасы - 7.4.2 бөлім - сертификаттар тізімі.

Неліктен Dataverse SSL/TLS сертификаттары қойылмалы таңба домендерін пайдаланады?

Қойылмалы таңба SSL/TLS сертификаттары дизайн бойынша жасалған, себебі жүздеген ұйымның URL мекенжайлары әрбір хост серверінен қолжетімді болуы керек. Жүздеген Subject Alternate Names (SANs) бар SSL/TLS сертификаттары кейбір веб-клиенттер мен браузерлерге теріс әсер етеді. Бұл ортақ инфрақұрылым жиынтығында бірнеше тұтынушы ұйымдарын орналастыратын қызмет ретінде бағдарламалық қамтамасыз ету (SAAS) ұсынысының сипатына негізделген инфрақұрылымдық шектеу.

Келесіні де қараңыз:

Exchange серверіне қосылу (жергілікті)
Dynamics 365 сервер жағында синхрондау
Exchange серверінің TLS нұсқаулығы
TLS/SSL (Schannel SSP) ішіндегі Cipher Suites
Көлікті басқару қабат Қауіпсіздігі (TLS)
TLS 1.2 қалай қосуға болады