Servera šifru komplektu un TLS prasības

Šifra komplekts ir kriptogrāfisku algoritmu kopa. Tas tiek izmantots, lai šifrētu ziņojumus starp klientiem/serveriem un citiem serveriem. Dataverse izmanto jaunākos TLS 1.3 un 1.2 šifrēšanas komplektus, ko apstiprinājis Microsoft Crypto Board.

Lai izveidotu drošu savienojumu, protokols un šifrs tiek apspriesti starp serveri un klientu, pamatojoties uz pieejamību abās pusēs.

Varat izmantot savus lokāloss serverus, lai integrētu ar tālāk minētajiem Dataverse pakalpojumiem:

  1. E-pasta ziņojumu sinhronizēšana no jūsu Exchange servera.
  2. Izejošo spraudņu izpildīšana.
  3. Vietējo/lokālo klientu palaišana, lai piekļūtu savām vidēm.

Lai nodrošinātu atbilstību mūsu drošības politikai par drošu savienojumu, serverim ir jābūt tālāk minētajām īpašībām.

  1. Atbilstība transporta slāņa drošībai (TLS) 1.3/1.2

  2. Vismaz vienam no šiem šifriem:

    • TLS 1.3 šifri:

      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256

    • TLS 1.2 šifri:

      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Svarīgi

    Vecāki TLS 1.0 un 1.1 un šifrēšanas komplekti (piemēram, TLS_RSA) ir novecojuši; skatīt paziņojumu. Jūsu serveriem ir nepieciešams iepriekšminētais drošības protokols, lai turpinātu Dataverse pakalpojumu izpildi.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 un TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 var parādīties kā vāji, veicot SSL atskaites testu. Tas ir saistīts ar zināmajiem draudiem OpenSSL implementēšanas virzienā. Dataverse izmanto Windows implementēšanu, kuras pamatā nav OpenSSL, un tāpēc tas nav ievainojams.

    Varat jaunināt Windows versiju vai atjaunināt Windows TLS reģistru, lai nodrošinātu, ka jūsu servera galapunkts atbalsta kādu no minētajiem šifriem.

    Lai pārbaudītu, vai jūsu serveris atbilst drošības protokolam, varat veikt testu, izmantojot TLS šifru un skenera rīku:

    1. Pārbaudiet savu resursdatora nosaukumu, izmantojot SSLLABS vai
    2. Skenējiet savu serveri, izmantojot NMAP

  3. Instalēti šādi saknes CA sertifikāti. Instalējiet tikai tos, kas atbilst jūsu mākoņvidei.

    Sabiedrībai/PROD

    Sertificējošā iestāde Derīguma beigu datums Sērijas numurs/Nospiedums Lejupielāde
    DigiCert globālā sakne G2 2038. g. 15. janv. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert globālā sakne G3 2038. g. 15. janv. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC saknes sertificēšanas iestāde 2017 2042. g. 18. jūl. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA saknes sertificēšanas iestāde 2017 2042. g. 18. jūl. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax / Arlington / US Gov Cloud

    Sertificējošā iestāde Derīguma beigu datums Sērijas numurs/Nospiedums Lejupielāde
    DigiCert globālā saknes CA 2031. g. 10. nov. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 2030. g. 22. sept. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS hibrīds ECC SHA384 2020 CA1 2030. g. 22. sept. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mēness kūkai / Galatīna / Ķīnas valdības mākonim

    Sertificējošā iestāde Derīguma beigu datums Sērijas numurs/Nospiedums Lejupielāde
    DigiCert globālā saknes CA 2031. g. 10. nov. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 2030. g. 4. marts 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Kāpēc tas ir nepieciešams?

    Skatiet Transport Layer Security (TLS) protokola versijas 1.3 un TLS 1.2 standartu dokumentāciju - sadaļa 7.4.2 - sertifikātu saraksts.

Kāpēc Dataverse SSL/TLS sertifikāti izmanto aizstājējzīmju domēnus?

Aizstājējzīmju SSL/TLS sertifikāti ir izstrādāti, jo simtiem organizācijas URL ir jābūt pieejamiem no katra resursservera. SSL/TLS sertifikāti ar simtiem subjektu alternatīvo nosaukumu (SAN) negatīvi ietekmē dažus tīmekļa klientus un pārlūkprogrammas. Tas ir infrastruktūras ierobežojums, kas balstīts uz programmatūras kā pakalpojuma (SAAS) piedāvājuma raksturu, kas mitina vairākas klientu organizācijas koplietošanas infrastruktūras kopumā.

Skatiet arī:

Savienojuma izveide ar Exchange Server (lokāls)
Dynamics 365 servera puses sinhronizācija
Exchange servera TLS norādījumi
Šifrēšanas komplekti TLS/SSL (Schannel SSP)
Transporta slāņa drošības (TLS) pārvaldība
IETF datu izsekotājs TLS standartiem.

  • Last updated on