Kongsi melalui

Suit sifer dan keperluan TLS pelayan

  • Artikel

Suit sifer adalah set algoritma kriptografi. Ini digunakan untuk menyulitkan mesej antara pelanggan/pelayan dan pelayan yang lain. Dataverse menggunakan suit sifer TLS 1.2 terkini sebagaimana yang diluluskan oleh Papan Kriptografi Microsoft.

Sebelum sambungan selamat diwujudkan, protokol dan sifer dirundingkan antara pelayan dan pelanggan berasaskan pada ketersediaan pada kedua-dua pihak.

Anda boleh menggunakan pelayan di premis/tempatan anda untuk mengintegrasikan dengan perkhidmatan Dataverse berikut:

  1. Menyegerakkan e-mel daripada pelayan Exchange anda.
  2. Menjalankan pasang masuk Keluar.
  3. Menjalankan klien tempatan/setempat untuk mencapai persekitaran anda.

Untuk mematuhi dengan polisi keselamatan kami untuk sambungan selamat, pelayan anda mesti mempunyai berikut:

  1. Pematuhan 1.2 Keselamatan Lapisan Pengangkutan (TLS)

  2. Sekurang-kurangnya satu sifer berikut:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Penting

    TLS 1.0 & 1.1 dan suite cipher yang lebih lama, (contohnya TLS_RSA) telah ditamatkan; Lihat pengumuman. Pelayan anda mesti mempunyai protokol keselamatan di atas untuk terus menjalankan perkhidmatan Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 dan TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 mungkin kelihatan lemah apabila anda melakukan ujian laporan SSL. Ini disebabkan oleh serangan yang diketahui terhadap pelaksanaan OpenSSL. Dataverse menggunakan pelaksanaan Windows yang tidak berdasarkan OpenSSL dan tidak terdedah oleh sebab itu.

    Anda boleh sama ada menaik taraf versi Windows atau mengemas kini daftaran Windows TLS untuk memastikan bahawa titik tamat pelayan anda menyokong salah satu sifer ini.

    Untuk mengesahkan bahawa pelayan anda mematuhi protokol keselamatan, anda boleh melakukan pengujian menggunakan alat sifer dan pengimbas TLS:

    1. Uji nama hos anda menggunakanSSLLABS atau
    2. Imbas pelayan anda menggunakan NMAP

  3. Sijil CA Akar berikut telah dipasang. Pasang hanya yang sepadan dengan persekitaran awan anda.

    Untuk Awam/PROD

    Pihak Berkuasa Sijil Tarikh tamat tempoh Nombor Siri/Cap Ibu Jari Muat turun
    Akar Sejagat DigiCert G2 15 Jan 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    Akar Sejagat DigiCert G3 15 Jan 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Pihak Berkuasa Sijil Akar ECC Microsoft 2017 18 Jul 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Pihak Berkuasa Sijil Akar RSA Microsoft 2017 18 Jul 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Untuk Fairfax/Arlington/Awan Kerajaan AS

    Pihak Berkuasa Sijil Tarikh tamat tempoh Nombor Siri/Cap Ibu Jari Muat turun
    CA Akar Sejagat DigiCert 10 Nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    CA Pelayan Keselamatan SHA2 DigiCert 22 Sep 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hibrid ECC SHA384 2020 CA1 22 Sep 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Untuk Mooncake/Gallatin/Awan Kerajaan China

    Pihak Berkuasa Sijil Tarikh tamat tempoh Nombor Siri/Cap Ibu Jari Muat turun
    CA Akar Sejagat DigiCert 10 Nov 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Asas RSA CN CA G2 4 Mar 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Mengapakah perkara ini diperlukan?

    Lihat Dokumentasi Piawai TLS 1.2 - Seksyen 7.4.2 - senarai sijil.

Dataverse Mengapa sijil SSL/TLS menggunakan domain kad bebas?

Sijil Wildcard SSL/TLS adalah mengikut reka bentuk kerana beratus-ratus URL organisasi mesti boleh diakses dari setiap pelayan hos. Sijil SSL / TLS dengan beratus-ratus Nama Alternatif Subjek (SANs) mempunyai kesan negatif terhadap beberapa pelanggan web dan penyemak imbas. Ini adalah kekangan infrastruktur berdasarkan sifat perisian sebagai penawaran perkhidmatan (SAAS), yang menjadi tuan rumah pelbagai organisasi pelanggan pada satu set infrastruktur bersama.

Lihat juga

Sambungkan ke Exchange Server (on-premises)
Segerak bahagian Dynamics 365 Server
Panduan Exchange server TLS
Suit Sifer dalam TLS/SSL (Schannel SSP)
Mengurus Keselamatan Lapisan Pengangkutan (TLS)
Cara mendayakan TLS 1.2