Serverchiffreringsserier og TLS-krav

  • Artikkel

En chiffreringssamling er et sett med kryptografiske algoritmer. Dette brukes til å kryptere meldinger mellom klienter/servere og andre servere. Dataverse bruker de nyeste TLS 1.2-pakkene som er godkjent av Microsoft Crypto Board.

Før du kan opprette en sikker tilkobling forhandles protokollen og chiffreringene mellom server og klient basert på tilgjengelighet på begge sider.

Du kan bruke de lokal serverne til å integrere med følgende Dataverse-tjenester:

  1. Synkronisering av e-postmeldinger fra Exchange-serveren.
  2. Kjøring av utgående plugin-moduler.
  3. Kjøring av opprinnelige/lokale klienter for å få tilgang til miljøene.

Serveren må ha følgende for å overholde sikkerhetspolicyen for en sikker tilkobling:

  1. Samsvar med TLS (Transport Layer Security) 1.2

  2. Minst én av følgende chiffreringer:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Viktig

    Eldre TLS 1.0, 1.1 og chiffreringsserier (for eksempel TLS_RSA) er avskrevet. Se kunngjøringen. Serverne må ha sikkerhetsprotokollen ovenfor for å fortsette å kjøre Dataverse-tjenestene.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 and TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 kan vises som svake når du har utført en SSL-rapporttest. Dette skyldes kjente angrep mot OpenSSL-implementeringen. Dataverse bruker Windows-implementering som ikke er basert på OpenSSL, og som derfor ikke er sårbar.

    Du kan oppgradere Windows-versjonen eller oppdatere Windows TLS-registret for å forsikre deg om at serverendepunktet støtter en av disse chiffreringene.

    Hvis du vil kontrollere at serveren er i samsvar med sikkerhetsprotokollen, kan du utføre en test ved hjelp av TLS-chiffrering og et skannerverktøy:

    1. Test vertsnavnet ved hjelp av SSLLABS, eller
    2. Søk på serveren ved hjelp av NMAP

  3. Følgende rotsertifiseringsinstanssertifikater er installert. Installer bare de som samsvarer med skymiljøet.

    For offentlig/PROD

    Sertifiseringsinstans Utløpsdato Serienummer/avtrykk Last ned
    DigiCert Global Root G2 15. januar 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. januar 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC-rotsertifiseringsinstans 2017 18. juli 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA-rotsertifiseringsinstans 2017 18. juli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    For Fairfax / Arlington / US Gov Cloud

    Sertifiseringsinstans Utløpsdato Serienummer/avtrykk Last ned
    DigiCert Global Root CA 10. november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    Sertifiseringsinstansen DigiCert SHA2 Secure Server 22. september 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. september 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    For Mooncake / Gallatin / China Gov Cloud

    Sertifiseringsinstans Utløpsdato Serienummer/avtrykk Last ned
    DigiCert Global Root CA 10. november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4. mars 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Hvorfor er dette nødvendig?

    Se Dokumentasjon for TLS 1.2-standarder – avsnitt 7.4.2 - sertifikatliste.

Hvorfor bruker Dataverse SSL/TLS-sertifikater jokertegndomene?

SSL/TLS-sertifikater med jokertegn er standard, siden hundrevis av URL-adresser for organisasjonen må være tilgjengelige fra hver vertsserver. SSL/TLS-sertifikater med hundrevis av Subject Alternate Names (SANs) har negativ innvirkning på enkelte webklienter og weblesere. Dette er en infrastrukturbegrensning basert på innholdet i et programvare som tjeneste/tilbud (SAAS), som er vert for flere kundeorganisasjoner på et sett med delt infrastruktur.

Se også

Koble til Exchange Server (on-premises)
Synkronisering på Dynamics 365 Server-side
Veiledning for TLS for Exchanges-server
Chiffreringssamlinger i TLS/SSL (Schannel SSP)
Behandle TLS (Transport Layer Security)
Slik aktiverer du TLS 1.2