Delen via

Suite met coderingsmethoden voor servers en TLS-vereisten

  • Artikel

Een suite met coderingsmethoden is een set cryptografische algoritmen. Deze suite wordt gebruikt om berichten tussen clients/servers en andere servers te versleutelen. Dataverse gebruikt de nieuwste TLS 1.2-coderingssuites zoals goedgekeurd door Microsoft Crypto Board.

Voordat er een veilige verbinding tot stand wordt gebracht, wordt het protocol en de coderingsmethoden overeengekomen tussen server en client op basis van beschikbaarheid aan beide kanten.

U kunt uw on-premises/lokale servers gebruiken om te integreren met het volgende Dataverse-services:

  1. E-mails synchroniseren vanaf uw Exchange-server.
  2. Uitgaande invoegtoepassingen uitvoeren.
  3. Met native/lokale clients toegang tot uw omgevingen krijgen.

Uw server moet over de volgende coderingsmethoden beschikken om aan ons beveiligingsbeleid voor een veilige verbinding te voldoen:

  1. Naleving van TLS 1.2 (Transport Layer Security)

  2. Ten minste beschikken over een van de volgende coderingsmethoden:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Belangrijk

    Oudere TLS 1.0 en 1.1 en coderingssuites (bijvoorbeeld TLS_RSA) zijn afgeschaft. Zie de aankondiging. Uw servers moeten het bovenstaande beveiligingsprotocol hebben om de Dataverse-services te kunnen blijven uitvoeren.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 en TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 kunnen als zwak worden weergegeven wanneer u een SSL-rapporttest hebt uitgevoerd. Dit komt door bekende aanvallen op de implementatie van OpenSSL. Dataverse maakt gebruik van een Windows-implementatie die niet is gebaseerd op OpenSSL en is daarom niet kwetsbaar.

    U kunt de Windows-versie upgraden of het Windows TLS-register bijwerken om ervoor te zorgen dat uw servereindpunt een van deze coderingen ondersteunt.

    Om te controleren of uw server voldoet aan het beveiligingsprotocol, kunt u een test uitvoeren met een TLS-codering en scannertool:

    1. Test uw hostnaam met SSLLABS, of
    2. Scan uw server met NMAP

  3. De volgende CA-basiscertificaten worden geïnstalleerd. Installeer alleen diegene die overeenkomen met uw cloudomgeving.

    For Openbaar/PROD

    Certificeringsinstantie Vervaldatum Serienummer/vingerafdruk Downloaden
    DigiCert Global Root G2 15 januari 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 januari 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017 18 juli 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017 18 juli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Voor Fairfax/Arlington/US Gov Cloud:

    Certificeringsinstantie Vervaldatum Serienummer/vingerafdruk Downloaden
    DigiCert Global Root CA 10 november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 september 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 september 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Voor Mooncake/Gallatin/China Gov Cloud

    Certificeringsinstantie Vervaldatum Serienummer/vingerafdruk Downloaden
    DigiCert Global Root CA 10 november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 maart 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Waarom is dit nodig?

    Zie de Standaardocumentatie over TLS 1.2 - Sectie 7.4.2 - certificaatlijst.

Waarom maken Dataverse-SSL/TLS-certificaten gebruik van wildcard-domeinen?

Wildcard-SSL/TLS-certificaten zijn standaard omdat honderden organisatie-URL's toegankelijk moeten zijn vanaf elke hostserver. SSL/TLS-certificaten met honderden Subject Alternate Names (SAN's) hebben een negatieve invloed op sommige webclients en browsers. Dit is een infrastructuurbeperking die is gebaseerd op de aard van een SaaS-aanbod (Software-as-a-Service), dat meerdere klantorganisaties host op een set gedeelde infrastructuur.

Zie ook

Verbinding maken met Exchange Server (on-premises)
Synchronisatie aan de kant van Dynamics 365 Server
TLS-richtlijnen voor Exchange-server TLS
Suite met coderingsmethoden in TLS/SSL (Schannel SSP)
TLS (Transport Layer Security beheren)
TLS 1.2 inschakelen