Suite de server pentru cifrare și cerințe TLS
O suită de cifrare este un set de algoritmi criptografici. Aceasta este utilizată pentru criptarea mesajelor între clienți/servere și alte servere. Dataverse utilizează cele mai recente suite de criptare TLS 1.2 aprobate de Microsoft Crypto Board.
Înainte de a stabili o conexiune sigură, protocolul și cifrarea sunt negociate între server și client pe baza disponibilității de ambele părți.
Puteți utiliza serverele la sediu/locale pentru a vă integra cu următoarele servicii Dataverse:
- Sincronizarea e-mailurilor de pe serverul dvs. Exchange.
- Rularea pluginurilor de ieșire.
- Rularea clienților nativi/locali pentru a vă accesa mediile.
Pentru a respecta politica noastră de securitate pentru o conexiune sigură, serverul trebuie să aibă următoarele:
Conformitate Cerințe Protocol (TLS) 1.2
Cel puțin una dintre următoarele cifrări:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384Important
TLS 1.0 și amp; 1.1 și suitele de criptare (de exemplu TLS_RSA) au fost depreciate; vezi anunțul. Serverele dvs. trebuie să aibă protocolul de securitate de mai sus pentru a rula în continuare servicii Dataverse.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 și TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 pot apărea ca slabe atunci când ați efectuat un test de raport SSL. Acest lucru se datorează atacurilor cunoscute asupra implementării OpenSSL. Dataverse utilizează implementarea Windows care nu se bazează pe OpenSSL și, prin urmare, nu este vulnerabilă.
Puteți fie să faceți upgrade la Versiunea Windows sau puteți actualiza fișierul Registrul Windows TLS pentru a vă asigura că punctul final al serverului dvs. acceptă unul dintre aceste cifruri.
Pentru a verifica dacă serverul dvs. respectă protocolul de securitate, puteți efectua un test folosind un instrument de scanare și scanare TLS:
Următoarele certificate CA rădăcină sunt instalate. Instalați-le numai pe cele care corespund mediului dvs. cloud.
Pentru Public/PROD
Autoritate de certificare Data expirării Număr de serie/Amprentă Descărcați DigiCert Global Root G2 15-ian-2038 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM DigiCert Global Root G3 15-ian-2038 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM Microsoft Autoritatea de certificare rădăcină ECC 2017 18-iul-2042 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM Microsoft Autoritatea de certificare rădăcină RSA 2017 18-iul-2042 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM Pentru Fairfax/Arlington/US Gov Cloud
Autoritate de certificare Data expirării Număr de serie/Amprentă Descărcați DigiCert Global Root CA 10-nov-2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert SHA2 Secure Server CA 22-sep- 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM DigiCert TLS Hybrid ECC SHA384 2020 CA1 22-sep- 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM Pentru Mooncake/Gallatin/China Gov Cloud
Autoritate de certificare Data expirării Număr de serie/Amprentă Descărcați DigiCert Global Root CA 10-nov-2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert Basic RSA CN CA G2 4-mar-2030 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM De ce este această nevoie?
Consultați Documentația standardelor TLS 1.2 - Secțiunea 7.4.2 - lista de certificate.
De ce Dataverse certificatele SSL/TLS folosesc domenii wildcard?
Certificatele wildcard SSL/TLS sunt prin proiectare, deoarece sute de adrese URL ale organizației trebuie să fie accesibile de pe fiecare server gazdă. Certificatele SSL/TLS cu sute de Subject Alternate Names (SAN) au un impact negativ asupra anumitor clienți web și browsere. Aceasta este o constrângere de infrastructură bazată pe natura unei oferte software ca serviciu (SAAS), care găzduiește mai multe organizații clienți pe un set de infrastructură partajată.
Consultați și
Conectați-vă la Exchange Server (local)
Sincronizare pe partea serverului Dynamics 365
Îndrumări TLS pentru serverul Exchange
Cipher Suites în TLS/SSL (Schannel SSP)
Gestionați transportul strat Securitate (TLS)
Cum să activați TLS 1.2