Комплекты шифров сервера и требования протокола TLS
Комплект шифров представляет собой набор криптографических алгоритмов. Это используется для шифрования сообщений между клиентами/серверами и другими серверами. Dataverse использует последние пакеты шифров TLS 1.2, одобренные Microsoft Crypto Board.
Перед установлением безопасного соединения протокол и шифр согласовываются между сервером и клиентом на основе доступности с обеих сторон.
Вы можете использовать свои локальные серверы для интеграции со следующими службами Dataverse:
- Синхронизация электронной почты с вашего сервера Exchange.
- Запуск исходящих подключаемых модулей.
- Запуск собственных/локальных клиентов для доступа к вашей среде.
Чтобы соответствовать нашей политике безопасности для безопасного соединения, ваш сервер должен иметь следующее:
Соответствие требованиям протокола TLS 1.2
По крайней мере один из следующих шифров:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384Внимание
Старые TLS 1.0 и 1.1 и наборы шифров (например, TLS_RSA) устарели; см. объявление. У ваших серверов должен быть указанный выше протокол безопасности, чтобы продолжить выполнение служб Dataverse.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 и TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 могут отображаться как слабые при выполнении проверки отчета SSL. Это связано с известными атаками на реализацию OpenSSL. Dataverse использует реализацию Windows, которая не основана на OpenSSL и поэтому не подвержена этой уязвимости.
Вы можете либо обновить версию Windows или обновить реестр Windows TLS, гарантировать, что конечная точка вашего сервера поддерживает один из этих шифров.
Чтобы убедиться, что ваш сервер соответствует протоколу безопасности, вы можете выполнить тест с помощью средства шифрования и сканирования TLS:
Установлены следующие корневые сертификаты ЦС. Устанавливайте только те, которые соответствуют вашей облачной среде.
Для общедоступных/производственных
Центр сертификации Дата окончания срока действия Серийный номер/отпечаток Загрузка DigiCert Global Root G2 15 января 2038 г. 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM DigiCert Global Root G3 15 января 2038 г. 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM Корневой центр сертификации Microsoft ECC 2017 18 июля 2042 г. 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM Корневой центр сертификации Microsoft RSA 2017 18 июля 2042 г. 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM Для Fairfax/Arlington/US Gov Cloud
Центр сертификации Дата окончания срока действия Серийный номер/отпечаток Загрузка DigiCert Global Root CA 10 ноября 2031 г. 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM Центр сертификации DigiCert SHA2 Secure Server 22 сентября 2030 г. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 сентября 2030 г. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM Для Mooncake/Gallatin/China Gov Cloud
Центр сертификации Дата окончания срока действия Серийный номер/отпечаток Загрузка DigiCert Global Root CA 10 ноября 2031 г. 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert Basic RSA CN CA G2 4 марта 2030 г. 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM Почему это требуется?
См. Документация по стандартам TLS 1.2 — раздел 7.4.2 — список сертификатов.
Почему сертификаты Dataverse SSL/TLS используют подстановочные домены?
Подстановочные сертификаты SSL/TLS необходимы, поскольку с каждого хост-сервера должны быть доступны сотни URL-адресов организации. Сертификаты SSL/TLS с сотнями альтернативных имен субъектов (SAN) негативно влияют на работу некоторых веб-клиентов и браузеров. Это инфраструктурное ограничение, основанное на характере предложения «программное обеспечение как услуга» (SAAS), в рамках которого размещаются несколько клиентских организаций в наборе общей инфраструктуры.
См. также
Подключение к локальному серверу Exchange Server
Синхронизации на стороне сервера Dynamics 365 Server
Руководство по TLS для сервера Exchange
Комплекты шифров в TLS/SSL (Schannel SSP)
Управление протоколом TLS
Как включить TLS 1.2