Zdieľať cez

Požiadavky balíkov šifrovania a protokolu TLS v rámci servera

  • Článok

Balík šifrovania je množina kryptografických algoritmov. Používa sa na šifrovanie správ medzi klientmi/servermi a inými servermi. Dataverse používa najnovšie šifrovacie súpravy TLS 1.2 schválené Microsoft Crypto Board.

Pred vytvorením bezpečného pripojenia si server s klientom dohodnú protokol a šifru na základe dostupnosti na oboch stranách.

Svoje lokálne/miestne servery môžete použiť na integráciu s nasledujúcimi službami Dataverse:

  1. Synchronizácia e-mailov zo servera Exchange.
  2. Spúšťanie odchádzajúcich doplnkov.
  3. Spustenie natívnych/miestnych klientov na prístup k vašim prostrediam.

Na zabezpečenie súladu s našimi bezpečnostnými zásadami týkajúcimi sa zabezpečeného pripojenia musí mať váš server toto:

  1. Súlad protokolu TLS 1.2 (Transport Layer Security)

  2. Aspoň jednu z týchto šifier:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Dôležité

    Staršie TLS 1.0 & 1.1 a šifrovacie sady (napríklad TLS_RSA) boli zastarané; pozri oznámenie. Vaše servery musia mať vyššie uvedený bezpečnostný protokol, aby mohli naďalej spúšťať služby Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 a TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 sa môžu po vykonaní testu správy SSL javiť ako slabé. Je to kvôli známym útokom na implementáciu OpenSSL. Dataverse používa implementáciu Windows, ktorá nie je založená na OpenSSL, a preto nie je zraniteľná.

    Môžete buď inovovať verziu Windows, alebo aktualizovať Register Windows TLS, aby ste sa uistili, že váš koncový bod servera podporuje jednu z týchto šifier.

    Ak chcete overiť, či váš server vyhovuje bezpečnostnému protokolu, môžete vykonať test pomocou šifrovacieho a skenovacieho nástroja:.

    1. Otestujte si svoj názov hostiteľa pomocou SSLLABS alebo
    2. Naskenujte svoj server pomocou NMAP

  3. Nainštalované nasledujúce certifikáty koreňovej CA. Inštalujte len tie, ktoré zodpovedajú vášmu cloudovému prostrediu.

    Pre verejnosť/PROD

    Certifikačná autorita Dátum vypršania Sériové číslo/otlačok Prevziať
    DigiCert Global Root G2 15. januára 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. januára 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft Koreňová certifikačná autorita ECC 2017 18. júla 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017 18. júla 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Pre Fairfax/Arlington/US Gov Cloud

    Certifikačná autorita Dátum vypršania Sériové číslo/otlačok Prevziať
    DigiCert Global Root CA 10. novembra 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22. septembra 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. septembra 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Pre Mooncake/Gallatin/China Gov Cloud

    Certifikačná autorita Dátum vypršania Sériové číslo/otlačok Prevziať
    DigiCert Global Root CA 10. novembra 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4. marca 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Prečo je táto potreba?

    Pozrite si Dokumentácia štandardov TLS 1.2 – časť 7.4.2 - zoznam certifikátov.

Prečo Dataverse certifikáty SSL/TLS používajú zástupné domény?

Zástupné certifikáty SSL/TLS sú zámerné, pretože z každého hostiteľského servera musia byť dostupné stovky adries URL organizácií. SSL/TLS certifikáty so stovkami Subject Alternate Names (SAN) majú negatívny vplyv na niektorých webových klientov a prehliadače. Ide o infraštruktúrne obmedzenie založené na povahe ponuky softvéru ako služby (SAAS), ktorá je hostiteľom viacerých zákazníckych organizácií na množine zdieľanej infraštruktúry.

Pozrite si tiež

Pripojte sa k serveru Exchange (lokálny)
Dynamics 365 synchronizácia na strane servera
Pokyny TLS servera Exchange
Cipher Suites v TLS/SSL (Schannel SSP)
Správa dopravy vrstva Zabezpečenie (TLS)
Ako povoliť TLS 1.2