Zahteve za šifrirne zbirke in TLS za strežnike

Šifrirna zbirka je niz kriptografskih algoritmov. Uporablja se za šifriranje sporočil med odjemalci/strežniki in drugimi strežniki. Dataverse uporablja najnovejša šifrirna paketa TLS 1.3 in 1.2, ki jih je odobril Microsoft Crypto Board.

Pred vzpostavitvijo varne povezave se za protokol in šifro dogovori med strežnikom in odjemalcem na podlagi razpoložljivosti na obeh straneh.

Svoje strežnike na mestu uporabe/lokalne strežnike lahko uporabite za integracijo z naslednjimi storitvami Dataverse:

  1. Sinhronizacija e-poštnih sporočil iz strežnika Exchange.
  2. Izvajanje odhodnih vtičnikov.
  3. Zagon izvornih/lokalnih odjemalcev za dostop do vaših okolij.

Če želite upoštevati naš varnostni pravilnik za varno povezavo, mora imeti vaš strežnik naslednje:

  1. Skladnost s protokolom TLS (Transport Layer Security) 1.3/1.2

  2. Vsaj eno od naslednjih šifer:

    • Šifre TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256

    • Šifre TLS 1.2:

      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Pomembno

    Starejši TLS 1.0 in 1.1 ter šifrirni paketi (na primer TLS_RSA) so zastareli; glejte objavo. Vaši strežniki morajo imeti zgoraj naveden varnostni protokol, da lahko še naprej izvajajo storitve Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 in TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 se lahko prikažeta kot šibka, ko izvedete test poročila SSL. To je posledica znanih napadov na implementacijo OpenSSL. Dataverse uporablja implementacijo sistema Windows, ki ne temelji na OpenSSL in zato ni ranljiva.

    Lahko nadgradite različico sistema Windows ali posodobite register TLS sistema Windows, da zagotovite, da končna točka strežnika podpira eno od teh šifer.

    Če želite preveriti, ali strežnik deluje v skladu z varnostnim protokolom, lahko izvedete preizkus z uporabo šifre TLS in orodja za pregledovanje:

    1. Preizkusite ime gostitelja z uporabo SSLLABS ali
    2. Skenirajte svoj strežnik z NMAP

  3. Nameščena so naslednja potrdila korenskega CA. Namestite le tiste, ki ustrezajo vašemu okolju v oblaku.

    Za javnost/PROD

    Pooblastilo za potrdilo Datum poteka Serijska številka/razpoznavni odtis Prenos
    DigiCert Global Root G2 15 jan 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    Globalni koren DigiCert G3 15 jan, 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017 18 jul, 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017 18 jul, 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Za Fairfax/Arlington/US Gov Cloud

    Pooblastilo za potrdilo Datum poteka Serijska številka/razpoznavni odtis Prenos
    Globalni korenski certifikacijski certifikat DigiCert 10 nov, 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    Certifikacijski certifikat varnega strežnika DigiCert SHA2 22 sept, 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    Hibridni ECC DigiCert TLS SHA384 2020 CA1 22 sept, 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Za Mooncake/Gallatin/China Gov Cloud

    Pooblastilo za potrdilo Datum poteka Serijska številka/razpoznavni odtis Prenos
    Globalni korenski certifikacijski certifikat DigiCert 10 nov, 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 mar, 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Zakaj je ta potreba?

    Glejte Protokol TLS (Transport Layer Security) različice 1.3 in Dokumentacijo standardov TLS 1.2 - razdelek 7.4.2 - seznam-potrdil.

Zakaj Dataverse potrdila SSL/TLS uporabljajo domene z nadomestnimi znaki?

Potrdila SSL/TLS z nadomestnimi znaki so zasnovana tako, da morajo biti z vsakega gostiteljskega strežnika dostopne stotine URL-jev organizacij. Potrdila SSL/TLS s stotinami nadomestnih imen subjektov (SAN) negativno vplivajo na nekatere spletne odjemalce in brskalnike. To je infrastrukturna omejitev, ki temelji na naravi ponudbe programske opreme kot storitve (SAAS), ki gosti več strankinih organizacij na skupni infrastrukturi.

Glejte tudi

Povezava s strežnikom Exchange (na mestu uporabe)
Sinhronizacija na strani strežnika v storitvi Dynamics 365
Navodila za TLS strežnika Exchange
Šifrirni paketi v TLS/SSL (Schannel SSP)
Upravljanje varnosti transportnega sloja (TLS)
IETF Datatracker za standarde TLS.

  • Last updated on