Делите путем

Програмски пакети за шифровање на серверу и захтеви за TLS

  • Чланак

Пакет шифара је скуп криптографских алгоритама. Ово се користи за шифровање порука између клијената/сервера и других сервера. Dataverse користи најновије ТЛС 1.2 шифре пакете као што је одобрено од стране Microsoft Црипто Боард.

Пре него што се успостави сигурна веза, протокол и шифра се договарају између сервера и клијента на основу расположивости на обе стране.

Можете да користите локалне сервере да бисте се интегрисали са следећим Dataverse услугама:

  1. Синхронизација е-поште са Exchange сервера.
  2. Покретање излазних додатних компоненти.
  3. Покретање изворних/локалних клијената за приступ окружењима.

Да бисте се придржавали наших безбедносних смерница за обезбеђену везу, ваш сервер мора имати следеће:

  1. Усаглашеност са протоколом Layer Security (TLS) 1.2

  2. Барем једну од следећих шифара:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Важно

    Старији ТЛС 1.0 и 1.1 и пакети за шифровање (на пример ТЛС_РСА) су застарели; Погледајте најаву. Ваши сервери морају имати горенаведени сигурносни протокол да би наставили да покрећу Dataverse услуге.

    ТЛС_ЕЦДХЕ_РСА_WИТХ_АЕС_128 _ЦБЦ_SHA256 и ТЛС_ЕЦДХЕ_РСА_WИТХ_АЕС_256_ЦБЦ_SHA384 могу се појавити као слаби када сте извршили тест ССЛ извештаја. До тога је дошло због познатих напада ка OpenSSL примени. Dataverse користи Windows примену која није заснована на протоколу OpenSSL и због тога није рањива.

    Можете да надоградите Windows верзију или ажурирате Windows TLS регистар како бисте били сигурни да крајња тачка сервера подржава неко од ових шифровања.

    Да бисте проверили да ли је сервер усклађен са безбедносним протоколом, можете да обавите тест помоћу TLS шифре и алатке за скенирање.

    1. Тестирајте име хоста користећи SSLLABS или
    2. Скенирајте свој сервер користећи NMAP

  3. Инсталирани су следећи основни CA цертификати. Инсталирајте само оне које одговарају вашем окружењу у облаку.

    За јавност / ПРОД

    Ауторитет за издавање цертификата Датум истека Серијски број/Отисак Преузмите
    DigiCert Global Root G2 15. јан 2038. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 ПЕМ
    DigiCert Global Root G3 15. јан 2038. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 ПЕМ
    Microsoft ЕЦЦ Роот Сертификат ауторитет 2017 18. јул 2042. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 ПЕМ
    Microsoft РСА Роот Цертифицате Аутхоритy 2017 18. јул 2042. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 ПЕМ

    За Фаирфак / Арлингтон / УС Гов Цлоуд

    Ауторитет за издавање цертификата Датум истека Серијски број/Отисак Преузмите
    DigiCert Global Root CA 10. нов 2031. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 ПЕМ
    DigiCert SHA2 Secure Server CA 22. сеп 2030. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 ПЕМ
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. сеп 2030. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 ПЕМ

    За Моонцаке / Галлатин / Цхина Гов Цлоуд

    Ауторитет за издавање цертификата Датум истека Серијски број/Отисак Преузмите
    DigiCert Global Root CA 10. нов 2031. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 ПЕМ
    DigiCert Basic RSA CN CA G2 4. март 2030. 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 ПЕМ

    Зашто је то потребно?

    Погледајте документацију стандарда TLS 1.2 – 7.4.2 – листа цертификата.

Зашто Dataverse ССЛ / ТЛС сертификати користе џокере домене?

Џокер ССЛ / ТЛС сертификати су по дизајну, јер стотине УРЛ-ова организације морају бити доступне са сваког хост сервера. ССЛ / ТЛС сертификати са стотинама алтернативних имена предмета (САН) имају негативан утицај на неке веб клијенте и претраживаче. Ово је инфраструктурно ограничење засновано на природи софтвера као услуге (СААС) понуде, која хостује више корисничких организација на скупу заједничке инфраструктуре.

Погледајте и

Повежите се са Екцханге Сервером (локални)
Дyнамицс 365 Синхронизација на серверу
Екцханге сервер ТЛС смернице
Ципхер Суитес у ТЛС / ССЛ (Сцханнел ССП)
Управљање безбедношћу транспорта слој (ТЛС)
Како омогућити ТЛС 1.2