Deli putem

Programski paketi za šifrovanje na serveru i zahtevi za TLS

  • Članak

Paket šifara je skup kriptografskih algoritama. Ovo se koristi za šifrovanje poruka između klijenata/servera i drugih servera. Dataverse koristi najnovije TLS 1.2 pakete šifrovanja kao što je odobrio Microsoft Crypto Board.

Pre nego što se uspostavi sigurna veza, protokol i šifra se dogovaraju između servera i klijenta na osnovu raspoloživosti na obe strane.

Možete da koristite lokalne servere da biste se integrisali sa sledećim Dataverse uslugama:

  1. Sinhronizacija e-pošte sa Exchange servera.
  2. Pokretanje izlaznih dodatnih komponenti.
  3. Pokretanje izvornih/lokalnih klijenata za pristup okruženjima.

Da biste se pridržavali naših bezbednosnih smernica za obezbeđenu vezu, vaš server mora imati sledeće:

  1. Usaglašenost sa protokolom Layer Security (TLS) 1.2

  2. Barem jednu od sledećih šifara:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Važno

    Stariji TLS 1.0 & 1.1 i apartmani sa šifrom, (na primer TLS_RSA) su zastareli; pogledajte obaveštenje. Vaši serveri moraju imati gorenavedeni sigurnosni protokol da bi nastavili da pokreću Dataverse usluge.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 i TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 mogu da se pokažu slabim kada uradite test SSL izveštaja. Do toga je došlo zbog poznatih napada ka OpenSSL primeni. Dataverse koristi Windows primenu koja nije zasnovana na protokolu OpenSSL i zbog toga nije ranjiva.

    Možete da nadogradite Windows verziju ili ažurirate Windows TLS registar kako biste bili sigurni da krajnja tačka servera podržava neko od ovih šifrovanja.

    Da biste proverili da li je server usklađen sa bezbednosnim protokolom, možete da obavite test pomoću TLS šifre i alatke za skeniranje:

    1. Testirajte ime hosta koristeći SSLLABS ili
    2. Skenirajte svoj server koristeći NMAP

  3. Instalirani su sledeći osnovni CA certifikati. Instalirajte samo one koje odgovaraju vašem okruženju u oblaku.

    Za javne/PROIZ

    Autoritet za izdavanje certifikata Datum isteka Serijski broj/Otisak Preuzmite
    DigiCert Global Root G2 15. jan 2038. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15. jan 2038. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017 18. jul 2042. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Root Certificate Authority 2017 18. jul 2042. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Za Ferfaks/Arlington/Oblak Vlade SAD

    Autoritet za izdavanje certifikata Datum isteka Serijski broj/Otisak Preuzmite
    DigiCert Global Root CA 10. nov 2031. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22. sep 2030. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. sep 2030. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Za Munkejk/Galatin/Oblak Vlade Kine

    Autoritet za izdavanje certifikata Datum isteka Serijski broj/Otisak Preuzmite
    DigiCert Global Root CA 10. nov 2031. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4. mart 2030. 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Zašto je ovo potrebno?

    Pogledajte dokumentaciju standarda TLS 1.2 – 7.4.2 – lista certifikata.

Dataverse Zašto SSL/TLS certifikati koriste džoker domene?

Vajldkard SSL/TLS certifikati su dizajnirani pošto stotine URL adresa organizacije moraju biti dostupne sa svakog host servera. SSL/TLS sertifikati sa stotinama alternativnih imena subjekata (SANS) imaju negativan uticaj na neke veb klijente i pregledače. Ovo je infrastrukturno ograničenje zasnovano na prirodi softvera kao ponude usluge (SAAS) koja hostuje više organizacija klijenata na skupu deljene infrastrukture.

Pogledajte i ovo

Povezivanje sa serverom Exchange Server (lokalni)
Sinhronizacija na strani servera za Dynamics 365 Server
TLS smernice za Exchange Server
Paketi šifara u TLS/SSL (Schannel SSP)
Upravaljanje Transport Layer Security (TLS)
Kako se omogućava TLS 1.2