Sunucu şifreleme paketleri ve TLS şartları

  • Makale

Şifre paketi, şifreleme algoritmalarından oluşan bir kümedir. Bu, iletileri istemciler/sunucular ve diğer sunucular arasında şifrelemek için kullanılır. Dataverse, Microsoft Şifreleme Panosu tarafından onaylanan TLS 1.2 şifreleme paketlerini kullanır.

Güvenli bir bağlantı kurulmadan önce, protokol ve şifre, her iki tarafa da uygunluk temel alınarak sunucu ve istemci arasında anlaşılır.

Aşağıdaki Dataverse hizmetleriyle tümleştirme için yerinde/yerel sunucularınızı kullanabilirsiniz:

  1. Exchange sunucunuzdan e-postaları eşitleme.
  2. Giden bağlantı eklentilerini çalıştırma.
  3. Ortamlarınıza erişmek için yerli/yerel istemcileri çalıştırma.

Güvenli bir bağlantı için güvenlik ilkelerimize uymak üzere sunucunuz aşağıdaki özelliklere sahip olmalıdır:

  1. Aktarım Katmanı Güvenliği (TLS) 1.2 uyumluluğu

  2. Aşağıdaki şifrelerden en az biri:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Önemli

    Eski TLS 1.0 ile 1.1 ve şifre paketleri (örneğin TLS_RSA) kullanım dışıdır; duyuruya göz atın. Dataverse hizmetlerini çalıştırmaya devam etmek için sunucularınızda yukarıdaki güvenlik iletişim kuralının olması gerekir.

    SSL raporu testi yaptığınızda TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ve TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 yetersiz görünebilir. Bunun nedeni OpenSSL uygulamasına karşı bilinen saldırılardır. Dataverse, OpenSSL'yi temel almadığından etkilenmeyen bir Windows uygulamasını kullanır.

    Sunucu uç noktanızın bu şifrelerden birini desteklediğinden emin olmak için Windows sürümünü yükseltebilir veya Windows TLS kayıt defteri'ni güncelleştirebilirsiniz.

    Sunucunuzun güvenlik protokolüyle uyumlu olduğunu doğrulamak için TLS şifreleme ve tarayıcı aracı kullanarak test gerçekleştirebilirsiniz:

    1. SSLLABS kullanarak ana bilgisayar adınızı test edin veya
    2. NMAP kullanarak sunucunuzu tarayın

  3. Aşağıdaki Kök CA sertifikaları yüklü. Yalnızca bulut ortamınıza karşılık gelenleri kurun.

    Genel/PROD için

    Sertifika Yetkilisi Son kullanma tarihi Seri Numarası/Parmak izi İndir
    DigiCert Global Root G2 15 Ocak 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 Ocak 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Kök Sertifika Yetkilisi 2017 18 Temmuz 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA Kök Sertifika Yetkilisi 2017 18 Temmuz 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax/Arlington/US Gov Cloud için

    Sertifika Yetkilisi Son kullanma tarihi Seri Numarası/Parmak izi İndir
    DigiCert Global Kök CA 10 Kasım 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 Eylül 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 Eylül 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mooncake/Gallatin/China Gov Cloud için

    Sertifika Yetkilisi Son kullanma tarihi Seri Numarası/Parmak izi İndir
    DigiCert Global Kök CA 10 Kasım 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 Mart 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Bu neden gerekli?

    Bkz. TLS 1.2 Standartları Belgesi - Bölüm 7.4.2 - sertifika listesi.

Dataverse SSL/TLS sertifikaları neden joker karakter etki alanları kullanır?

Joker SSL/TLS sertifikaları tasarım gereğidir çünkü yüzlerce kuruluş URL'sine her ana makine sunucusından erişilebilmelidir. Yüzlerce Nesne Alternatif Adı (SAN) ile SSL/TLS sertifikaları, bazı web istemcileri ve tarayıcıları üzerinde negatif etkiye sahiptir. Bu, hizmet olarak yazılım (SAAS) teklifinin doğasına bağlı bir altyapı kısıtlamasıdır ve paylaşılan altyapılar kümesinde birden fazla müşteri kuruluşu barındırır.

Ayrıca bkz.

Exchange Server'a (yerinde) bağlanma
Dynamics 365 Server tarafı eşitlemesine genel bakış
Exchange Server TLS kılavuzu
TLS/SSL'deki Şifreleme Paketleri (Schannel SSP)
Aktarım Katmanı Güvenliğini (TLS) Yönetme
TLS 1.2 nasıl etkinleştirilir?