Chia sẻ qua

Bộ mật mã máy chủ và yêu cầu TLS

  • Bài viết

Một bộ mật mã là một tập hợp các thuật toán mã hóa. Bộ mật mã này được dùng để mã hóa các tin nhắn giữa các khách hàng/máy chủ với các máy chủ khác. Dataverse đang sử dụng bộ mã hóa TLS 1.2 mới nhất được Hội đồng mật mã chấp thuận. Microsoft

Trước khi bạn thiết lập kết nối an toàn, giao thức và mật mã được thỏa thuận giữa máy chủ và máy khách dựa trên tính khả dụng của cả hai bên.

Bạn có thể sử dụng máy chủ tại chỗ/cục bộ để tích hợp với các dịch vụ Dataverse sau:

  1. Đồng bộ email từ máy chủ Exchange của bạn.
  2. Chạy phần bổ trợ ngoài.
  3. Chạy máy khách gốc/cục bộ để truy cập vào các môi trường của bạn.

Để tuân thủ chính sách bảo mật của chúng tôi đối với kết nối an toàn, máy chủ của bạn phải đáp ứng những tiêu chí sau:

  1. Tuân thủ Transport Layer Security (TLS) 1.2

  2. Ít nhất một trong các mật mã sau:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Quan trọng

    Các phiên bản TLS 1.0 & 1.1 cũ hơn và các bộ mã hóa (ví dụ TLS_RSA) đã không còn được sử dụng nữa; hãy xem thông báo. Máy chủ của bạn phải có giao thức bảo mật trên để tiếp tục chạy các dịch vụ Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 và TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 có thể hiển thị là yếu khi bạn thực hiện kiểm tra báo cáo SSL. Điều này là do các cuộc tấn công đã biết đối với việc triển khai OpenSSL. Dataverse dùng triển khai Windows không dựa trên OpenSSL và do đó không dễ bị tấn công.

    Bạn có thể nâng cấp Phiên bản Windows hoặc cập nhật Sổ đăng ký TLS của Windows để đảm bảo rằng điểm cuối máy chủ của bạn hỗ trợ một trong các mật mã này.

    Để xác minh rằng máy chủ tuân thủ giao thức bảo mật, bạn có thể thực hiện kiểm tra bằng cách sử dụng mật mã TLS và công cụ quét:

    1. Kiểm tra tên máy chủ của bạn bằng cách sử dụng SSLLABS hoặc
    2. Quét máy chủ của bạn bằng NMAP

  3. Đã cài đặt các Chứng chỉ CA gốc sau. Chỉ cài đặt những thứ tương ứng với môi trường đám mây của bạn.

    Dành cho công chúng/PROD

    Cơ quan cấp chứng chỉ Ngày hết hạn Số sê-ri/Vân tay Tải xuống
    DigiCert Gốc toàn cầu G2 Ngày 15 tháng 1 năm 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Gốc toàn cầu G3 Ngày 15 tháng 1 năm 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft Cơ quan cấp chứng chỉ gốc ECC 2017 Ngày 18 tháng 7 năm 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft Cơ quan cấp chứng chỉ gốc RSA 2017 Ngày 18 tháng 7 năm 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Đối với Fairfax/Arlington/US Gov Cloud

    Cơ quan cấp chứng chỉ Ngày hết hạn Số sê-ri/Vân tay Tải xuống
    DigiCert Gốc toàn cầu CA Ngày 10 tháng 11 năm 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    Máy chủ bảo mật DigiCert SHA2 CA Ngày 22 tháng 9 năm 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 Ngày 22 tháng 9 năm 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Đối với Mooncake/Gallatin/China Gov Cloud

    Cơ quan cấp chứng chỉ Ngày hết hạn Số sê-ri/Vân tay Tải xuống
    DigiCert Gốc toàn cầu CA Ngày 10 tháng 11 năm 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 Ngày 4 tháng 3 năm 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Tại sao lại cần điều này?

    Xem Tài liệu tiêu chuẩn TLS 1.2 - Phần 7.4.2 - danh sách chứng chỉ.

Tại sao chứng chỉ SSL/TLS lại sử dụng tên miền đại diện? Dataverse

Chứng chỉ SSL/TLS đại diện được thiết kế để có thể truy cập được hàng trăm URL của tổ chức từ mỗi máy chủ lưu trữ. Chứng chỉ SSL/TLS với hàng trăm Tên thay thế chủ thể (SAN) có tác động tiêu cực đến một số trình duyệt và máy khách web. Đây là một hạn chế về cơ sở hạ tầng dựa trên bản chất của dịch vụ phần mềm (SAAS), lưu trữ nhiều tổ chức khách hàng trên một cơ sở hạ tầng dùng chung.

Xem thêm

Kết nối tới Exchange Server (tại chỗ)
Đồng bộ hóa phía máy chủ Dynamics 365
Hướng dẫn TLS của máy chủ Exchange
Bộ mã hóa trong TLS/SSL (Schannel SSP)
Quản lý vận chuyển tầng Bảo mật (TLS)
Cách bật TLS 1.2