服务器密码套件和 TLS 要求

  • 项目

密码套件是一组加密算法。 用于在客户端/服务器与其他服务器之间对消息进行加密。 Dataverse 使用 Microsoft Crypto Board 批准的最新 TLS 1.2 密码套件

在建立安全连接之前,协议和密码在服务器和客户端之间基于双方的可用性进行协商。

您可以使用本地服务器与以下 Dataverse 服务集成:

  1. 同步来自 Exchange 服务器的电子邮件。
  2. 运行出站插件。
  3. 运行本机/本地客户端来访问环境。

要遵守我们针对安全连接的安全策略,您的服务器必须具有:

  1. 传输层安全性 (TLS) 1.2 合规

  2. 至少有以下密码之一:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    重要提示

    旧 TLS 1.0 与 1.1 和密码套件(例如,TLS_RSA)已弃用;请参阅公告。 您的服务器必须具有上述安全协议才能继续运行 Dataverse 服务。

    当您执行 SSL 报表测试时,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 and TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 可能会显示为弱。 这是由于存在对 OpenSSL 实现的已知攻击。 Dataverse 使用不基于 OpenSSL 的 Windows 实现,因此不易受到攻击。

    您可以升级 Windows 版本或更新 Windows TLS 注册表,以确保您的服务器终结点支持这些密码之一。

    若要验证您的服务器符合安全协议,可以使用 TLS 密码和扫描仪工具执行测试:

    1. 使用 SSLLABS 测试您的主机名,或者
    2. 使用 NMAP 扫描您的服务器

  3. 安装了以下根 CA 证书。 仅安装与您的云环境对应的证书。

    用于公开/生产

    证书颁发机构 到期日期 序列号/指纹 下载
    DigiCert 全局根 G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert 全局根 G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC 根证书颁发机构 2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA 根证书颁发机构 2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    对于 Fairfax/Arlington/US Gov 云

    证书颁发机构 到期日期 序列号/指纹 下载
    DigiCert 全局根 CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 安全服务器 CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS 混合 ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    对于 Mooncake/Gallatin/China Gov 云

    证书颁发机构 到期日期 序列号/指纹 下载
    DigiCert 全局根 CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert 基本 RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    为什么需要?

    请参阅 TLS 1.2 标准文档 - 第 7.4.2 节 - 证书列表。

为什么 Dataverse SSL/TLS 证书使用通配符域?

通配符 SSL/TLS 证书是有意设计的,因为必须可以从每个主机服务器访问数百个组织 URL。 具有数百个使用者替代名称 (SAN) 的 SSL/TLS 证书会对某些 Web 客户端和浏览器产生负面影响。 这是一个基于在一组共享基础结构上托管多个客户组织的服务型软件 (SAAS) 产品/服务性质的基础结构约束。

另请参见

连接到 Exchange Server (on-premises)
Dynamics 365 Server 端同步
Exchange server TLS 指南
TLS/SSL 中的密码套件 (Schannel SSP)
管理传输层安全性 (TLS)
如何启用 TLS 1.2