分享方式:


伺服器加密套件和 TLS 要求

密碼套件 是一組加密演算法。 這是用來加密用戶端/伺服器與其他伺服器之間的訊息。 Dataverse 正在使用 Crypto Board 批准 的最新 Microsoft TLS 1.2 密碼套件。

在建立安全連線之前,會根據雙方的可用性,在伺服器與用戶端之間協商通訊協定和密碼。

您可以使用內部部署/本機伺服器與下列 Dataverse服務整合:

  1. 同步處理來自 Exchange 伺服器的電子郵件。
  2. 執行輸出外掛程式。
  3. 執行原始/本機用戶端以存取您的環境。

為了符合我們的連線資訊安全原則,您的伺服器必須具備下列各項:

  1. 傳輸層安全性協定 (TLS) 1.2 合規性

  2. 至少具備下列其中一個密碼:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    重要

    舊版 TLS 1.0 & 1.1 和加密套件 (例如 TLS_RSA) 已被取代; 請參閱公告。 您的伺服器必須擁有上述安全性通訊協定,才能繼續執行 Dataverse 服務。

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 和 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 在您執行 SSL 報告測試時可能會顯示為弱。 這是由於對 OpenSSL 實作的已知攻擊。 Dataverse 使用非根據 OpenSSL 的 Windows 實作,因此不容易受到攻擊。

    您可以升級 Windows 版本或更新 Windows TLS 登錄,確保您的伺服器端點支援其中一個密碼。

    如果要驗證您的服務器符合安全協議,可以使用 TLS 密碼和掃描儀工具執行測試:

    1. 利用 SSLLABS 測試您的主機名稱,或是
    2. 利用 NMAP 掃描您的伺服器
  3. 下列是已安裝的根 CA 憑證。 僅安裝與您的雲端環境相對應的那些憑證。

    對於 Public/PROD

    憑證授權 到期日 序號/指紋 下載
    DigiCert Global Root G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
    PEM 系列
    DigiCert Global Root G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E
    PEM 系列
    Microsoft ECC 根證書頒發機構 2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5
    PEM 系列
    Microsoft RSA 根證書頒發機構 2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74
    PEM 系列

    對於費爾法克斯/阿靈頓/US Gov 雲

    憑證授權 到期日 序號/指紋 下載
    DigiCert Global Root CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
    PEM 系列
    DigiCert SHA2 Secure Server CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C
    PEM 系列
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28
    PEM 系列

    對於 Mooncake/Gallatin/China Gov Cloud

    憑證授權 到期日 序號/指紋 下載
    DigiCert Global Root CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
    PEM 系列
    DigiCert Basic RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179
    PEM 系列

    為什麼有這種需求?

    請參閱 TLS 1.2 標準文件 - 7.4.2 章節 - 認證清單。

為何 Dataverse SSL/TLS 憑證使用萬用字元網域?

萬用字元 SSL/TLS 憑證是根據設計而定,因為每個主機伺服器都必須可以存取數百個組織 URL。 具有數百個主體交替名稱 (SAN) 的 SSL/TLS 憑證對某些 Web 用戶端和瀏覽器有負面影響。 這是以軟體即服務 (SAAS) 產品性質為基礎的基礎結構,它會在一組共用基礎結構上託管多個客戶組織。

另請參閱

連線到 Exchange Server(內部部署)
Dynamics 365 伺服器端同步
Exchange 伺服器 TLS 指南
TLS/SSL 中的密碼套件(Schannel SSP)
管理 Transport 圖層 Security(TLS)
如何啟用 TLS 1.2