Wymagania dotyczące zestawów szyfrowania i protokołu TLS dla serwera

  • Artykuł

Zestaw szyfrowania to pakiet algorytmów kryptograficznych. Służy do szyfrowania wiadomości przesyłanych pomiędzy klientami/serwerami i innymi serwerami. Dataverse używa najnowszych zestawów szyfrów TLS 1.2 zatwierdzonych przez Microsoft Crypto Board.

Przed ustanowieniem bezpiecznego połączenia pomiędzy serwerem i klientem następuje negocjacja w ramach protokołu i szyfru, na podstawie dostępności po obu stronach.

Serwery lokalne można integrować z następującymi usługami Dataverse:

  1. Synchronizowanie wiadomości e-mail z serwera Exchange.
  2. Uruchamianie wtyczek komunikacji wychodzącej.
  3. Uruchamianie klientów natywnych/lokalnych w celu uzyskania dostępu do środowisk.

Aby zachować zgodność z naszymi zasadami zabezpieczeń dotyczącymi bezpiecznego połączenia, na serwerze muszą być zainstalowane następujące elementy:

  1. Zgodność z zasadami protokołu TLS 1.2 (Transport Layer Security)

  2. Co najmniej jeden z następujących szyfrów:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Ważne

    Starsze wersje protokołu TLS (1.0 i 1.1) oraz zestawy szyfrowania (na przykład TLS_RSA) są przestarzałe; zobacz zawiadomienie. Aby można było kontynuować uruchamianie usług Dataverse, serwery muszą mieć powyższy protokół zabezpieczeń.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 i TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 podczas testu raportu SSL mogą być widoczne jako słabe. Jest to spowodowane znanymi atakami na implementację OpenSSL. Dataverse wykorzystuje implementację systemu Windows, która nie jest oparta na OpenSSL i dlatego nie jest podatna na ataki.

    Można uaktualnić wersję systemu Windows lub zaktualizować rejestr systemu Windows w zakresie protokołu TLS, aby upewnić się, że serwerowy punkt końcowy obsługuje jeden z tych szyfrów.

    Aby sprawdzić, czy serwer jest zgodny z protokołem zabezpieczeń, można przeprowadzić test przy użyciu narzędzia analizy szyfrowania i skanowania protokołu TLS:

    1. Testowanie nazwy hosta przy użyciu SSLLABS lub
    2. skanowanie serwera przy użyciu NMAP

  3. Zainstalowano następujące certyfikaty Root CA. Zainstaluj tylko te, które odpowiadają twojemu środowisku w chmurze.

    Do wydania publicznego/PROD

    Urząd certyfikacji Data wygaśnięcia Numer seryjny / odcisk palca Pobierz
    DigiCert Global Root G2 15 stycznia 2038 r. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 stycznia 2038 r. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Główny urząd certyfikacji Microsoft ECC 2017 18 lipca 2042 r. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Główny urząd certyfikacji Microsoft RSA 2017 18 lipca 2042 r. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Dla usługi Fairfax/Arlington/US Gov Cloud

    Urząd certyfikacji Data wygaśnięcia Numer seryjny / odcisk palca Pobierz
    DigiCert Global Root CA 10 listopada 2031 r. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 września 2030 r. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 września 2030 r. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Dla Mooncake/Gallatin/China Gov Cloud

    Urząd certyfikacji Data wygaśnięcia Numer seryjny / odcisk palca Pobierz
    DigiCert Global Root CA 10 listopada 2031 r. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    Informacje podstawowe DigiCert Basic RSA CN CA G2 4 marca 2030 r. 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Dlaczego to jest potrzebne?

    Zobacz TLS 1.2 Standards Documentation – sekcja 7.4.2 – certificate-list.

Dlaczego certyfikaty SSL/TLS Dataverse korzystają z domen wieloznacznych?

Wieloznaczne certyfikaty SSL/TLS są projektami, ponieważ z każdego serwera hosta muszą być dostępne setki adresów URL organizacji. Certyfikaty SSL/TLS z setami nazw alternatywnych podmiotu (SAN) mają negatywny wpływ na niektórych klientów i przeglądarki sieci web. To ograniczenie infrastruktury wynika z charakteru oferty oprogramowania jako usługi (SAAS), która w zestawie udostępnianej infrastruktury znajduje się w wielu organizacjach klientów.

Zobacz też

Nawiązywanie połączenia z lokalnym programem Exchange Server
Omówienie synchronizacji na serwerze Dynamics 365
Wskazówki dot. TLS na serwerze Exchange
Zestaw szyfrowania w protokole TLS/SSL (Schannel SSP)
Zarządzanie protokołem TLS (Transport Layer Security)
Jak uruchomić protokół TLS 1.2