伺服器加密套件和 TLS 需求

  • 發行項

密碼套件 是一組加密演算法。 這是用來加密用戶端/伺服器與其他伺服器之間的訊息。 Dataverse 使用最新的經 Microsoft Crypto Board 核准的 TLS 1.2 加密套件。

在建立安全連線之前,會根據雙方的可用性,在伺服器與用戶端之間協商通訊協定和密碼。

您可以使用內部部署/本機伺服器與下列 Dataverse服務整合:

  1. 同步處理來自 Exchange 伺服器的電子郵件。
  2. 執行輸出外掛程式。
  3. 執行原始/本機用戶端以存取您的環境。

為了符合我們的連線資訊安全原則,您的伺服器必須具備下列各項:

  1. 傳輸層安全性協定 (TLS) 1.2 合規性

  2. 至少具備下列其中一個密碼:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    重要

    舊版 TLS 1.0 & 1.1 和加密套件 (例如 TLS_RSA) 已被取代; 請參閱公告。 您的伺服器必須擁有上述安全性通訊協定,才能繼續執行 Dataverse 服務。

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 和 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384在您執行 SSL 報表測試時可能顯示為弱式。 這是由於對 OpenSSL 實作的已知攻擊。 Dataverse 使用非根據 OpenSSL 的 Windows 實作,因此不容易受到攻擊。

    您可以升級 Windows 版本或更新 Windows TLS 登錄,確保您的伺服器端點支援其中一個密碼。

    如果要驗證您的服務器符合安全協議,可以使用 TLS 密碼和掃描儀工具執行測試:

    1. 利用 SSLLABS 測試您的主機名稱,或是
    2. 利用 NMAP 掃描您的伺服器

  3. 下列是已安裝的根 CA 憑證。 僅安裝與您的雲端環境相對應的那些憑證。

    適用於公開發行/PROD

    憑證授權 到期日 序號/指紋 下載
    DigiCert Global Root G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC 根憑證授權 2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA 根憑證授權 2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    適用於 Fairfax/Arlington/美國政府雲端

    憑證授權 到期日 序號/指紋 下載
    DigiCert Global Root CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    適用於 Mooncake/Gallatin/中國政府雲端

    憑證授權 到期日 序號/指紋 下載
    DigiCert Global Root CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    為何需要這個?

    請參閱 TLS 1.2 標準文件 - 7.4.2 章節 - 認證清單。

為何 Dataverse SSL/TLS 憑證使用萬用字元網域?

萬用字元 SSL/TLS 憑證是根據設計而定,因為每個主機伺服器都必須可以存取數百個組織 URL。 具有數百個主體交替名稱 (SAN) 的 SSL/TLS 憑證對某些 Web 用戶端和瀏覽器有負面影響。 這是以軟體即服務 (SAAS) 產品性質為基礎的基礎結構,它會在一組共用基礎結構上託管多個客戶組織。

另請參閱

連線至 Exchange Server (內部部署)
Dynamics 365 Server 端同步功能
Exchange 伺服器 TLS 導覽
TLS/SSL(Schannel SSP)中的密碼套件
管理傳輸層安全性(TLS)
如何啟用 TLS 1.2