サーバー暗号スイートと TLS 要件

  • [アーティクル]

暗号スイート は、暗号アルゴリズムのセットです。 これは、クライアント/サーバーとその他のサーバーとの間でメッセージを暗号化するために使用されます。 Dataverse Crypto Boardによって承認された最新の Microsoft TLS 1.2暗号スイートを使用しています。

セキュリティで保護された接続が確立される前に、プロトコルと暗号は、両側の利用可能性に基づいてサーバーとクライアントの間でネゴシエートされます。

オンプレミス/ローカル サーバーを使用して、以下の Dataverse サービスと統合できます。

  1. Exchange サーバーからのメールの同期。
  2. アウトバウンド プラグインの実行。
  3. ネイティブ/ローカル クライアントを実行した環境へのアクセス。

セキュリティで保護された接続のためのセキュリティ ポリシーに準拠するために、サーバーには次のものが必要です。

  1. トランスポート層セキュリティ (TLS) 1.2 コンプライアンス

  2. 少なくとも 1 つの暗号。

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    重要

    以前の TLS1.0 および 1.1 と暗号スイート (TLS_RSA など) は非推奨になりました。発表を参照してください。 Dataverse サービスの実行を継続するには、サーバーに上記のセキュリティ プロトコルが必要です。

    SSLレポート テストを実行したときに、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256およびTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 が弱いと表示される場合があります。 これは、OpenSSL の実装に対する既知の攻撃によるものです。 Dataverse は、OpenSSL をベースとしない Windows の実装を使用しているため、脆弱性はありません。

    Windows のバージョンをアップグレードするか、Windows TLS レジストリを更新し、サーバー エンドポイントがこれらの暗号の 1 つをサポートしていることを確認します。

    サーバーがセキュリティ プロトコルに準拠していることを確認するには、たとえば TLS 暗号およびスキャナー ツールを使用してテストを実行できます。

    1. SSLLABS を使用してホスト名をテストします、または
    2. NMAP を使用してサーバーをスキャンします

  3. 次のルート CA 証明書がインストールされています。 クラウド環境に対応するもののみをインストールしてください。

    パブリック/PROD向け

    認証局 有効期限 シリアル番号/サムプリント ダウンロード
    DigiCert グローバル ルート G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 ペム
    DigiCert グローバル ルート G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 ペム
    Microsoft ECCルート証明機関2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 ペム
    Microsoft RSAルート証明機関2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 ペム

    フェアファックス/アーリントン/US Gov Cloud向け

    認証局 有効期限 シリアル番号/サムプリント ダウンロード
    DigiCert グローバル ルート CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 ペム
    DigiCert SHA2 セキュア サーバー CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 ペム
    DigiCert TLS ハイブリッド ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 ペム

    Mooncake/Gallatin/China Gov Cloud向け

    認証局 有効期限 シリアル番号/サムプリント ダウンロード
    DigiCert グローバル ルート CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 ペム
    DigiCert Basic RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 ペム

    なぜこれが必要なのでしょうか?

    TLS1.2 標準ドキュメント - セクション 7.4.2 - 証明書リストをご覧ください。

Dataverse SSL/TLS 証明書では、なぜワイルドカード ドメインを使用するのですか?

ワイルドカード SSL/TLS 証明書は、各ホスト サーバーから数百の組織 URL にアクセスする必要があるため、設計によるものです。 数百のサブジェクト代替名 (SAN) を持つ SSL/TLS 証明書は、一部の Web クライアントおよびブラウザーに悪影響を及ぼします。 これは、一連の共有インフラストラクチャ上で複数の顧客組織をホストするサービスとしてのソフトウェア (SAAS) オファリングの性質に基づくインフラストラクチャの制約です。

参照

接続 からExchange Server (オンプレミスの)
Dynamics 365サーバー側同期
ExchangeサーバーTLSガイダンス
TLS/SSLの暗号スイート (Schannel SSP)
トランスポートの管理 レイヤー セキュリティ (TLS)
TLS 1.2を有効にする方法