Server-chiffersviter och TLS-krav

  • Artikel

En chiffersvit är en uppsättning krypteringsalgoritmer. Detta används för att kryptera meddelanden mellan klienter och servrar och andra servrar. Dataverse använder de senaste TLS 1.2-chiffersviterna som godkänts av Microsoft Crypto Board.

Innan en säker anslutning har upprättats förhandlar protokollet och chiffrering mellan servern och klienten utifrån tillgängligheten på respektive sida.

Du kan använda dina lokal/lokala servrar för att integrera med följande Dataverse-tjänster:

  1. Synkronisera e-postmeddelanden från Exchange-servern.
  2. Köra utgående plugin-program.
  3. Köra ursprungliga/lokala klienter för att få åtkomst till miljöer.

För att servern ska kunna följa säkerhetspolicyn för en säker anslutning måste den ha följande:

  1. Krav för Transport Layer Security 1.2 efterlevnad

  2. Minst ett av följande chiffer:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Viktigt!

    Äldre TLS 1.0 och 1.1 och chiffersviter (till exempel TLS_RSA) är inaktuella, se meddelandet. Servrarna måste ha säkerhetsprotokollet ovan för att fortsätta köra Dataverse-tjänsterna.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 och TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 kan visa sig som svaga när du utförde ett SSL-rapporttest. Detta beror på kända angrepp mot OpenSSL-implementeringen. Dataverse använder Windows-implementering som inte bygger på OpenSSL och därför inte är utsatt.

    Du kan antingen uppgradera Windows-version eller uppdatera Windows TLS-registret för att se till att din server slutpunkt stöder en av dessa chiffer.

    Om du vill kontrollera att servern följer säkerhetsprotokollet kan du utföra ett test med hjälp av ett TLS-chiffer och verktyg:

    1. Testa värdnamnet med SSLLABS eller
    2. Sök igenom servern med hjälp av NMAP

  3. Följande rotcertifikatutfärdare är installerade. Installera endast de som motsvarar molnmiljön.

    För offentlig/PROD

    Certifikatutfärdare Utgångsdatum Serienummer/tumavtryck Hämta
    DigiCert Global rot G2 15 jan 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global rot G3 15 jan 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certifikatutfärdare 2017 18 juli 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft Utfärdare av RSA-rotcertifikat 2017 18 juli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    För Fairfax/Arlington/US Gov Cloud

    Certifikatutfärdare Utgångsdatum Serienummer/tumavtryck Hämta
    DigiCert Global rot CA 10 november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 september 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 september 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    För Mooncake/Gallatin/China Gov Cloud

    Certifikatutfärdare Utgångsdatum Serienummer/tumavtryck Hämta
    DigiCert Global rot CA 10 november 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 mars 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Varför finns det ett sådant behov?

    Se TLS 1.2 standarddokumentation – avsnitt 7.4.2 – certifikatlista.

Varför använder Dataverse SSL/TLS-certifikat jokerteckendomäner?

Jokerteckencertifikat för SSL/TLS är som det ska eftersom hundratals organisationsadresser måste vara åtkomliga från varje värdserver. SSL/TLS-certifikat med hundratals SAN-namn (Subject Alternate Names) påverkar vissa webbklienter och webbläsare negativt. Detta är en infrastrukturrestriktion baserad på karaktären hos ett SAAS-erbjudande (programvara som en tjänst), som är värd för flera kundorganisationer på en uppsättning delad infrastruktur.

Se även

Ansluta till Exchange Server (lokalt)
Dynamics 365 synkronisering på serversidan
TLS-vägledning för Exchange-server
Chiffersviter i TLS/SSL (SSP för schannel)
Hantera Transport lager Security (TLS)
Så här aktiverar du TLS 1.2