Server verschlüsselte Suiten und TLS-Anforderungen
Eine Cipher Suite ist eine Sammlung kryptografischer Algorithmen. Diese wird verwendet, um Nachrichten zwischen Clients/Servern und anderen Servern zu verschlüsseln. Dataverse verwendet die neueste TLS 1.3 und 1.2-Verschlüsselungssammlung, wie vom Microsoft Crypto Board genehmigt.
Bevor eine sichere Verbindung hergestellt wird, werden das Protokoll und die Verschlüsselung je nach Verfügbarkeit auf beiden Seiten zwischen Server und Client ausgehandelt.
Sie können Ihre lokalen/lokalen Server für die Integration mit den folgenden Dataverse-Diensten verwenden:
- E-Mails von Ihrem Exchange Server synchronisieren.
- Ausführen von Outbound-Plug-ins.
- Ausführen von nativen/lokalen Clients für den Zugriff auf Ihre Umgebungen.
Um unsere Sicherheitsrichtlinie für eine sichere Verbindung einzuhalten, muss Ihr Server über Folgendes verfügen:
Compliance mit Transport Layer Security (TLS) 1.3/1.2
Mindestens eine der folgenden Chiffren:
TLS-1.3-Verschlüsselungsverfahren:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS-1.2-Verschlüsselungsverfahren:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Wichtig
Ältere TLS 1.0 & 1.1 und Verschlüsselungs-Suites (z.B. TLS_RSA) wurden außer Betrieb genommen; siehe Ankündigung. Ihre Server müssen über das oben genannte Sicherheitsprotokoll verfügen, um die Dataverse-Dienste weiterhin ausführen zu können.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 und TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 werden möglicherweise als schwach angezeigt, wenn Sie einen SSL-Berichtstest durchführen. Dies liegt an bekannten Angriffen auf die OpenSSL-Implementierung. Dataverse verwendet eine Windows-Implementierung, die nicht auf OpenSSL basiert und daher nicht anfällig ist.
Sie können entweder die Windows-Version aktualisieren oder die Windows TLS-Registrierung aktualisieren, um sicherzustellen, dass Ihr Server-Endpunkt eine dieser Verschlüsselungen unterstützt.
Um zu überprüfen, ob Ihr Server dem Sicherheitsprotokoll entspricht, können Sie einen Test mit einem TLS-Verschlüsselungs- und Scannertool durchführen:
Die folgenden Stammzertifizierungsstellen-Zertifikate sind installiert. Installieren Sie nur diejenigen, die Ihrer Cloud-Umgebung entsprechen.
Zur Veröffentlichung/PROD
Zertifizierungsstelle Ablaufdatum Seriennummer/Daumenabdruck Herunterladen DigiCert Global Root G2 15. Jan 2038 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM DigiCert Global Root G3 15. Jan 2038 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM Microsoft ECC-Stammzertifizierungsstelle 2017 18. Juli 2042 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM Microsoft RSA-Stammzertifizierungsstelle 2017 18. Juli 2042 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM Für Fairfax/Arlington/US Gov Cloud
Zertifizierungsstelle Ablaufdatum Seriennummer/Daumenabdruck Herunterladen DigiCert Global Root CA 10. November 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert SHA2 Secure Server CA 22. September 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM DigiCert TLS Hybrid ECC SHA384 2020 CA1 22. September 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM Für Mooncake/Gallatin/China Gov Cloud
Zertifizierungsstelle Ablaufdatum Seriennummer/Daumenabdruck Herunterladen DigiCert Global Root CA 10. November 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert Basic RSA CN CA G2 4. März 2030 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM Warum wird das benötigt?
Weitere Informationen finden Sie in der Dokumentation zum Transport Layer Security (TLS)-Protokoll Version 1.3 und TLS 1.2 – Abschnitt 7.4.2 - certificate-list.
Warum verwenden Dataverse-SSL-/TLS-Zertifikate Platzhalter-Domains?
Platzhalter-SSL-/TLS-Zertifikate sind beabsichtigt, da von jedem Hostserver aus auf Hunderte von Organisations-URLs zugegriffen werden muss. SSL-/TLS-Zertifikate mit Hunderten von Subject Alternate Names (SANs) wirken sich negativ auf einige Web-Clients und -Browser aus. Dabei handelt es sich um eine Infrastruktureinschränkung, die auf der Natur eines Software-as-a-Service-Angebots (SAAS) beruht, das mehrere Kundenorganisationen auf einer gemeinsamen Infrastruktur hostet.
Siehe auch
Verbindung zu Exchange Server (lokal)
Synchronisierung von Dynamics 365 Server
TLS-Leitfaden für Exchange-Server
Cipher Suites in TLS/SSL (Schannel SSP)
Verwaltung von Transport Layer Security (TLS)
IETF Datatracker für TLS-Standards.