Κοινή χρήση μέσω

Οικογένειες προγραμμάτων κρυπτογράφησης διακομιστή και απαιτήσεις TLS

  • Άρθρο

Μια οικογένεια προγραμμάτων κρυπτογράφησης είναι ένα σύνολο αλγορίθμων κρυπτογράφησης. Χρησιμοποιείται για την κρυπτογράφηση μηνυμάτων ανάμεσα σε υπολογιστές-πελάτες / διακομιστές και άλλους διακομιστές. Το Dataverse χρησιμοποιεί τις πιο πρόσφατες ακολουθίες TLS 1.3 & 1.2 ως εγκεκριμένες από τον Πίνακα Κρυπτογράφησης της Microsoft.

Πριν δημιουργηθεί μια ασφαλής σύνδεση, το πρωτόκολλο και η κρυπτογράφηση διαπραγματεύονται μεταξύ διακομιστή και υπολογιστή-πελάτη με βάση τη διαθεσιμότητα και στις δύο πλευρές.

Μπορείτε να χρησιμοποιήσετε τους διακομιστές εσωτερικής εγκατάστασης/τοπικούς διακομιστές σας για ενσωμάτωση με τις ακόλουθες υπηρεσίες Dataverse:

  1. Συγχρονισμός μηνυμάτων ηλεκτρονικού ταχυδρομείου από τον διακομιστή Exchange.
  2. Εκτέλεση εξερχόμενων προσθηκών.
  3. Εκτέλεση εγγενών/τοπικών προγραμμάτων-πελατών για πρόσβαση στα περιβάλλοντα σας.

Για τη συμμόρφωση με την πολιτική ασφαλείας για μια ασφαλή σύνδεση, ο διακομιστής σας πρέπει να έχει τα εξής:

  1. Συμμόρφωση ασφάλειας επιπέδου μεταφοράς (TLS) 1.3/1.2

  2. Τουλάχιστον μία από τις παρακάτω κρυπτογραφήσεις:

    • Κρυπτογραφήματα TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256

    • Κρυπτογραφήματα TLS 1.2:

      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Σημαντικό

    Παλαιότερες οικογένειες TLS 1.0 & 1.1 και κρυπτογράφησης (για παράδειγμα TLS_RSA) είναι υπό απόσυρση. Δείτε την ανακοίνωση. Οι διακομιστές σας πρέπει να διαθέτουν το παραπάνω πρωτόκολλο ασφαλείας για να συνεχίσουν την εκτέλεση των υπηρεσιών Dataverse.

    Τα TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 και TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ενδέχεται να εμφανίζονται ως αδύνατο όταν εκτελέσατε μια δοκιμή αναφοράς SSL. Αυτό οφείλεται σε γνωστές επίθεσης προς την υλοποίηση OpenSSL. Το Dataverse χρησιμοποιεί την υλοποίηση των Windows που δεν βασίζεται στο OpenSSL και επομένως δεν είναι ευάλωτη.

    Μπορείτε είτε να αναβαθμίσετε την έκδοση των Windows είτε να ενημερώσετε το μητρώο TLS των Windows για να βεβαιωθείτε ότι το τελικό σημείο του διακομιστή σας υποστηρίζει μία από αυτές τις κρυπτογραφήσεις.

    Για να επαληθεύσετε ότι ο διακομιστής σας συμμορφώνεται με το πρωτόκολλο ασφαλείας, μπορείτε να εκτελέσετε μια δοκιμή χρησιμοποιώντας ένα εργαλείο κρυπτογράφησης και σάρωσης TLS:

    1. Δοκιμάστε το όνομα κεντρικού υπολογιστή σας χρησιμοποιώντας SSLΑS ή
    2. Σαρώστε τον διακομιστή σας χρησιμοποιώντας NMAP

  3. Εγκαταστάθηκαν τα ακόλουθα Πιστοποιητικά CA ρίζας. Εγκαταστήστε μόνο εκείνα που αντιστοιχούν στο περιβάλλον cloud σας.

    Για Δημόσια/PROD

    Αρχή έκδοσης πιστοποιητικών Ημερομηνία λήξης Σειριακός αριθμός/Αποτύπωμα Κατεβάστε
    DigiCert Global Root G2 15 Ιανουαρίου 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 15 Ιανουαρίου 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC Root Certificate Authority 2017 18 Ιουλίου 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Αρχή πιστοποιητικών ρίζας Microsoft RSA 2017 18 Ιουλίου 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    For Fairfax/Arlington/US Gov Cloud

    Αρχή έκδοσης πιστοποιητικών Ημερομηνία λήξης Σειριακός αριθμός/Αποτύπωμα Κατεβάστε
    DigiCert Global Root CA 10 Νοεμβρίου 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 22 Σεπτεμβρίου 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 Σεπτεμβρίου 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    For Mooncake/Gallatin/China Gov Cloud

    Αρχή έκδοσης πιστοποιητικών Ημερομηνία λήξης Σειριακός αριθμός/Αποτύπωμα Κατεβάστε
    DigiCert Global Root CA 10 Νοεμβρίου 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 4 Μαρτίου 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Γιατί είναι αυτή η ανάγκη?

    Ανατρέξτε στο πρωτόκολλο Transport Layer Security (TLS) έκδοση 1.3 και στην τεκμηρίωση προτύπων TLS 1.2 - Ενότητα 7.4.2 - λίστα πιστοποιητικών.

Γιατί τα πιστοποιητικά Dataverse SSL/TLS χρησιμοποιούν τομείς με χαρακτήρες μπαλαντέρ;

Τα πιστοποιητικά SSL/TLS με χαρακτήρες μπαλαντέρ είναι εκ της σχεδίασης, καθώς εκατοντάδες διευθύνσεις URL οργανισμού πρέπει να είναι προσβάσιμες από κάθε διακομιστή κεντρικού υπολογιστή. Τα πιστοποιητικά SSL/TLS με εκατοντάδες εναλλακτικά ονόματα θεμάτων (SAN) έχουν αρνητικό αντίκτυπο σε ορισμένους υπολογιστές-πελάτες web και προγράμματα περιήγησης. Πρόκειται για έναν περιορισμό υποδομής που βασίζεται στη φύση ενός λογισμικού ως προσφορά υπηρεσίας (SAAS), που φιλοξενεί πολλούς οργανισμούς πελατών σε ένα σύνολο κοινόχρηστης υποδομής.

Δείτε επίσης

Σύνδεση με το Exchange Server (εσωτερικής εγκατάστασης)
Συγχρονισμός από την πλευρά του Dynamics 365 Server
Καθοδήγηση TLS διακομιστή Exchange
Οικογένειες προγραμμάτων κρυπτογράφησης σε TLS/SSL (Schannel SSP)
Διαχείριση Ασφάλειας επιπέδου μεταφοράς (TLS)
IETF Datatracker για πρότυπα TLS.