サーバー暗号スイートと TLS 要件
暗号スイート は、暗号アルゴリズムのセットです。 これは、クライアント/サーバーとその他のサーバーとの間でメッセージを暗号化するために使用されます。 Dataverse は、Microsoft Crypto Board の承認を受けた最新の TLS 1.3/1.2 暗号スイートを使用しています。
セキュリティで保護された接続が確立される前に、プロトコルと暗号は、両側の利用可能性に基づいてサーバーとクライアントの間でネゴシエートされます。
オンプレミス/ローカル サーバーを使用して、以下の Dataverse サービスと統合できます。
- Exchange サーバーからのメールの同期。
- アウトバウンド プラグインの実行。
- ネイティブ/ローカル クライアントを実行した環境へのアクセス。
セキュリティで保護された接続のためのセキュリティ ポリシーに準拠するために、サーバーには次のものが必要です。
トランスポート層セキュリティ (TLS) 1.3/1.2 コンプライアンス
少なくとも 1 つの暗号。
TLS 1.3 暗号:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.2 暗号:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
重要
以前の TLS1.0 および 1.1 と暗号スイート (TLS_RSA など) は非推奨になりました。発表を参照してください。 Dataverse サービスの実行を継続するには、サーバーに上記のセキュリティ プロトコルが必要です。
SSL レポート テストを実行したときに、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 および TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 が弱いと表示される場合があります。 これは、OpenSSL の実装に対する既知の攻撃によるものです。 Dataverse は、OpenSSL をベースとしない Windows の実装を使用しているため、脆弱性はありません。
Windows のバージョンをアップグレードするか、Windows TLS レジストリを更新し、サーバー エンドポイントがこれらの暗号の 1 つをサポートしていることを確認します。
サーバーがセキュリティ プロトコルに準拠していることを確認するには、たとえば TLS 暗号およびスキャナー ツールを使用してテストを実行できます。
次のルート CA 証明書がインストールされています。 クラウド環境に対応するもののみをインストールしてください。
パブリック/PROD の場合
認証局 有効期限 シリアル番号/サムプリント ダウンロード DigiCert グローバル ルート G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM DigiCert グローバル ルート G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM Microsoft ECC ルート認証局 2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM Microsoft RSA ルート認証局 2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEMの Fairfax/Arlington/US Gov クラウドの場合
認証局 有効期限 シリアル番号/サムプリント ダウンロード DigiCert グローバル ルート CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEMの DigiCert SHA2 セキュア サーバー CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEMの DigiCert TLS ハイブリッド ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEMの Mooncake/Gallatin/中国政府クラウド
認証局 有効期限 シリアル番号/サムプリント ダウンロード DigiCert グローバル ルート CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEMの DigiCert Basic RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEMの なぜこれが必要ですか?
証明書リスト、トランスポート層セキュリティ (TLS) プロトコル バージョン 1.3 および TLS 1.2 標準ドキュメント - セクション 7.4.2 を参照してください。
Dataverse SSL/TLS 証明書では、なぜワイルドカード ドメインを使用するのですか?
ワイルドカード SSL/TLS 証明書は、各ホスト サーバーから数百の組織 URL にアクセスする必要があるため、設計によるものです。 数百のサブジェクト代替名 (SAN) を持つ SSL/TLS 証明書は、一部の Web クライアントおよびブラウザーに悪影響を及ぼします。 これは、一連の共有インフラストラクチャ上で複数の顧客組織をホストするサービスとしてのソフトウェア (SAAS) オファリングの性質に基づくインフラストラクチャの制約です。
参照
Exchange Server への接続 (オンプレミス)
Dynamics 365 Server 側の同期
Exchange サーバーの TLS ガイダンス
TLS/SSL (Schannel SSP) の暗号スイート
トランスポート層セキュリティ (TLS) の管理
IETF Datatracker の TLS 標準。