Partilhar via

Conjuntos de cifras de servidor e requisitos de TLS

  • Artigo

Um conjunto de cifras é um conjunto de algoritmos criptográficos. Isto é utilizado para encriptar mensagens entre clientes/servidores e outros servidores. Dataverse está a usar os pacotes de codificação TLS 1.2 mais recentes , conforme aprovado pelo Microsoft Crypto Board.

Antes de ser estabelecida uma ligação segura, o protocolo e a cifra são negociados entre o servidor e o cliente com base na disponibilidade em ambos os lados.

Pode utilizar os seus servidores no local/locais para se integrarem com os seguintes serviços do Dataverse:

  1. Sincronizar e-mails do seu servidor Exchange.
  2. Executar plug-ins de Saída.
  3. Executar clientes nativos/locais para aceder aos seus ambientes.

Para estar em conformidade com a nossa política de segurança para uma ligação segura, o seu servidor tem de ter o seguinte:

  1. Conformidade do Transport Layer Security (TLS) 1.2

  2. Pelo menos uma das seguintes cifras:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Importante

    Os TLS 1.0 e 1.1 e conjuntos de cifras mais antigos (por exemplo, TLS_RSA) foram preteridos; consulte o anúncio. Os seus servidores devem ter o protocolo de segurança acima para continuar a executar os serviços do Dataverse.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 podem aparecer como fracos quando você executou um teste de relatório SSL. Isto deve-se a ataques conhecidos à implementação OpenSSL. O Dataverse utiliza a implementação do Windows que não é baseada em OpenSSL e, consequentemente, não é vulnerável.

    Pode atualizar a versão do Windows ou atualizar o registo do Windows TLS para se certificar de que o ponto final do seu servidor suporta uma destas cifras.

    Para verificar se o seu servidor está em conformidade com o protocolo de segurança, pode realizar um teste utilizando uma ferramenta de cifra e de scanner TLS:

    1. Teste o seu nome do anfitrião utilizando SSLLABS ou
    2. Digitalize o seu servidor utilizando NMAP

  3. Os seguintes Certificados de AC Raiz instalados. Instale apenas os que correspondem ao ambiente de cloud.

    Para Público/PROD

    Autoridade de Certificação Data de expiração Número de série/Thumbprint Transferir
    Raiz global DigiCert G2 15 de jan de 2038 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    Raiz global DigiCert G3 15 de jan de 2038 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft Autoridade de certificação raiz ECC 2017 18 de jul de 2042 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft Autoridade de certificação raiz RSA 2017 18 de jul de 2042 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Para Fairfax/Arlington/US Gov Cloud

    Autoridade de Certificação Data de expiração Número de série/Thumbprint Transferir
    Raiz global DigiCert AC 10 de nov de 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    AC de Servidor Protegido DigiCert SHA2 22 de set de 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 de set de 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Para Mooncake/Gallatin/China Gov Cloud

    Autoridade de Certificação Data de expiração Número de série/Thumbprint Transferir
    Raiz global DigiCert AC 10 de nov de 2031 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN AC G2 4 de mar de 2030 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Porquê esta necessidade?

    Consulte a documentação das normas TLS 1.2 - Secções 7.4.2 - certificate-list.

Por que é que os certificados SSL/TLS do Dataverse utilizam domínios com caráter universal?

São concebidos certificados SSL/TLS de caráter universal, pois centenas de URLs de organizações devem ser acessíveis a partir de cada servidor host. Os certificados SSL/TLS com centenas de Nomes Alternativos do Requerente (SANs) têm um impacto negativo em alguns clientes e browsers. Trata-se de uma restrição de infraestrutura baseada na natureza de uma oferta de software como serviço (SAAS), que aloja várias organizações de clientes num conjunto de infraestruturas partilhadas.

Consulte também

Conectar-se ao Exchange Server (no local)
Dynamics 365 Sincronização do lado do servidor
Orientação TLS do servidor Exchange
Pacotes de codificação em TLS/SSL (SSP Schannel)
Gerenciar transporte camada segurança (TLS)
Como ativar o TLS 1.2