伺服器加密套件和 TLS 需求
密碼套件 是一組加密演算法。 這是用來加密用戶端/伺服器與其他伺服器之間的訊息。 Dataverse 使用最新的經 Microsoft Crypto Board 核准的 TLS 1.2 加密套件。
在建立安全連線之前,會根據雙方的可用性,在伺服器與用戶端之間協商通訊協定和密碼。
您可以使用內部部署/本機伺服器與下列 Dataverse服務整合:
- 同步處理來自 Exchange 伺服器的電子郵件。
- 執行輸出外掛程式。
- 執行原始/本機用戶端以存取您的環境。
為了符合我們的連線資訊安全原則,您的伺服器必須具備下列各項:
傳輸層安全性協定 (TLS) 1.2 合規性
至少具備下列其中一個密碼:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384重要
舊版 TLS 1.0 & 1.1 和加密套件 (例如 TLS_RSA) 已被取代; 請參閱公告。 您的伺服器必須擁有上述安全性通訊協定,才能繼續執行 Dataverse 服務。
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 和 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 在您執行 SSL 報告測試時可能會顯示為弱。 這是由於對 OpenSSL 實作的已知攻擊。 Dataverse 使用非根據 OpenSSL 的 Windows 實作,因此不容易受到攻擊。
您可以升級 Windows 版本或更新 Windows TLS 登錄,確保您的伺服器端點支援其中一個密碼。
如果要驗證您的服務器符合安全協議,可以使用 TLS 密碼和掃描儀工具執行測試:
下列是已安裝的根 CA 憑證。 僅安裝與您的雲端環境相對應的那些憑證。
對於 Public/PROD
憑證授權 到期日 序號/指紋 下載 DigiCert Global Root G2 2038 年 1 月 15 日 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM 系列 DigiCert Global Root G3 2038 年 1 月 15 日 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM 系列 Microsoft ECC 根憑證授權 2017 2042 年 7 月 18 日 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM 系列 Microsoft RSA 根憑證授權 2017 2042 年 7 月 18 日 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM 系列 對於費爾法克斯/阿靈頓/US Gov 雲
憑證授權 到期日 序號/指紋 下載 DigiCert Global Root CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM 系列 DigiCert SHA2 Secure Server CA 2030 年 9 月 22 日 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM 系列 DigiCert TLS Hybrid ECC SHA384 2020 CA1 2030 年 9 月 22 日 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM 系列 對於 Mooncake/Gallatin/China Gov Cloud
憑證授權 到期日 序號/指紋 下載 DigiCert Global Root CA 2031 年 11 月 10 日 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM 系列 DigiCert Basic RSA CN CA G2 2030 年 3 月 4 日 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM 系列 為什麼有這種需求?
請參閱 TLS 1.2 標準文件 - 7.4.2 章節 - 認證清單。
為何 Dataverse SSL/TLS 憑證使用萬用字元網域?
萬用字元 SSL/TLS 憑證是根據設計而定,因為每個主機伺服器都必須可以存取數百個組織 URL。 具有數百個主體交替名稱 (SAN) 的 SSL/TLS 憑證對某些 Web 用戶端和瀏覽器有負面影響。 這是以軟體即服務 (SAAS) 產品性質為基礎的基礎結構,它會在一組共用基礎結構上託管多個客戶組織。
另請參閱
連線至 Exchange Server(內部部署)
Dynamics 365 伺服器端同步
Exchange 伺服器 TLS 指南
TLS/SSL 中的密碼套件(Schannel SSP)
管理 Transport 圖層 Security(TLS)
如何啟用 TLS 1.2