다음을 통해 공유

서버 암호화 제품군 및 TLS 요구 사항

암호화 제품군은 암호화 알고리즘의 집합입니다. 이것은 클라이언트/서버와 다른 서버 간의 메시지를 암호화하는 데 사용됩니다. Dataverse는 Microsoft Crypto Board에서 승인한 최신 TLS 1.3 및 1.2 암호 제품군을 사용하고 있습니다.

보안 연결을 설정하기 전에 프로토콜과 암호는 양쪽의 가용성에 따라 서버와 클라이언트 사이에서 협상됩니다.

온-프레미스/로컬 서버를 사용하여 다음 Dataverse 서비스와 통합할 수 있습니다.

  1. Exchange 서버에서 이메일 동기화.
  2. 아웃 바운드 플러그인 실행.
  3. 네이티브/로컬 클라이언트를 실행하여 환경에 액세스합니다.

보안 연결을 위한 보안 정책을 준수하려면 서버에 다음이 있어야 합니다.

  1. TLS(전송 계층 보안) 1.3/1.2 준수

  2. 다음 암호 중 하나 이상:

    • TLS 1.3 암호:

      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256

    • TLS 1.2 암호:

      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    중요

    이전 TLS 1.0 및 1.1 및 암호화 제품군(예: TLS_RSA)은 더 이상 사용되지 않습니다. 공지를 참조하십시오. Dataverse 서비스를 계속 실행하려면 서버에 위의 보안 프로토콜이 있어야 합니다.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 및 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384는 SSL 보고서 테스트를 수행할 때 약한 것으로 나타날 수 있습니다. 이것은 OpenSSL 구현에 대한 알려진 공격 때문입니다. Dataverse는 OpenSSL을 기반으로 하지 않으므로 취약하지 않은 Windows 구현을 사용합니다.

    Windows 버전을 업그레이드하거나 Windows TLS 레지스트리를 업데이트하여 서버 엔드포인트가 이러한 암호 중 하나를 지원하는지 확인해 볼 수 있습니다.

    서버가 보안 프로토콜을 준수하는지 확인하려면 TLS 암호 및 스캐너 도구를 사용하여 테스트를 수행할 수 있습니다.

    1. SSLLABS 사용하여 호스트 이름 테스트 또는
    2. NMAP를 사용하여 서버 검사

  3. 다음 루트 CA 인증서가 설치되었습니다. 클라우드 환경에 해당하는 것만 설치하세요.

    공개/PROD용

    인증 기관 만료 날짜 일련 번호/지문 다운로드
    DigiCert 글로벌 루트 G2 2038년 1월 15일 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert 글로벌 루트 G3 2038년 1월 15일 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft ECC 루트 인증 기관 2017 2042년 7월 18일 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA 루트 인증 기관 2017 2042년 7월 18일 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    Fairfax/Arlington/US Gov Cloud용

    인증 기관 만료 날짜 일련 번호/지문 다운로드
    DigiCert 글로벌 루트 CA 2031년 11월 10일 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 보안 서버 CA 2030년 9월 22일 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS 하이브리드 ECC SHa384 2020 CA1 2030년 9월 22일 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    Mooncake/Gallatin/China Gov Cloud용

    인증 기관 만료 날짜 일련 번호/지문 다운로드
    DigiCert 글로벌 루트 CA 2031년 11월 10일 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert 기본 RSA CN CA G2 2030년 3월 4일 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    필요한 이유가 무엇입니까?

    TLS(전송 계층 보안) 프로토콜 버전 1.3TLS 1.2 표준 설명서 - 섹션 7.4.2 - 인증서 목록을 참조하세요.

Dataverse SSL/TLS 인증서가 와일드카드 도메인을 사용하는 이유는 무엇입니까?

와일드카드 SSL/TLS 인증서는 각 호스트 서버에서 수백 개의 조직 URL에 액세스할 수 있어야 하므로 의도적으로 설계되었습니다. 수백 개의 SAN(주체 대체 이름)이 포함된 SSL/TLS 인증서는 일부 웹 클라이언트 및 브라우저에 부정적인 영향을 미칩니다. 이는 일련의 공유 인프라에서 여러 고객 조직을 호스팅하는 SAAS(Software as a Service) 오퍼링의 특성을 기반으로 하는 인프라 제약 조건입니다.

참조 항목

Exchange Server(온-프레미스)에 연결
Dynamics 365 Server 쪽 동기화
Exchange 서버 TLS 지침
TLS/SSL의 암호화 제품군(Schannel SSP)
TLS(전송 계층 보안) 관리
TLS 표준용 IETF Datatracker.