Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.
Skorzystaj z poniższej zawartości, aby dowiedzieć się więcej o wymaganiach dotyczących tworzenia certyfikatów SSL/TLS do użycia z urządzeniami usługi Microsoft Defender dla IoT.
Usługa Defender dla IoT używa certyfikatów SSL/TLS do zabezpieczania komunikacji między następującymi składnikami systemu:
- Między użytkownikami a czujnikiem OT
- Między czujnikiem OT a serwerem wysokiej dostępności (HA), jeśli jest skonfigurowany
- Między czujnikami OT i serwerami partnerskimi zdefiniowanymi w regułach przekazywania alertów
Niektóre organizacje weryfikują również swoje certyfikaty względem listy odwołania certyfikatów (CRL) i daty wygaśnięcia certyfikatu oraz łańcucha zaufania certyfikatów. Nie można przekazać nieprawidłowych certyfikatów do czujników OT i zablokować zaszyfrowaną komunikację między składnikami usługi Defender dla IoT.
Ważne
Należy utworzyć unikatowy certyfikat dla każdego czujnika OT i serwera wysokiej dostępności, gdzie każdy certyfikat spełnia wymagane kryteria.
Typy obsługiwanych plików
Podczas przygotowywania certyfikatów SSL/TLS do użycia z usługą Microsoft Defender dla IoT upewnij się, że utworzono następujące typy plików:
| Typ pliku | opis |
|---|---|
| .crt — plik kontenera certyfikatów | Plik .pemlub .der z innym rozszerzeniem do obsługi w Eksploratorze Windows. |
| .key — plik klucza prywatnego | Plik klucza jest w tym samym formacie co .pem plik z innym rozszerzeniem do obsługi w Eksploratorze Windows. |
| .pem — plik kontenera certyfikatów (opcjonalnie) | Opcjonalny. Plik tekstowy z kodowaniem Base64 tekstu certyfikatu oraz nagłówkiem i stopką w postaci zwykłego tekstu, aby oznaczyć początek i koniec certyfikatu. |
Wymagania dotyczące plików CRT
Upewnij się, że certyfikaty zawierają następujące szczegóły parametru CRT:
| Pole | Wymaganie |
|---|---|
| Algorytm podpisu | SHA256RSA |
| Algorytm skrótu podpisu | SHA256 |
| Prawidłowy od | Prawidłowa data poprzednia |
| Prawidłowa do | Prawidłowa data przyszłej |
| Klucz publiczny | RSA 2048 bitów (minimum) lub 4096 bitów |
| Punkt dystrybucji listy CRL | Adres URL serwera listy CRL. Jeśli organizacja nie weryfikuje certyfikatów na serwerze listy CRL, usuń ten wiersz z certyfikatu. |
| Nazwa pospolita podmiotu | nazwa domeny urządzenia, na przykład sensor.contoso.com lub contosocom |
| Temat (C)ountry | Kod kraju certyfikatu, taki jak US |
| Jednostka organizacyjna tematu (OU) | Nazwa jednostki organizacji, taka jak Contoso Labs |
| Temat (O)rganization | Nazwa organizacji, taka jak Contoso Inc. |
Ważne
Certyfikaty z innymi parametrami mogą działać, ale nie są obsługiwane przez usługę Defender dla IoT. Ponadto certyfikaty SSL z symbolami wieloznacznymi, które są certyfikatami kluczy publicznych, które mogą być używane w wielu domenach podrzędnych, takich jak .contoso.com, są niezabezpieczone i nie są obsługiwane. Każde urządzenie musi używać unikatowej nazwy CN.
Wymagania dotyczące plików kluczy
Upewnij się, że pliki klucza certyfikatu używają bitów RSA 2048 lub 4096 bitów. Użycie klucza o długości 4096 bitów spowalnia uzgadnianie PROTOKOŁU SSL na początku każdego połączenia i zwiększa użycie procesora PODCZAS uzgadniania.
Obsługiwane znaki dla kluczy i haseł
Następujące znaki są obsługiwane w przypadku tworzenia klucza lub certyfikatu przy użyciu hasła:
- Znaki ASCII, w tym a-z, A-Z, 0-9
- Następujące znaki specjalne: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~