متطلبات شهادة SSL/TLS للموارد المحلية
هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT مع Microsoft Defender ل IoT.
استخدم المحتوى أدناه للتعرف على متطلبات إنشاء شهادات SSL/TLS لاستخدامها مع Microsoft Defender لأجهزة IoT.
يستخدم Defender for IoT شهادات SSL/TLS لتأمين الاتصال بين مكونات النظام التالية:
- بين المستخدمين ومستشعر OT أو الوصول إلى واجهة مستخدم وحدة تحكم الإدارة المحلية
- بين مستشعرات OT ووحدة تحكم إدارة محلية، بما في ذلك اتصال واجهة برمجة التطبيقات
- بين وحدة تحكم إدارة محلية وخادم قابلية وصول عالية (HA)، إذا تم تكوينه
- بين مستشعرات OT أو وحدات تحكم الإدارة المحلية وخوادم الشركاء المحددة في قواعد إعادة توجيه التنبيه
تتحقق بعض المؤسسات أيضا من صحة شهاداتها مقابل قائمة إبطال الشهادات (CRL) وتاريخ انتهاء صلاحية الشهادة وسلسلة ثقة الشهادة. لا يمكن تحميل الشهادات غير الصالحة إلى مستشعرات OT أو وحدات تحكم الإدارة المحلية، وستحظر الاتصال المشفر بين مكونات Defender for IoT.
هام
يجب إنشاء شهادة فريدة لكل مستشعر OT ووحدة تحكم إدارة محلية وخادم قابلية وصول عالية، حيث تفي كل شهادة بالمعايير المطلوبة.
أنواع الملفات المدعومة
عند إعداد شهادات SSL/TLS للاستخدام مع Microsoft Defender ل IoT، تأكد من إنشاء أنواع الملفات التالية:
نوع الملف | الوصف |
---|---|
.crt – ملف حاوية الشهادة | .pem ملف أو .der ، مع ملحق مختلف للدعم في مستكشف Windows. |
.key – ملف المفتاح الخاص | يكون الملف الرئيسي بتنسيق الملف نفسه .pem ، مع ملحق مختلف للدعم في مستكشف Windows. |
.pem – ملف حاوية الشهادة (اختياري) | اختياري. ملف نصي مع ترميز Base64 لنص الشهادة، ورأس وتذييل نص عادي لوضع علامة على بداية الشهادة ونهاتها. |
متطلبات ملف CRT
تأكد من أن شهاداتك تتضمن تفاصيل معلمة CRT التالية:
الحقل | المتطلبات |
---|---|
خوارزمية التوقيع | SHA256RSA |
خوارزمية تجزئة التوقيع | SHA256 |
صالح من | تاريخ سابق صالح |
صالح إلى | تاريخ مستقبلي صالح |
المفتاح العام | RSA 2048 بت (الحد الأدنى) أو 4096 بت |
نقطة توزيع CRL | عنوان URL لخادم CRL. إذا لم تتحقق مؤسستك من صحة الشهادات مقابل خادم CRL، فقم بإزالة هذا السطر من الشهادة. |
الموضوع CN (الاسم الشائع) | اسم مجال الجهاز، مثل sensor.contoso.com أو .contosocom |
الموضوع (C)ountry | رمز بلد الشهادة، مثل US |
وحدة المؤسسة للموضوع (OU) | اسم وحدة المؤسسة، مثل Contoso Labs |
تنظيم الموضوع (O) | اسم المؤسسة، مثل Contoso Inc. |
هام
بينما قد تعمل الشهادات ذات المعلمات الأخرى، فإنها غير مدعومة من قبل Defender ل IoT. بالإضافة إلى ذلك، شهادات SSL لأحرف البدل، وهي شهادات مفتاح عام يمكن استخدامها في مجالات فرعية متعددة مثل .contoso.com، غير آمنة وغير مدعومة. يجب أن يستخدم كل جهاز CN فريدا.
متطلبات الملف الرئيسية
تأكد من أن ملفات مفتاح الشهادة تستخدم إما RSA 2048 bits أو 4096 بت. يؤدي استخدام طول مفتاح 4096 بت إلى إبطاء تأكيد اتصال SSL في بداية كل اتصال، ويزيد من استخدام وحدة المعالجة المركزية أثناء المصافحات.
الأحرف المعتمدة للمفاتيح وعبارات المرور
يتم اعتماد الأحرف التالية لإنشاء مفتاح أو شهادة باستخدام عبارة مرور:
- أحرف ASCII، بما في ذلك a-z، A-Z، 0-9
- الأحرف الخاصة التالية: ! # ٪ ( ) + ، - - / : = ? @ [ \ ] ^ _ { } ~