متطلبات شهادة SSL/TLS للموارد المحلية
هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT مع Microsoft Defender ل IoT.
استخدم المحتوى أدناه للتعرف على متطلبات إنشاء شهادات SSL/TLS لاستخدامها مع Microsoft Defender لأجهزة IoT.
يستخدم Defender for IoT شهادات SSL/TLS لتأمين الاتصال بين مكونات النظام التالية:
- بين المستخدمين ومستشعر OT أو الوصول إلى واجهة مستخدم وحدة تحكم الإدارة المحلية
- بين مستشعرات OT ووحدة تحكم إدارة محلية، بما في ذلك اتصال واجهة برمجة التطبيقات
- بين وحدة تحكم إدارة محلية وخادم قابلية وصول عالية (HA)، إذا تم تكوينه
- بين مستشعرات OT أو وحدات تحكم الإدارة المحلية وخوادم الشركاء المحددة في قواعد إعادة توجيه التنبيه
تتحقق بعض المؤسسات أيضا من صحة شهاداتها مقابل قائمة إبطال الشهادات (CRL) وتاريخ انتهاء صلاحية الشهادة وسلسلة ثقة الشهادة. لا يمكن تحميل الشهادات غير الصالحة إلى مستشعرات OT أو وحدات تحكم الإدارة المحلية، وستحظر الاتصال المشفر بين مكونات Defender for IoT.
هام
يجب إنشاء شهادة فريدة لكل مستشعر OT ووحدة تحكم إدارة محلية وخادم قابلية وصول عالية، حيث تفي كل شهادة بالمعايير المطلوبة.
أنواع الملفات المدعومة
عند إعداد شهادات SSL/TLS لاستخدامها مع Microsoft Defender ل IoT، تأكد من إنشاء أنواع الملفات التالية:
| نوع الملف | الوصف |
|---|---|
| .crt – ملف حاوية الشهادة | .pemملف أو .der ، مع ملحق مختلف للدعم في مستكشف Windows. |
| .key – ملف المفتاح الخاص | الملف الرئيسي بنفس تنسيق .pem الملف، مع ملحق مختلف للدعم في مستكشف Windows. |
| .pem – ملف حاوية الشهادة (اختياري) | اختياري. ملف نصي مع ترميز Base64 لنص الشهادة، ورأس وتذييل نص عادي لوضع علامة على بداية الشهادة ونهاتها. |
متطلبات ملف CRT
تأكد من أن شهاداتك تتضمن تفاصيل معلمة CRT التالية:
| الحقل | المتطلبات |
|---|---|
| خوارزمية التوقيع | SHA256RSA |
| خوارزمية تجزئة التوقيع | SHA256 |
| صالح من | تاريخ سابق صالح |
| صالح إلى | تاريخ مستقبلي صالح |
| المفتاح العام | RSA 2048 بت (الحد الأدنى) أو 4096 بت |
| نقطة توزيع CRL | عنوان URL لخادم CRL. إذا لم تتحقق مؤسستك من صحة الشهادات مقابل خادم CRL، فقم بإزالة هذا السطر من الشهادة. |
| الموضوع CN (الاسم الشائع) | اسم المجال للجهاز، مثل sensor.contoso.com أو .contosocom |
| الموضوع (C)ountry | رمز بلد الشهادة، مثل US |
| الوحدة التنظيمية للموضوع (OU) | اسم وحدة المؤسسة، مثل Contoso Labs |
| تنظيم الموضوع (O) | اسم المؤسسة، مثل Contoso Inc. |
هام
بينما قد تعمل الشهادات ذات المعلمات الأخرى، فإنها غير مدعومة من قبل Defender for IoT. بالإضافة إلى ذلك، شهادات SSL لأحرف البدل، وهي شهادات مفتاح عام يمكن استخدامها في مجالات فرعية متعددة مثل .contoso.com، غير آمنة وغير مدعومة. يجب أن يستخدم كل جهاز CN فريدا.
متطلبات الملف الرئيسية
تأكد من أن ملفات مفتاح الشهادة تستخدم إما RSA 2048 بت أو 4096 بت. يؤدي استخدام طول مفتاح 4096 بت إلى إبطاء تأكيد اتصال SSL في بداية كل اتصال، ويزيد من استخدام وحدة المعالجة المركزية أثناء المصافحات.
تلميح
يمكن استخدام الأحرف التالية عند إنشاء مفتاح أو شهادة باستخدام عبارة مرور: يتم دعم أحرف ASCII (a-z، A-Z، 0-9)، بالإضافة إلى الرموز التالية ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~