Požadavky na certifikát SSL/TLS pro místní prostředky
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defender pro IoT.
V následujícím obsahu se dozvíte o požadavcích na vytváření certifikátů SSL/TLS pro použití s Microsoft Defender pro zařízení IoT.
Defender for IoT používá certifikáty SSL/TLS k zabezpečení komunikace mezi následujícími součástmi systému:
- Přístup k uživatelskému rozhraní mezi uživateli a senzorem OT nebo místní konzolou pro správu
- Mezi senzory OT a místní konzolou pro správu, včetně komunikace s rozhraním API
- Mezi místní konzolou pro správu a serverem s vysokou dostupností (HA), pokud je nakonfigurovaný
- Mezi senzory OT nebo místními konzolami pro správu a partnerskými servery definovanými v pravidlech předávání upozornění
Některé organizace také ověřují certifikáty podle seznamu odvolaných certifikátů (CRL), data vypršení platnosti certifikátu a řetězu důvěryhodnosti certifikátů. Neplatné certifikáty se nedají nahrát do senzorů OT ani do místních konzol pro správu a zablokují šifrovanou komunikaci mezi komponentami Defenderu for IoT.
Důležité
Pro každý senzor OT, místní konzolu pro správu a server s vysokou dostupností, kde každý certifikát splňuje požadovaná kritéria, musíte vytvořit jedinečný certifikát.
Podporované typy souborů
Při přípravě certifikátů SSL/TLS pro použití s Microsoft Defender for IoT nezapomeňte vytvořit následující typy souborů:
| Typ souboru | Description |
|---|---|
| .crt – soubor kontejneru certifikátu | Soubor .pem, nebo .der s jinou příponou pro podporu v Průzkumníku Windows. |
| .key – soubor privátního klíče | Soubor klíče je ve stejném formátu jako .pem soubor s jinou příponou pro podporu v Průzkumníku Windows. |
| .pem – soubor kontejneru certifikátu (volitelné) | Nepovinný parametr. Textový soubor s kódováním Base64 textu certifikátu a záhlavím a zápatím ve formátu prostého textu pro označení začátku a konce certifikátu. |
Požadavky na soubory CRT
Ujistěte se, že vaše certifikáty obsahují následující podrobnosti o parametrech CRT:
| Pole | Požadavek |
|---|---|
| Algoritmus podpisu | SHA256RSA |
| Podpisový hashovací algoritmus | SHA256 |
| Platné od | Platné datum v minulosti |
| Platnost do | Platné budoucí datum |
| Veřejný klíč | RSA 2048 bitů (minimum) nebo 4096 bitů |
| Distribuční bod seznamu CRL | Adresa URL serveru CRL. Pokud vaše organizace neověřuje certifikáty na serveru CRL, odeberte tento řádek z certifikátu. |
| Běžný název subjektu (CN) | název domény zařízení, například sensor.contoso.com nebo .contosocom |
| Předmět (C) ountry | Kód země certifikátu, například US |
| Předmět organizační jednotky (OU) | Název jednotky organizace, například Contoso Labs |
| Předmět (O)rganizace | Název organizace, například Contoso Inc. |
Důležité
I když certifikáty s jinými parametry můžou fungovat, Defender for IoT je nepodporuje. Kromě toho jsou certifikáty SSL se zástupnými nátisky, což jsou certifikáty s veřejnými klíči, které se dají používat v několika subdoménách, jako je .contoso.com, nezabezpečené a nepodporují se. Každé zařízení musí používat jedinečný cn.
Požadavky na soubory klíčů
Ujistěte se, že soubory klíčů certifikátu používají buď 2048 bitů RSA, nebo 4096 bitů. Použití klíče o délce 4096 bitů zpomaluje metodu handshake PROTOKOLU SSL na začátku každého připojení a zvyšuje využití procesoru během metody handshake.
Tip
Při vytváření klíče nebo certifikátu s přístupovým heslem lze použít následující znaky: Podporují se znaky ASCII (a-z, A-Z, 0-9) a také následující symboly ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~