Anforderungen an SSL/TLS-Zertifikate für lokale Ressourcen
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.
Verwenden Sie den folgenden Inhalt, um mehr über die Anforderungen zum Erstellen von SSL-/TLS-Zertifikaten für die Verwendung mit Microsoft Defender for IoT-Appliances zu erfahren.
Von Defender für IoT werden SSL/TLS-Zertifikate genutzt, um die Kommunikation zwischen den folgenden Systemkomponenten zu schützen:
- Zwischen Benutzer*innen und dem OT-Sensor oder beim Zugriff über die Benutzeroberfläche der lokalen Verwaltungskonsole
- Zwischen OT-Sensoren und einer lokalen Verwaltungskonsole, einschließlich API-Kommunikation
- Zwischen einer lokalen Verwaltungskonsole und einem Hochverfügbarkeitsserver (sofern konfiguriert)
- Zwischen OT-Sensoren oder lokalen Verwaltungskonsolen und Partnerservern, die in Warnungsweiterleitungsregeln definiert sind
Einige Organisationen überprüfen ihre Zertifikate auch anhand einer Zertifikatssperrliste (Certificate Revocation List, CRL), dem Ablaufdatum des Zertifikats und der Vertrauenskette des Zertifikats. Ungültige Zertifikate können nicht auf OT-Sensoren oder lokale Verwaltungskonsolen hochgeladen werden, und sie blockieren die verschlüsselte Kommunikation zwischen Defender for IoT-Komponenten.
Wichtig
Sie müssen für jeden OT-Sensor, jede lokale Verwaltungskonsole und jeden Hochverfügbarkeitsserver ein eigenes Zertifikat erstellen, wobei jedes Zertifikat die erforderlichen Kriterien erfüllen muss.
Unterstützte Dateitypen
Stellen Sie beim Vorbereiten von SSL/TLS-Zertifikaten für die Verwendung mit Microsoft Defender for IoT sicher, dass Sie die folgenden Dateitypen erstellen:
| Dateityp | BESCHREIBUNG |
|---|---|
| CRT: Zertifikatcontainerdatei | Eine .pem- oder .der-Datei mit einer anderen Erweiterung zur Unterstützung im Windows-Explorer |
| KEY: Datei mit dem privaten Schlüssel | Eine Schlüsseldatei mit dem gleichen Format wie eine .pem-Datei, aber mit einer anderen Erweiterung zur Unterstützung im Windows-Explorer |
| PEM: Zertifikatcontainerdatei (optional) | Optional. Eine Textdatei mit Base64-Codierung des Zertifikattexts und einer Nur-Text-Kopf- und -Fußzeile, um den Anfang und das Ende des Zertifikats zu kennzeichnen. |
Anforderungen an die CRT-Datei
Stellen Sie sicher, dass Ihre Zertifikate die folgenden CRT-Parameterdetails enthalten:
| Feld | Anforderung |
|---|---|
| Signaturalgorithmus | SHA256RSA |
| Signaturhashalgorithmus | SHA256 |
| Gültig ab | Ein gültiges Datum in der Vergangenheit |
| Gültig bis | Ein gültiges Datum in der Zukunft |
| Öffentlicher Schlüssel | RSA mit 2.048 Bit (mindestens) oder 4.096 Bit |
| CRL-Verteilungspunkt | URL zu einem CRL-Server. Wenn Ihre Organisation Zertifikate nicht mit einem CRL-Server überprüft, entfernen Sie diese Zeile aus dem Zertifikat. |
| Antragsteller-CN (allgemeiner Name) | Domänenname der Appliance, z. B. sensor.contoso.com oder .contoso.com |
| Land des Antragstellers | Landeskennzahl des Zertifikats, z. B. US |
| Organisationseinheit (OE) des Antragsstellers | Der Name der Organisationseinheit, z. B. Contoso Labs |
| Organisation des Antragsstellers | Der Name der Organisation, z. B. Contoso Inc. |
Wichtig
Zertifikate mit anderen Parametern funktionieren zwar möglicherweise ebenfalls, werden aber von Defender for IoT nicht unterstützt. SSL-Platzhalterzertifikate, also Zertifikate mit öffentlichen Schlüsseln, die für mehrere Unterdomänen wie .contoso.com verwendet werden können, gelten als unsicher und werden nicht unterstützt. Jede Appliance muss einen eindeutigen CN haben.
Anforderungen an die Schlüsseldatei
Stellen Sie sicher, dass Ihre Zertifikatschlüsseldateien entweder RSA 2048 Bits oder 4096 Bits verwenden. Die Verwendung einer Schlüssellänge von 4096 Bit verlangsamt den SSL-Handshake zu Beginn jeder Verbindung und erhöht die CPU-Auslastung während des Handshakes.
Tipp
Die folgenden Zeichen können beim Erstellen eines Schlüssels oder Zertifikats mit einer Passphrase verwendet werden: ASCII-Zeichen (a-z, A-Z, 0-9) werden unterstützt, sowie die folgenden Symbole ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~