A helyszíni erőforrások SSL-/TLS-tanúsítványkövetelményei
Ez a cikk az IoT-hez készült Microsoft Defender ot monitorozásának üzembehelyezési útvonalát ismerteti.
Az alábbi tartalomból megismerheti az SSL-/TLS-tanúsítványok létrehozásának követelményeit az IoT-berendezések Microsoft Defender használatához.
Az IoT-hez készült Defender SSL-/TLS-tanúsítványokkal biztosítja a kommunikációt a következő rendszerösszetevők között:
- Felhasználók és az OT-érzékelő vagy a helyszíni felügyeleti konzol felhasználói felületének elérése között
- Ot-érzékelők és egy helyszíni felügyeleti konzol között, beleértve az API-kommunikációt is
- Helyszíni felügyeleti konzol és magas rendelkezésre állású (HA) kiszolgáló között, ha konfigurálva van
- A riasztástovábbítási szabályokban meghatározott OT-érzékelők vagy helyszíni felügyeleti konzolok és partnerkiszolgálók között
Egyes szervezetek a tanúsítványokat a visszavont tanúsítványok listájával (CRL) és a tanúsítvány lejárati dátumával, valamint a tanúsítvány megbízhatósági láncával is ellenőrzik. Érvénytelen tanúsítványok nem tölthetők fel OT-érzékelőkre vagy helyszíni felügyeleti konzolokra, és blokkolják a Defender for IoT-összetevők közötti titkosított kommunikációt.
Fontos
Létre kell hoznia egy egyedi tanúsítványt minden egyes OT-érzékelőhöz, helyszíni felügyeleti konzolhoz és magas rendelkezésre állású kiszolgálóhoz, ahol minden tanúsítvány megfelel a szükséges feltételeknek.
Támogatott fájltípusok
Amikor SSL-/TLS-tanúsítványokat készít elő az IoT-Microsoft Defender való használatra, mindenképpen hozza létre a következő fájltípusokat:
| Fájltípus | Description |
|---|---|
| .crt – tanúsítványtároló fájlja | Egy .pem, vagy .der fájl, amely más kiterjesztéssel támogatja a Windows Intézőt. |
| .key – Titkos kulcsfájl | A kulcsfájlok formátuma megegyezik a .pem fájl formátumával, a Windows Intézőben pedig egy másik kiterjesztéssel. |
| .pem – tanúsítványtároló fájlja (nem kötelező) | Választható. A tanúsítvány szövegének Base64-kódolású szövegfájlja, valamint egy egyszerű szöveges élőfej és élőláb, amely a tanúsítvány elejét és végét jelöli. |
CRT-fájlkövetelmények
Győződjön meg arról, hogy a tanúsítványok tartalmazzák a következő CRT-paraméteradatokat:
| Mező | Követelmény |
|---|---|
| Aláírási algoritmus | SHA256RSA |
| Aláíráskivonat-algoritmus | SHA256 |
| Érvényesség: | Érvényes múltbeli dátum |
| Érvényesség: | Érvényes jövőbeli dátum |
| Nyilvános kulcs | RSA 2048 bit (minimum) vagy 4096 bit |
| CRL terjesztési pont | CRL-kiszolgáló URL-címe. Ha a szervezet nem érvényesíti a tanúsítványokat egy CRL-kiszolgálón, távolítsa el ezt a sort a tanúsítványból. |
| Tárgy CN (köznapi név) | a berendezés tartományneve, például sensor.contoso.com vagy .contosocom |
| Tárgy (C)ountry | Tanúsítvány országkódja, például US |
| Tárgy (OU) szervezeti egység | A szervezet egységneve, például a Contoso Labs |
| Tárgy (O)rganizáció | A szervezet neve, például Contoso Inc. |
Fontos
Bár a más paraméterekkel rendelkező tanúsítványok működhetnek, az IoT-hez készült Defender nem támogatja őket. Emellett a helyettesítő ssl-tanúsítványok, amelyek nyilvános kulcsú tanúsítványok, amelyek több altartományon(például .contoso.com) használhatók, nem biztonságosak, és nem támogatottak. Minden berendezésnek egyedi CN-t kell használnia.
Kulcsfájlra vonatkozó követelmények
Győződjön meg arról, hogy a tanúsítványkulcsfájlok RSA 2048 vagy 4096 bitet használnak. A 4096 bites kulcshossz használata lelassítja az SSL-kézfogást az egyes kapcsolatok elején, és növeli a processzorhasználatot a kézfogások során.
Tipp
Kulcs vagy tanúsítvány jelszóval történő létrehozásakor a következő karakterek használhatók: ASCII-karakterek (a-z, A-Z, 0-9) támogatottak, valamint az alábbi szimbólumok! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: