Sertifikat untuk enkripsi dan autentikasi appliance (appliance OT)

Artikel ini memberikan informasi yang diperlukan saat membuat dan menyebarkan sertifikat untuk Pertahanan Microsoft untuk IoT. Keamanan, PKI, atau prospek sertifikat berkualifikasi lainnya harus menangani pembuatan dan penerapan sertifikat.

Azure Defender untuk IoT menggunakan sertifikat SSL/TLS untuk mengamankan komunikasi antara komponen sistem berikut:

  • Antara pengguna dan konsol web appliance.
  • Antara sensor dan konsol manajemen lokal.
  • Antara konsol manajemen dan konsol manajemen Ketersediaan Tinggi.
  • Ke REST API pada sensor dan konsol manajemen lokal.

Pengguna Admin Defender untuk IoT dapat mengunggah sertifikat ke konsol sensor dan konsol manajemen lokal mereka dari kotak dialog Sertifikat SSL/TLS.

Cuplikan layar halaman sertifikat masuk sensor awal.

Tentang metode pembuatan sertifikat

Semua metode pembuatan sertifikat didukung dengan menggunakan:

  • Infrastruktur Kunci Privat dan Perusahaan (PKI Privat).
  • Infrastruktur Kunci Umum (PKI Publik).
  • Dihasilkan secara lokal pada appliance (ditandatangani sendiri secara lokal).

Penting

Tidak disarankan untuk menggunakan sertifikat yang ditandatangani sendiri secara lokal. Jenis koneksi ini tidak aman dan seharusnya digunakan hanya untuk lingkungan pengujian. Karena pemilik sertifikat tidak dapat divalidasi dan keamanan sistem Anda tidak dapat dipertahankan, sertifikat yang ditandatangani sendiri tidak boleh digunakan untuk jaringan produksi.

Tentang validasi sertifikat

Selain mengamankan komunikasi antar komponen sistem, pengguna juga dapat melakukan validasi sertifikat.

Validasi dievaluasi terhadap:

  • Daftar Pencabutan Sertifikat (CRL)
  • Tanggal kedaluwarsa sertifikat
  • Rantai kepercayaan sertifikat

Validasi dilakukan dua kali:

  1. Saat mengunggah sertifikat ke sensor dan konsol manajemen lokal. Jika validasi gagal, sertifikat tidak dapat diunggah.

  2. Saat memulai komunikasi terenkripsi antara:

    • Azure Defender untuk komponen sistem IoT, misalnya, sensor dan konsol manajemen lokal.

    • Defender untuk IoT dan server pihak ketiga tertentu yang ditentukan dalam aturan penerusan pemberitahuan. Untuk informasi selengkapnya, lihat Meneruskan informasi pemberitahuan OT.

Jika validasi gagal, komunikasi antara komponen yang relevan dihentikan dan kesalahan validasi ditampilkan di konsol.

Tentang unggahan sertifikat ke appliance Defender for IoT

Setelah instalasi konsol manajemen sensor dan lokal, sertifikat lokal yang ditandatangani sendiri dihasilkan dan digunakan untuk mengakses sensor dan aplikasi web konsol manajemen lokal.

Saat masuk ke sensor dan konsol manajemen lokal untuk pertama kalinya, pengguna Admin diminta untuk mengunggah sertifikat SSL/TLS. Menggunakan sertifikat SSL/TLS sangat dianjurkan.

Jika sertifikat tidak dibuat dengan benar oleh prospek sertifikat atau ada masalah koneksi, sertifikat tidak dapat diunggah dan pengguna akan dipaksa untuk bekerja dengan sertifikat yang ditandatangani secara lokal.

Opsi untuk memvalidasi sertifikat yang diunggah dan sertifikat pihak ketiga diaktifkan secara otomatis, tetapi dapat dinonaktifkan. Saat dinonaktifkan, komunikasi terenkripsi antar komponen berlanjut, meskipun sertifikat tidak valid.

Penyebaran sertifikat

Bagian ini menjelaskan langkah-langkah yang perlu Anda ambil untuk memastikan bahwa penerapan sertifikat berjalan lancar.

Untuk menerapkan sertifikat, verifikasi bahwa:

  • Seorang spesialis keamanan, PKI atau sertifikat membuat atau mengawasi pembuatan sertifikat.
  • Anda membuat sertifikat unik untuk setiap sensor, konsol manajemen, dan komputer high availability.
  • Anda memenuhi persyaratan pembuatan sertifikat.
  • Pengguna admin yang masuk ke setiap sensor Defender untuk IoT, dan konsol manajemen lokal serta mesin HA memiliki akses ke sertifikat.

Sertifikat SSL yang didukung

Bagian ini mencakup persyaratan untuk penyebaran sertifikat yang berhasil, termasuk:

Akses server CRL untuk validasi sertifikat

Jika Anda bekerja dengan validasi sertifikat, verifikasi akses ke port 80 tersedia.

Validasi dievaluasi terhadap Daftar Pencabutan Sertifikat dan tanggal kedaluwarsa sertifikat. Ini berarti appliance harus dapat membuat koneksi ke server CRL yang ditentukan oleh sertifikat. Secara default, sertifikat akan mereferensikan URL CRL pada port HTTP 80.

Beberapa kebijakan keamanan organisasi dapat memblokir akses ke port ini. Jika organisasi Anda tidak memiliki akses ke port 80, Anda dapat:

  1. Tentukan URL lain dan port tertentu dalam sertifikat.

    • URL harus didefinisikan sebagai http: // bukan https: //.

    • Verifikasi bahwa server CRL tujuan dapat mendengarkan di port yang Anda tentukan.

  2. Gunakan server proxy yang akan mengakses CRL di port 80.

Jenis file sertifikat yang didukung

Azure Defender untuk IoT mensyaratkan bahwa setiap sertifikat yang ditandatangani CA berisi file .key dan file .crt. File-file ini diunggah ke sensor dan konsol manajemen Lokal setelah login. Beberapa organisasi mungkin memerlukan file .pem. Defender untuk IoT tidak memerlukan jenis file ini.

.crt – file kontainer sertifikat

File berformat .pem, atau .der dengan ekstensi yang berbeda. File ini dapat dikenali oleh Windows Explorer sebagai sertifikat. File .pem tidak dikenali oleh Windows Explorer.

.key – File kunci privat

File kunci ada di format yang sama dengan file PEM, tetapi memiliki ekstensi yang berbeda.

.pem – file kontainer sertifikat (opsional)

PEM adalah file teks yang berisi pengodean Base64 dari teks sertifikat, header teks biasa & catatan kaki yang menandai awal dan akhir sertifikat.

Anda mungkin perlu mengonversi tipe file yang ada ke tipe yang didukung. Lihat Mengonversi file yang sudah ada ke file yang didukung untuk detailnya.

Persyaratan parameter file sertifikat

Verifikasi bahwa Anda telah memenuhi persyaratan parameter berikut sebelum membuat sertifikat:

Persyaratan file CRT

Bagian ini mencakup persyaratan bidang .crt.

  • Algoritma Tanda Tangan = SHA256RSA
  • Algoritme Hash Tanda Tangan = SHA256
  • Berlaku dari = Tanggal sebelumnya yang valid
  • Berlaku hingga = Tanggal mendatang yang valid
  • Kunci Umum = RSA 2048 bit (Minimum) atau 4096 bit
  • Titik Distribusi CRL = URL ke file .crl
  • Subjek CN (Nama Umum) = nama domain alat; misalnya, Sensor.contoso.com, atau *.contoso.com.
  • Subjek (C)ountry = ditentukan, misalnya, AS
  • Subjek (OU) Unit Org= ditentukan, misalnya, Contoso Labs
  • Subjek (O)rganization = ditentukan, misalnya, Contoso Inc.

Penting

Sertifikat dengan parameter lain mungkin berfungsi, tetapi Microsoft tidak mendukungnya. Sertifikat SSL kartubebas (sertifikat kunci publik yang dapat digunakan pada beberapa subdomain seperti *.contoso.com) tidak didukung dan tidak aman. Setiap appliance harus menggunakan CN yang unik.

Persyaratan file kunci

Gunakan RSA 2048 bit atau 4096 bit.

Saat menggunakan panjang kunci 4096 bit, jabat tangan SSL pada awal setiap koneksi akan lebih lambat. Selain itu, ada peningkatan penggunaan CPU selama jabat tangan.

Menggunakan rantai sertifikat (opsional)

File .pem yang berisi sertifikat semua otoritas sertifikat dalam rantai kepercayaan yang mengarah ke sertifikat Anda.

Atribut tas didukung dalam file rantai sertifikat.

Membuat sertifikat SSL

Gunakan platform manajemen sertifikat untuk membuat sertifikat, misalnya, platform manajemen PKI otomatis. Verifikasi bahwa sertifikat memenuhi persyaratan file sertifikat. Untuk informasi selengkapnya tentang menguji file yang Anda buat, lihat Menguji sertifikat yang Anda buat.

Jika Anda tidak melakukan validasi sertifikat, hapus referensi URL CRL di sertifikat. Lihat persyaratan file CRT untuk informasi tentang parameter ini.

Konsultasikan keamanan, PKI, atau prospek sertifikat lain yang memenuhi syarat jika Anda tidak memiliki aplikasi yang dapat membuat sertifikat secara otomatis.

Anda dapat Menguji sertifikat yang Anda buat.

Anda juga dapat mengonversi file sertifikat yang sudah ada jika Anda tidak ingin membuat yang baru. Lihat Mengonversi file yang sudah ada ke file yang didukung untuk detailnya.

Sertifikat Sampel

Bandingkan sertifikat Anda dengan sertifikat sampel berikut. Verifikasi bahwa bidang yang sama keluar dan urutan bidangnya sama:

Cuplikan layar sertifikat sampel.

Sertifikat uji yang Anda buat

Uji sertifikat sebelum menyebarkannya ke sensor dan konsol manajemen lokal Anda. Jika Anda ingin memeriksa informasi dalam file .csr sertifikat atau file kunci privat, gunakan perintah ini:

Uji Perintah CLI
Memeriksa Permintaan Penandatanganan Sertifikat (CSR) openssl req -text -noout -verify -in CSR.csr
Memeriksa kunci privat openssl rsa -in privateKey.key -check
Memeriksa sertifikat openssl x509 -in certificate.crt -text -noout

Jika tes ini gagal, tinjau persyaratan parameter file Sertifikat untuk memverifikasi parameter file yang akurat, atau konsultasikan dengan prospek sertifikat Anda.

Mengonversi file yang sudah ada ke file yang didukung

Bagian ini menjelaskan cara mengonversi file sertifikat yang ada ke format yang didukung.

Deskripsi Perintah CLI
Mengonversi file .crt ke file .pem openssl x509 -inform PEM -in <full path>/<pem-file-name>.crt -out <fullpath>/<crt-file-name>.pem
Mengonversi file .pem ke file .crt openssl x509 -inform PEM -in <full path>/<pem-file-name>.pem -out <fullpath>/<crt-file-name>.crt
Mengonversi file PKCS#12 (.pfx .p12) yang berisi kunci privat dan sertifikat menjadi .pem openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes. Anda dapat menambahkan -nocerts untuk hanya menampilkan kunci privat, atau menambahkan -nokeys untuk hanya menampilkan sertifikat.
Mengonversi file .cer ke file .crt openssl x509 -inform PEM -in <filepath>/certificate.cer -out certificate.crt
Pastikan untuk menentukan jalur lengkap.

Catatan: Opsi lain tersedia untuk bendera -inform. Nilainya biasanya DER atau PEM tetapi mungkin juga P12 atau nilai lain. Untuk informasi selengkapnya, lihat openssl-format-options dan openssl-x509.

Pemecahan Masalah

Bagian ini mencakup berbagai masalah yang mungkin terjadi selama pengunggahan dan validasi sertifikat, dan langkah-langkah yang harus diambil untuk mengatasi masalah.

Memecahkan masalah CA-Pengunggahan Sertifikat

Admin pengguna yang mencoba masuk ke sensor atau konsol manajemen lokal untuk pertama kalinya tidak akan dapat mengunggah sertifikat yang ditandatangani CA jika sertifikat tidak dibuat dengan benar atau tidak valid. Jika pengunggahan sertifikat gagal, satu atau beberapa pesan kesalahan akan ditampilkan:

Kesalahan validasi sertifikat Rekomendasi
Frase sandi tidak cocok dengan kunci Pastikan Anda mengetikkan frasa sandi yang benar. Jika masalah berlanjut, cobalah membuat ulang sertifikat menggunakan frasa sandi yang benar.
Tidak dapat memvalidasi rantai kepercayaan. Sertifikat dan CA Akar yang disediakan tidak cocok. Pastikan file .pem berkorelasi dengan file .crt. Jika masalah berlanjut, coba buat ulang sertifikat menggunakan rantai kepercayaan yang benar (ditentukan oleh file .pem).
Sertifikat SSL ini telah kedaluwarsa dan tidak dianggap valid. Membuat sertifikat baru dengan tanggal yang valid.
Sertifikat SSL ini telah kedaluwarsa dan tidak dianggap valid. Membuat sertifikat baru dengan tanggal yang valid.
Sertifikat ini telah dicabut oleh CRL dan tidak dapat dipercaya untuk koneksi yang aman Buat sertifikat baru yang belum dicabut.
Lokasi CRL (Certificate Revocation List) tidak dapat dijangkau. Pastikan URL dapat diakses dari appliance ini Pastikan konfigurasi jaringan Anda memungkinkan appliance untuk menjangkau CRL Server yang ditentukan dalam sertifikat. Anda dapat menggunakan server proksi jika ada batasan dalam membuat koneksi langsung.
Validasi sertifikat gagal Ini menunjukkan kesalahan umum dalam appliance. Hubungi Dukungan Microsoft.

Memecahkan masalah konversi file

Konversi file Anda mungkin tidak membuat sertifikat yang valid. Misalnya, struktur file mungkin tidak akurat.

Jika konversi gagal:

Langkah berikutnya

Untuk informasi selengkapnya, lihat Mengidentifikasi peralatan yang diperlukan.