Distribuire certificati SSL/TLS in appliance OT

Questo articolo descrive come creare e distribuire certificati SSL/TLS nei sensori di rete OT e nelle console di gestione locali. Defender per IoT usa certificati SSL/TLS per proteggere la comunicazione tra i componenti di sistema seguenti:

  • Tra gli utenti e il sensore OT o l'accesso all'interfaccia utente della console di gestione locale
  • Tra i sensori OT e una console di gestione locale, inclusa la comunicazione con le API
  • Tra una console di gestione locale e un server a disponibilità elevata, se configurata
  • Tra i sensori OT o le console di gestione locali e i server partner definiti nelle regole di inoltro degli avvisi

Alcune organizzazioni convalidano anche i certificati in base a un elenco di revoche di certificati (CRL) e alla data di scadenza del certificato e alla catena di attendibilità dei certificati. I certificati non validi non possono essere caricati nei sensori OT o nelle console di gestione locali e bloccano la comunicazione crittografata tra i componenti di Defender per IoT.

Ogni certificato firmato dall'autorità di certificazione deve avere sia un .key file che un .crt file, che vengono caricati nei sensori di rete OT e nelle console di gestione locali dopo il primo accesso. Anche se alcune organizzazioni potrebbero richiedere un .pem file, un .pem file non è necessario per Defender per IoT.

Assicurarsi di creare un certificato univoco per ogni sensore OT, console di gestione locale e server a disponibilità elevata, in cui ogni certificato soddisfa i criteri dei parametri richiesti.

Prerequisiti

Per eseguire le procedure descritte in questo articolo, assicurarsi che:

  • Si dispone di uno specialista di sicurezza, PKI o certificato disponibile per supervisionare la creazione del certificato

  • È possibile accedere al sensore di rete OT o alla console di gestione locale come utente Amministrazione.

    Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Distribuire un certificato SSL/TLS

Distribuire il certificato SSL/TLS importandolo nel sensore OT o nella console di gestione locale.

Verificare che il certificato SSL/TLS soddisfi i parametri necessari e che sia possibile accedere a un server CRL.

Importare il certificato SSL/TLS

Per distribuire un certificato in un sensore OT:

  1. Accedere al sensore OT e selezionare Impostazioni >di sistema CertificatoSSL/TLSdi base>

  2. Nel riquadro Certificato SSL/TLS immettere il nome del certificato e la passphrase e quindi caricare i file creati in precedenza.

    Selezionare Abilita convalida del certificato per convalidare il certificato in un server CRL.

  3. Selezionare Salva per salvare le impostazioni del certificato.

Per distribuire un certificato in un sensore della console di gestione locale:

  1. Accedere al sensore OT e selezionare Impostazioni> di sistemaCertificati SSL/TLS.

  2. Nella finestra di dialogo Certificati SSL/TLS selezionare Aggiungi certificato.

  3. Nell'area Importa un certificato con firma CA attendibile immettere un nome di certificato e una passphrase facoltativa e quindi caricare i file creati in precedenza.

  4. Selezionare l'opzione Abilita convalida certificato per convalidare il certificato in un server CRL.

  5. Selezionare Salva per salvare le impostazioni del certificato.

È anche possibile importare il certificato nel sensore OT usando i comandi dell'interfaccia della riga di comando.

Verificare i requisiti dei parametri del file di certificato

Verificare che i certificati soddisfino i requisiti seguenti:

  • Requisiti dei file CRT:

    Campo Requisito
    Algoritmo di firma SHA256RSA
    Algoritmo hash della firma SHA256
    Valido da Data precedente valida
    Valido fino al Data futura valida
    Chiave pubblica BIT RSA 2048 (minimo) o 4096 bit
    Punto di distribuzione CRL URL di un server CRL. Se l'organizzazione non convalida i certificati in un server CRL, rimuovere questa riga dal certificato.
    Cn soggetto (nome comune) nome di dominio dell'appliance, ad esempio sensor.contoso.com o .contoso.com
    Oggetto (C)ountry Codice paese del certificato, ad esempio US
    Unità organizzativa soggetto (OU) Nome dell'unità dell'organizzazione, ad esempio Contoso Labs
    Oggetto (O)rganizzazione Nome dell'organizzazione, ad esempio Contoso Inc.

    Importante

    Anche se i certificati con altri parametri potrebbero funzionare, non sono supportati da Defender per IoT. Inoltre, i certificati SSL con caratteri jolly, che sono certificati a chiave pubblica che possono essere usati in più sottodomini, ad esempio .contoso.com, non sono sicuri e non sono supportati. Ogni appliance deve usare un cn univoco.

  • Requisiti dei file chiave: usare i bit RSA 2048 o 4096 bit. L'uso di una lunghezza della chiave di 4096 bit rallenta l'handshake SSL all'inizio di ogni connessione e aumenta l'utilizzo della CPU durante gli handshake.

  • (Facoltativo) Creare una catena di certificati, ovvero un .pem file contenente i certificati di tutte le autorità di certificazione nella catena di attendibilità che ha portato al certificato. I file della catena di certificati supportano gli attributi del contenitore.

Verificare l'accesso al server CRL

Se l'organizzazione convalida i certificati, i sensori OT e la console di gestione locale devono essere in grado di accedere al server CRL definito dal certificato. Per impostazione predefinita, i certificati accedono all'URL del server CRL tramite la porta HTTP 80. Tuttavia, alcuni criteri di sicurezza dell'organizzazione bloccano l'accesso a questa porta.

Se i sensori OT e le console di gestione locali non possono accedere al server CRL sulla porta 80, è possibile usare una delle soluzioni alternative seguenti:

  • Definire un altro URL e una porta nel certificato:

    • L'URL definito deve essere configurato come http: // e non https://
    • Assicurarsi che il server CRL di destinazione possa essere in ascolto sulla porta definita
  • Usare un server proxy che possa accedere al CRL sulla porta 80

    Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT.

Se la convalida non riesce, la comunicazione tra i componenti pertinenti viene interrotta e viene visualizzato un errore di convalida nella console.

Creare un certificato

Creare un certificato SSL/TLS firmato dalla CA o un certificato SSL/TLS autofirmato (scelta non consigliata).

Creare certificati SSL/TLS firmati dall'autorità di certificazione

Usare una piattaforma di gestione dei certificati, ad esempio una piattaforma di gestione PKI automatizzata, per creare un certificato. Verificare che il certificato soddisfi i requisiti del file di certificato e quindi testare il file di certificato creato al termine.

Se non si esegue la convalida del certificato, rimuovere il riferimento all'URL CRL nel certificato. Per altre informazioni, vedere Requisiti dei file di certificato.

Se non si dispone di un'applicazione in grado di creare automaticamente certificati, consultare un lead di sicurezza, PKI o altro lead qualificato.

È anche possibile convertire i file di certificato esistenti se non si desidera crearne di nuovi.

Creare certificati SSL/TLS autofirmato

Creare certificati SSL/TLS autofirmato scaricando prima un certificato di sicurezza dal sensore OT o dalla console di gestione locale e quindi esportandolo nei tipi di file necessari.

Nota

Sebbene sia possibile usare un certificato generato in locale e autofirmato, non è consigliabile usare questa opzione.

Esportare come file di certificato:

Dopo aver scaricato il certificato di sicurezza, usare una piattaforma di gestione dei certificati per creare i tipi seguenti di file di certificato SSL/TLS:

Tipo file Descrizione
.crt : file del contenitore di certificati Un .pemfile o .der con un'estensione diversa per il supporto in Esplora risorse.
.key : file di chiave privata Un file chiave è nello stesso formato di un .pem file, con un'estensione diversa per il supporto in Esplora risorse.
Pem - File contenitore di certificati (facoltativo) Facoltativa. Un file di testo con codifica Base64 del testo del certificato e un'intestazione e un piè di pagina di testo normale per contrassegnare l'inizio e la fine del certificato.

Ad esempio:

  1. Aprire il file di certificato scaricato e selezionare la scheda >DettagliCopia nel file per eseguire l'Esportazione guidata certificati.

  2. Nella Procedura guidata esportazione certificati selezionare Next>DER codificato binariO X.509 (. CER)> e quindi selezionare Di nuovo Avanti .

  3. Nella schermata File da esportare selezionare Sfoglia, scegliere un percorso per archiviare il certificato e quindi selezionare Avanti.

  4. Selezionare Fine per esportare il certificato.

Nota

Potrebbe essere necessario convertire i tipi di file esistenti in tipi supportati.

Controllare il certificato in base a un esempio

Usare il certificato di esempio seguente per confrontare il certificato creato, assicurandosi che gli stessi campi esistano nello stesso ordine.

Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E 
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV 
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu 
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM 
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW 
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT 
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW 
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X
kwv2+emz8CMDLsbWvUmo8Sg0OwfzAgMBAAGjfDB6MB0GA1UdDgQWBBQ27hu11E/w 
21Nx3dwjp0keRPuTsTAfBgNVHSMEGDAWgBQ27hu1lE/w21Nx3dwjp0keRPUTSTAM
BgNVHRMEBTADAQH/MAsGA1UdDwQEAwIDqDAdBgNVHSUEFjAUBggrBgEFBQcDAgYI
KwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBADLsn1ZXYsbGJLLzsGegYv7jmmLh
nfBFQqucORSQ8tqb2CHFME7LnAMfzFGpYYV0h1RAR+1ZL1DVtm+IKGHdU9GLnuyv
9x9hu7R4yBh3K99ILjX9H+KACvfDUehxR/ljvthoOZLalsqZIPnRD/ri/UtbpWtB 
cfvmYleYA/zq3xdk4vfOI0YTOW11qjNuBIHh0d5S5sn+VhhjHL/s3MFaScWOQU3G 
9ju6mQSo0R1F989aWd+44+8WhtOEjxBvr+17CLqHsmbCmqBI7qVnj5dHvkh0Bplw 
zhJp150DfUzXY+2sV7Uqnel9aEU2Hlc/63EnaoSrxx6TEYYT/rPKSYL+++8=
-----END CERTIFICATE-----

Testare i certificati SSL/TLS

Se si desidera controllare le informazioni all'interno del file di certificato .csr o del file di chiave privata, usare i comandi dell'interfaccia della riga di comando seguenti:

  • Controllare una richiesta di firma del certificato (CSR): Eseguire openssl req -text -noout -verify -in CSR.csr
  • Controllare una chiave privata: Eseguire openssl rsa -in privateKey.key -check
  • Controllare un certificato: Eseguire openssl x509 -in certificate.crt -text -noout

Se questi test hanno esito negativo, esaminare i requisiti dei parametri del file di certificato per verificare che i parametri del file siano accurati o consultare lo specialista del certificato.

Risolvere problemi

Scaricare un certificato di sicurezza

  1. Dopo aver installato il software del sensore OT o la console di gestione locale, passare all'indirizzo IP della console di gestione locale o del sensore in un browser.

  2. Selezionare l'avviso Non sicuro nella barra degli indirizzi del Web browser, quindi selezionare l'icona > accanto al messaggio di avviso "La connessione a questo sito non è sicura". Ad esempio:

    Screenshot della pagina Web con un avviso non sicuro nella barra degli indirizzi.

  3. Selezionare l'icona Mostra certificato per visualizzare il certificato di sicurezza per questo sito Web.

  4. Nel riquadro Visualizzatore certificati selezionare la scheda Dettagli e quindi selezionare Esporta per salvare il file nel computer locale.

Importare il certificato firmato localmente di un sensore nell'archivio certificati

Dopo aver creato il certificato firmato in locale, importarlo in un percorso di archiviazione attendibile. Ad esempio:

  1. Aprire il file del certificato di sicurezza e, nella scheda Generale , selezionare Installa certificato per avviare l'importazione guidata certificati.

  2. In Percorso archivio selezionare Computer locale, quindi selezionare Avanti.

  3. Se viene visualizzato un prompt del controllo Consenti utente , selezionare per consentire all'app di apportare modifiche al dispositivo.

  4. Nella schermata Archiviocertificati selezionare Automaticamente l'archivio certificati in base al tipo di certificato e quindi selezionare Avanti.

  5. Selezionare Posiziona tutti i certificati nell'archivio seguente, quindi Sfoglia e quindi selezionare l'archivio Autorità di certificazione radice attendibili . Al termine, selezionare Avanti. Ad esempio:

    Screenshot della schermata dell'archivio certificati in cui è possibile passare alla cartella radice attendibile.

  6. Selezionare Fine per completare l'importazione.

Convalidare il nome comune del certificato

  1. Per visualizzare il nome comune del certificato, aprire il file di certificato e selezionare la scheda Dettagli e quindi selezionare il campo Oggetto .

    Il nome comune del certificato verrà quindi visualizzato accanto a CN.

  2. Accedere alla console del sensore senza una connessione sicura. Nella schermata Avviso privato della connessione potrebbe essere visualizzato un messaggio di errore NET::ERR_CERT_COMMON_NAME_INVALID .

  3. Selezionare il messaggio di errore per espanderlo e quindi copiare la stringa accanto a Oggetto. Ad esempio:

    Screenshot della connessione non è privata con i dettagli espansi.

    La stringa oggetto deve corrispondere alla stringa CN nei dettagli del certificato di sicurezza.

  4. In Esplora file locali passare al file host, ad esempio in Questo > disco locale pc (C:) > Driver > di Windows > System32 > e così via e aprire il file host.

  5. Nel file host aggiungere una riga alla fine del documento con l'indirizzo IP del sensore e il nome comune del certificato SSL copiato nei passaggi precedenti. Al termine, salvare le modifiche. Ad esempio:

    Screenshot del file host.

Risolvere gli errori di caricamento dei certificati

Non sarà possibile caricare i certificati nei sensori OT o nelle console di gestione locali se i certificati non vengono creati correttamente o non sono validi. Usare la tabella seguente per comprendere come eseguire l'azione se il caricamento del certificato ha esito negativo e viene visualizzato un messaggio di errore:

Errore di convalida del certificato Consiglio
Passphrase non corrisponde alla chiave Assicurarsi di avere la passphrase corretta. Se il problema persiste, provare a ricreare il certificato usando la passphrase corretta.
Impossibile convalidare la catena di attendibilità. Il certificato e la CA radice forniti non corrispondono. Assicurarsi che un .pem file sia correlato al .crt file.
Se il problema persiste, provare a ricreare il certificato usando la catena corretta di trust, come definito dal .pem file.
Questo certificato SSL è scaduto e non è considerato valido. Creare un nuovo certificato con date valide.
Questo certificato è stato revocato dalla CRL e non può essere attendibile per una connessione sicura Creare un nuovo certificato non richiamato.
Il percorso CRL (Elenco revoche certificati) non è raggiungibile. Verificare che l'URL sia accessibile da questa appliance Assicurarsi che la configurazione di rete consenta al sensore o alla console di gestione locale di raggiungere il server CRL definito nel certificato.
Per altre informazioni, vedere Accesso al server CRL.
Convalida del certificato non riuscita Questo indica un errore generale nell'appliance.
Contattare supporto tecnico Microsoft.

Passaggi successivi

Per altre informazioni, vedere: