온-프레미스 리소스에 대한 SSL/TLS 인증서 요구 사항
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
아래 콘텐츠를 사용하여 Microsoft Defender for IoT 어플라이언스와 함께 사용할 SSL/TLS 인증서 만들기 요구 사항에 대해 알아봅니다.
IoT용 Defender는 SSL/TLS 인증서를 사용하여 다음 시스템 구성 요소 간의 통신을 보호합니다.
- 사용자와 OT 센서 또는 온-프레미스 관리 콘솔 UI 액세스 간
- API 통신을 포함한 OT 센서와 온-프레미스 관리 콘솔 간
- 온-프레미스 관리 콘솔과 HA(고가용성) 서버 사이(구성된 경우)
- OT 센서 또는 온-프레미스 관리 콘솔과 경고 전달 규칙에 정의된 파트너 서버 사이
일부 조직에서는 CRL(인증서 해지 목록), 인증서 만료 날짜, 인증서 신뢰 체인을 기준으로 인증서의 유효성을 검사합니다. 잘못된 인증서는 OT 센서 또는 온-프레미스 관리 콘솔에 업로드할 수 없으며 Defender for IoT 구성 요소 간의 암호화된 통신을 차단합니다.
Important
각 인증서가 필수 기준을 충족하는 각 OT 센서, 온-프레미스 관리 콘솔 및 고가용성 서버에 대해 고유한 인증서를 만들어야 합니다.
지원되는 파일 형식
Microsoft Defender for IoT에 사용할 SSL/TLS 인증서를 준비할 때 다음 파일 형식을 만들어야 합니다.
| 파일 형식 | 설명 |
|---|---|
| .crt – 인증서 컨테이너 파일 | Windows 탐색기에서 지원하기 위해 다른 확장자를 가진 .pem 또는 .der 파일. |
| .key – 프라이빗 키 파일 | 키 파일은 .pem 파일과 동일한 형식이며 Windows 탐색기에서 지원하기 위해 확장자가 다릅니다. |
| .pem – 인증서 컨테이너 파일(선택 사항) | 선택 사항. 인증서 텍스트의 Base64 인코딩이 포함된 텍스트 파일과 인증서의 시작과 끝을 표시하는 일반 텍스트 머리글 및 바닥글. |
CRT 파일 요구 사항
인증서에 다음 CRT 매개 변수 세부 정보가 포함되어 있는지 확인합니다.
| 필드 | 요건 |
|---|---|
| 서명 알고리즘 | SHA256RSA |
| 시그니처 해시 알고리즘 | SHA256 |
| 유효 기간(시작) | 유효한 과거 날짜 |
| 유효 기간(종료) | 유효한 향후 날짜 |
| 공개 키 | RSA 2,048비트(최소) 또는 4,096비트입니다. |
| CRL 배포 지점 | CRL 서버에 대한 URL입니다. 조직에서 CRL 서버에 대해 인증서의 유효성을 검사하지 않는 경우 인증서에서 이 행을 제거합니다. |
| 주체 CN(일반 이름) | 어플라이언스의 도메인 이름(예: sensor.contoso.com 또는 .contosocom) |
| 주체(C) 국가 | 인증서 국가 코드(예: US) |
| 주체(OU) 조직 단위 | 조직 단위 이름(예: Contoso Labs) |
| 주체(O) 조직 | 조직 이름(예: Contoso Inc.) |
Important
다른 매개 변수가 있는 인증서는 작동할 수 있지만 Defender for IoT에서 지원되지 않습니다. 또한 .contoso.com과 같은 여러 하위 도메인에서 사용할 수 있는 공개 키 인증서인 와일드카드 SSL 인증서는 안전하지 않으며 지원되지 않습니다. 각 어플라이언스는 고유한 CN을 사용해야 합니다.
주요 파일 요구 사항
인증서 키 파일이 RSA 2048비트 또는 4096비트를 사용하는지 확인합니다. 4096비트의 키 길이를 사용하면 각 연결 시작 시 SSL 핸드셰이크 속도가 느려지고 핸드셰이크 중에 CPU 사용량이 늘어납니다.
팁
암호 구가 포함된 키 또는 인증서를 만들 때 다음 문자를 사용할 수 있습니다. ASCII 문자(a-z, A-Z, 0-9)는 물론 다음 기호도 지원됩니다! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~