SSL/TLS-certificaatvereisten voor on-premises resources
Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.
Gebruik de onderstaande inhoud voor meer informatie over de vereisten voor het maken van SSL/TLS-certificaten voor gebruik met Microsoft Defender voor IoT-apparaten.
Defender for IoT maakt gebruik van SSL/TLS-certificaten om de communicatie tussen de volgende systeemonderdelen te beveiligen:
- Gebruikersinterfacetoegang tussen gebruikers en de OT-sensor of on-premises beheerconsole
- Tussen OT-sensoren en een on-premises beheerconsole, inclusief API-communicatie
- Tussen een on-premises beheerconsole en een server met hoge beschikbaarheid (HA), indien geconfigureerd
- Tussen OT-sensoren of on-premises beheerconsoles en partnerservers die zijn gedefinieerd in regels voor het doorsturen van waarschuwingen
Sommige organisaties valideren hun certificaten ook op basis van een certificaatintrekkingslijst (CRL), de vervaldatum van het certificaat en de certificaatvertrouwensketen. Ongeldige certificaten kunnen niet worden geüpload naar OT-sensoren of on-premises beheerconsoles en blokkeren versleutelde communicatie tussen Defender voor IoT-onderdelen.
Belangrijk
U moet een uniek certificaat maken voor elke OT-sensor, on-premises beheerconsole en server met hoge beschikbaarheid, waarbij elk certificaat voldoet aan de vereiste criteria.
Ondersteunde bestandstypen
Wanneer u SSL/TLS-certificaten voorbereidt voor gebruik met Microsoft Defender voor IoT, moet u de volgende bestandstypen maken:
| Bestandstype | Description |
|---|---|
| .crt – certificaatcontainerbestand | Een .pem, of .der bestand, met een andere extensie voor ondersteuning in Windows Verkenner. |
| .key : bestand met persoonlijke sleutel | Een sleutelbestand heeft dezelfde indeling als een .pem bestand, met een andere extensie voor ondersteuning in Windows Verkenner. |
| .pem : certificaatcontainerbestand (optioneel) | Optioneel. Een tekstbestand met base64-codering van de certificaattekst en een kop- en voettekst zonder opmaak om het begin en einde van het certificaat te markeren. |
CRT-bestandsvereisten
Zorg ervoor dat uw certificaten de volgende CRT-parameterdetails bevatten:
| Veld | Vereiste |
|---|---|
| Algoritme voor handtekening | SHA256RSA |
| Hash-algoritme voor handtekening | SHA256 |
| Geldig vanaf | Een geldige datum in het verleden |
| Geldig tot | Een geldige toekomstige datum |
| Openbare sleutel | RSA 2048 bits (minimum) of 4096 bits |
| CRL-distributiepunt | URL naar een CRL-server. Als uw organisatie geen certificaten voor een CRL-server valideert, verwijdert u deze regel uit het certificaat. |
| Cn onderwerp (algemene naam) | domeinnaam van het apparaat, zoals sensor.contoso.com of .contosocom |
| Onderwerp (C)ountry | Landcode certificaat, zoals US |
| Organisatie-eenheid onderwerp (OE) | De eenheidsnaam van de organisatie, zoals Contoso Labs |
| Onderwerp (O)rganization | De naam van de organisatie, zoals Contoso Inc. |
Belangrijk
Hoewel certificaten met andere parameters mogelijk werken, worden ze niet ondersteund door Defender for IoT. Bovendien zijn SSL-certificaten met jokertekens, openbare-sleutelcertificaten die kunnen worden gebruikt op meerdere subdomeinen, zoals .contoso.com, onveilig en worden ze niet ondersteund. Elk apparaat moet een unieke CN gebruiken.
Vereisten voor sleutelbestanden
Zorg ervoor dat uw certificaatsleutelbestanden RSA 2048-bits of 4096-bits gebruiken. Het gebruik van een sleutellengte van 4096 bits vertraagt de SSL-handshake aan het begin van elke verbinding en verhoogt het CPU-gebruik tijdens handshakes.
Tip
De volgende tekens kunnen worden gebruikt bij het maken van een sleutel of certificaat met een wachtwoordzin: ASCII-tekens (a-z, A-Z, 0-9) worden ondersteund, evenals de volgende symbolen ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~