Delen via


SSL/TLS-certificaatvereisten voor on-premises resources

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Gebruik de onderstaande inhoud voor meer informatie over de vereisten voor het maken van SSL/TLS-certificaten voor gebruik met Microsoft Defender voor IoT-apparaten.

Diagram van een voortgangsbalk met Plannen en voorbereiden gemarkeerd.

Defender for IoT maakt gebruik van SSL/TLS-certificaten om de communicatie tussen de volgende systeemonderdelen te beveiligen:

  • Gebruikersinterfacetoegang tussen gebruikers en de OT-sensor of on-premises beheerconsole
  • Tussen OT-sensoren en een on-premises beheerconsole, inclusief API-communicatie
  • Tussen een on-premises beheerconsole en een server met hoge beschikbaarheid (HA), indien geconfigureerd
  • Tussen OT-sensoren of on-premises beheerconsoles en partnerservers die zijn gedefinieerd in regels voor het doorsturen van waarschuwingen

Sommige organisaties valideren hun certificaten ook op basis van een certificaatintrekkingslijst (CRL), de vervaldatum van het certificaat en de certificaatvertrouwensketen. Ongeldige certificaten kunnen niet worden geüpload naar OT-sensoren of on-premises beheerconsoles en blokkeren versleutelde communicatie tussen Defender voor IoT-onderdelen.

Belangrijk

U moet een uniek certificaat maken voor elke OT-sensor, on-premises beheerconsole en server met hoge beschikbaarheid, waarbij elk certificaat voldoet aan de vereiste criteria.

Ondersteunde bestandstypen

Wanneer u SSL/TLS-certificaten voorbereidt voor gebruik met Microsoft Defender voor IoT, moet u de volgende bestandstypen maken:

Bestandstype Description
.crt – certificaatcontainerbestand Een .pem, of .der bestand, met een andere extensie voor ondersteuning in Windows Verkenner.
.key : bestand met persoonlijke sleutel Een sleutelbestand heeft dezelfde indeling als een .pem bestand, met een andere extensie voor ondersteuning in Windows Verkenner.
.pem : certificaatcontainerbestand (optioneel) Optioneel. Een tekstbestand met base64-codering van de certificaattekst en een kop- en voettekst zonder opmaak om het begin en einde van het certificaat te markeren.

CRT-bestandsvereisten

Zorg ervoor dat uw certificaten de volgende CRT-parameterdetails bevatten:

Veld Vereiste
Algoritme voor handtekening SHA256RSA
Hash-algoritme voor handtekening SHA256
Geldig vanaf Een geldige datum in het verleden
Geldig tot Een geldige toekomstige datum
Openbare sleutel RSA 2048 bits (minimum) of 4096 bits
CRL-distributiepunt URL naar een CRL-server. Als uw organisatie geen certificaten voor een CRL-server valideert, verwijdert u deze regel uit het certificaat.
Cn onderwerp (algemene naam) domeinnaam van het apparaat, zoals sensor.contoso.com of .contosocom
Onderwerp (C)ountry Landcode certificaat, zoals US
Organisatie-eenheid onderwerp (OE) De eenheidsnaam van de organisatie, zoals Contoso Labs
Onderwerp (O)rganization De naam van de organisatie, zoals Contoso Inc.

Belangrijk

Hoewel certificaten met andere parameters mogelijk werken, worden ze niet ondersteund door Defender for IoT. Bovendien zijn SSL-certificaten met jokertekens, openbare-sleutelcertificaten die kunnen worden gebruikt op meerdere subdomeinen, zoals .contoso.com, onveilig en worden ze niet ondersteund. Elk apparaat moet een unieke CN gebruiken.

Vereisten voor sleutelbestanden

Zorg ervoor dat uw certificaatsleutelbestanden RSA 2048-bits of 4096-bits gebruiken. Het gebruik van een sleutellengte van 4096 bits vertraagt de SSL-handshake aan het begin van elke verbinding en verhoogt het CPU-gebruik tijdens handshakes.

Tip

De volgende tekens kunnen worden gebruikt bij het maken van een sleutel of certificaat met een wachtwoordzin: ASCII-tekens (a-z, A-Z, 0-9) worden ondersteund, evenals de volgende symbolen ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

Volgende stappen