Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych
Ten artykuł jest jednym z serii artykułów opisujących ścieżkę wdrażania monitorowania OT z Microsoft Defender dla IoT.
Skorzystaj z poniższej zawartości, aby dowiedzieć się więcej o wymaganiach dotyczących tworzenia certyfikatów SSL/TLS do użycia z Microsoft Defender dla urządzeń IoT.
Usługa Defender for IoT używa certyfikatów SSL/TLS do zabezpieczania komunikacji między następującymi składnikami systemu:
- Między użytkownikami a czujnikiem OT lub dostępem do lokalnego interfejsu użytkownika konsoli zarządzania
- Między czujnikami OT i lokalną konsolą zarządzania, w tym komunikacją interfejsu API
- Między lokalną konsolą zarządzania a serwerem wysokiej dostępności (HA) w przypadku skonfigurowania
- Między czujnikami OT lub lokalnymi konsolami zarządzania i serwerami partnerskimi zdefiniowanymi w regułach przekazywania alertów
Niektóre organizacje weryfikują również swoje certyfikaty względem listy odwołania certyfikatów (CRL) i daty wygaśnięcia certyfikatu oraz łańcucha zaufania certyfikatów. Nie można przekazać nieprawidłowych certyfikatów do czujników OT ani lokalnych konsol zarządzania i zablokować zaszyfrowaną komunikację między składnikami usługi Defender for IoT.
Ważne
Należy utworzyć unikatowy certyfikat dla każdego czujnika OT, lokalnej konsoli zarządzania i serwera wysokiej dostępności, gdzie każdy certyfikat spełnia wymagane kryteria.
Obsługiwane typy plików
Podczas przygotowywania certyfikatów SSL/TLS do użycia z Microsoft Defender dla IoT upewnij się, że utworzono następujące typy plików:
Typ pliku | Opis |
---|---|
.crt — plik kontenera certyfikatów | Plik .pem lub .der z innym rozszerzeniem do obsługi w Eksploratorze Windows. |
.key — plik klucza prywatnego | Plik klucza jest w tym samym formacie co .pem plik z innym rozszerzeniem do obsługi w Eksploratorze Windows. |
.pem — plik kontenera certyfikatów (opcjonalnie) | Opcjonalny. Plik tekstowy z kodowaniem Base64 tekstu certyfikatu oraz nagłówkiem i stopką zwykłego tekstu, aby oznaczyć początek i koniec certyfikatu. |
Wymagania dotyczące plików CRT
Upewnij się, że certyfikaty zawierają następujące szczegóły parametru CRT:
Pole | Wymaganie |
---|---|
Algorytm podpisu | SHA256RSA |
Algorytm skrótu podpisu | SHA256 |
Prawidłowe od | Prawidłowa data w przeszłości |
Prawidłowe do | Prawidłowa data przyszłej |
Klucz publiczny | RSA 2048 bitów (minimum) lub 4096 bitów |
Punkt dystrybucji listy CRL | Adres URL serwera listy CRL. Jeśli Organizacja nie weryfikuje certyfikatów względem serwera listy CRL, usuń ten wiersz z certyfikatu. |
Podmiot CN (nazwa pospolita) | nazwa domeny urządzenia, na przykład sensor.contoso.com lub .contosocom |
Temat (C)ountry | Kod kraju certyfikatu, taki jak US |
Jednostka organizacyjna podmiotu (OU) | Nazwa jednostki organizacji, taka jak Contoso Labs |
Podmiot (O)rganization | Nazwa organizacji, taka jak Contoso Inc. |
Ważne
Certyfikaty z innymi parametrami mogą działać, ale nie są obsługiwane przez usługę Defender for IoT. Ponadto certyfikaty SSL z symbolami wieloznacznymi, które są certyfikatami kluczy publicznych, które mogą być używane w wielu poddomenach, takich jak .contoso.com, są niezabezpieczone i nie są obsługiwane. Każde urządzenie musi używać unikatowej nazwy CN.
Wymagania dotyczące plików kluczy
Upewnij się, że pliki klucza certyfikatu używają bitów RSA 2048 lub 4096 bitów. Użycie klucza o długości 4096 bitów spowalnia uzgadnianie PROTOKOŁU SSL na początku każdego połączenia i zwiększa użycie procesora CPU podczas uzgadniania.
Porada
Następujące znaki mogą być używane podczas tworzenia klucza lub certyfikatu z hasłom: znaki ASCII (a-z, A-Z, 0-9) są obsługiwane, a także następujące symbole! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla