Certyfikaty szyfrowania i uwierzytelniania urządzenia (urządzenia OT)

Ten artykuł zawiera informacje potrzebne podczas tworzenia i wdrażania certyfikatów dla Microsoft Defender dla IoT. Zabezpieczenia, infrastruktura PKI lub inny kwalifikowany lider certyfikatu powinny obsługiwać tworzenie i wdrażanie certyfikatów.

Usługa Defender dla IoT używa certyfikatów SSL/TLS do zabezpieczania komunikacji między następującymi składnikami systemu:

  • Między użytkownikami a konsolą sieci Web urządzenia.
  • Między czujnikami a lokalną konsolą zarządzania.
  • Między konsolą zarządzania a konsolą zarządzania o wysokiej dostępności.
  • Do interfejsu API REST w czujniku i lokalnej konsoli zarządzania.

Usługa Defender dla IoT Administracja użytkownicy mogą przekazać certyfikat do konsoli czujników i lokalnej konsoli zarządzania z okna dialogowego Certyfikaty SSL/TLS.

Zrzut ekranu przedstawiający stronę początkowego certyfikatu logowania czujnika.

Informacje o metodach generowania certyfikatów

Wszystkie metody generowania certyfikatów są obsługiwane przy użyciu następujących metod:

  • Infrastruktura kluczy prywatnych i przedsiębiorstwa (prywatna infrastruktura kluczy publicznych).
  • Infrastruktura kluczy publicznych (publiczna infrastruktura kluczy publicznych).
  • Certyfikaty generowane lokalnie na urządzeniu (lokalnie z podpisem własnym).

Ważne

Nie zaleca się używania certyfikatów z podpisem własnym lokalnie. Ten typ połączenia nie jest bezpieczny i powinien być używany tylko w środowiskach testowych. Ponieważ nie można zweryfikować właściciela certyfikatu, a zabezpieczenia systemu nie mogą być utrzymywane, certyfikaty z podpisem własnym nigdy nie powinny być używane w sieciach produkcyjnych.

Informacje o weryfikacji certyfikatu

Oprócz zabezpieczania komunikacji między składnikami systemu użytkownicy mogą również przeprowadzać walidację certyfikatu.

Walidacja jest oceniana pod kątem:

  • Lista odwołania certyfikatów (CRL)
  • Data wygaśnięcia certyfikatu
  • Łańcuch zaufania certyfikatów

Walidacja jest przeprowadzana dwa razy:

  1. Podczas przekazywania certyfikatu do czujników i lokalnych konsol zarządzania. Jeśli walidacja nie powiedzie się, nie można przekazać certyfikatu.

  2. Podczas inicjowania zaszyfrowanej komunikacji między:

    • Składniki systemu Usługi Defender dla IoT, na przykład czujnik i lokalna konsola zarządzania.

    • Usługa Defender dla IoT i niektóre serwery innych firm zdefiniowane w regułach przekazywania alertów. Aby uzyskać więcej informacji, zobacz Przekazywanie informacji o alertach ot.

Jeśli walidacja nie powiedzie się, komunikacja między odpowiednimi składnikami zostanie zatrzymana, a w konsoli zostanie wyświetlony błąd weryfikacji.

Informacje o przekazaniu certyfikatu do urządzeń usługi Defender for IoT

Po instalacji czujnika i lokalnej konsoli zarządzania generowany jest lokalny certyfikat z podpisem własnym i używany do uzyskiwania dostępu do czujnika i lokalnej aplikacji internetowej konsoli zarządzania.

Podczas pierwszego logowania się do czujnika i lokalnej konsoli zarządzania Administracja użytkownicy są monitowani o przekazanie certyfikatu SSL/TLS. Korzystanie z certyfikatów SSL/TLS jest zdecydowanie zalecane.

Jeśli certyfikat nie został poprawnie utworzony przez potencjalnego klienta certyfikatu lub występują problemy z połączeniem, nie można przekazać certyfikatu, a użytkownicy będą zmuszeni do pracy z certyfikatem podpisanym lokalnie.

Opcja sprawdzania poprawności przekazanego certyfikatu i certyfikatów innych firm jest automatycznie włączona, ale można je wyłączyć. Po wyłączeniu szyfrowana komunikacja między składnikami będzie kontynuowana, nawet jeśli certyfikat jest nieprawidłowy.

Wdrażanie certyfikatu

W tej sekcji opisano kroki, które należy wykonać, aby upewnić się, że wdrożenie certyfikatu działa bezproblemowo.

Aby wdrożyć certyfikaty, sprawdź, czy:

  • Specjalista ds. zabezpieczeń, infrastruktury kluczy publicznych lub certyfikatów tworzy lub nadzoruje tworzenie certyfikatów.
  • Należy utworzyć unikatowy certyfikat dla każdego czujnika, konsoli zarządzania i maszyny wysokiej dostępności.
  • Spełniasz wymagania dotyczące tworzenia certyfikatów.
  • Administracja użytkownicy logujący się do każdego czujnika usługi Defender for IoT, a lokalna konsola zarządzania i maszyna wysokiej dostępności mają dostęp do certyfikatu.

Obsługiwane certyfikaty SSL

W tej sekcji opisano wymagania dotyczące pomyślnego wdrożenia certyfikatu, w tym:

Dostęp serwera listy CRL do weryfikacji certyfikatu

Jeśli pracujesz z weryfikacją certyfikatu, sprawdź, czy dostęp do portu 80 jest dostępny.

Walidacja certyfikatu jest oceniana względem listy odwołania certyfikatów i daty wygaśnięcia certyfikatu. Oznacza to, że urządzenie powinno mieć możliwość nawiązania połączenia z serwerem listy CRL zdefiniowanym przez certyfikat. Domyślnie certyfikat będzie odwoływać się do adresu URL listy CRL na porcie HTTP 80.

Niektóre zasady zabezpieczeń organizacji mogą blokować dostęp do tego portu. Jeśli Twoja organizacja nie ma dostępu do portu 80, możesz:

  1. Zdefiniuj inny adres URL i określony port w certyfikacie.

    • Adres URL powinien być zdefiniowany jako http: // zamiast https: //.

    • Sprawdź, czy docelowy serwer listy CRL może nasłuchiwać na zdefiniowanym porcie.

  2. Użyj serwera proxy, który będzie uzyskiwać dostęp do listy CRL na porcie 80.

Obsługiwane typy plików certyfikatów

Usługa Defender dla IoT wymaga, aby każdy certyfikat z podpisem urzędu certyfikacji zawierał plik .key i plik crt. Te pliki są przekazywane do czujnika i lokalnej konsoli zarządzania po zalogowaniu. Niektóre organizacje mogą wymagać pliku pem. Usługa Defender dla IoT nie wymaga tego typu pliku.

.crt — plik kontenera certyfikatów

Plik pem lub der sformatowany z innym rozszerzeniem. Plik jest rozpoznawany przez Eksploratora Windows jako certyfikat. Plik pem nie jest rozpoznawany przez Eksploratora Windows.

.key — plik klucza prywatnego

Plik klucza jest w tym samym formacie co plik PEM, ale ma inne rozszerzenie.

PEM — plik kontenera certyfikatów (opcjonalnie)

PEM to plik tekstowy, który zawiera kodowanie Base64 tekstu certyfikatu, nagłówek & zwykłego tekstu stopkę, która oznacza początek i koniec certyfikatu.

Może być konieczne przekonwertowanie istniejących typów plików na obsługiwane typy. Aby uzyskać szczegółowe informacje, zobacz Konwertowanie istniejących plików na obsługiwane pliki .

Wymagania dotyczące parametrów pliku certyfikatu

Przed utworzeniem certyfikatu sprawdź, czy zostały spełnione następujące wymagania dotyczące parametrów:

Wymagania dotyczące plików CRT

W tej sekcji opisano wymagania dotyczące pól .crt.

  • Algorytm podpisu = SHA256RSA
  • Algorytm wyznaczania skrótu podpisu = SHA256
  • Valid from = Valid past date (Prawidłowa data w przeszłości)
  • Valid To = Valid future date (Prawidłowa data przyszła)
  • Klucz publiczny = RSA 2048 bitów (minimum) lub 4096 bitów
  • Punkt dystrybucji listy CRL = adres URL do pliku crl
  • Nazwa pospolita podmiotu = nazwa domeny urządzenia; na przykład Sensor.contoso.com lub *.contoso.com.
  • Podmiot (C)ountry = zdefiniowany, na przykład Stany Zjednoczone
  • Jednostka organizacyjna podmiotu (OU) = zdefiniowana, na przykład Contoso Labs
  • Subject (O)rganization = zdefiniowane, na przykład Contoso Inc.

Ważne

Certyfikaty z innymi parametrami mogą działać, ale firma Microsoft ich nie obsługuje. Certyfikaty SSL z symbolami wieloznacznymi (certyfikaty kluczy publicznych, które mogą być używane w wielu domenach podrzędnych, takich jak *.contoso.com), nie są obsługiwane i niezabezpieczone. Każde urządzenie powinno używać unikatowej nazwy CN.

Wymagania dotyczące plików kluczy

Użyj bitów RSA 2048 lub 4096 bitów.

W przypadku korzystania z klucza o długości 4096 bitów uzgadnianie SSL na początku każdego połączenia będzie wolniejsze. Ponadto podczas uzgadniania zwiększa się użycie procesora CPU.

Używanie łańcucha certyfikatów (opcjonalnie)

Plik pem zawierający certyfikaty wszystkich urzędów certyfikacji w łańcuchu zaufania, który doprowadził do certyfikatu.

Atrybuty torby są obsługiwane w pliku łańcucha certyfikatów.

Tworzenie certyfikatów SSL

Użyj platformy zarządzania certyfikatami, aby utworzyć certyfikat, na przykład zautomatyzowaną platformę zarządzania infrastrukturą kluczy publicznych. Sprawdź, czy certyfikaty spełniają wymagania dotyczące pliku certyfikatu. Aby uzyskać więcej informacji na temat testowania tworzonych plików, zobacz Testowanie utworzonych certyfikatów.

Jeśli nie przeprowadzasz weryfikacji certyfikatu, usuń odwołanie do adresu URL listy CRL w certyfikacie. Aby uzyskać informacje na temat tego parametru, zobacz Wymagania dotyczące pliku CRT .

Jeśli nie masz aplikacji, która może automatycznie tworzyć certyfikaty, skontaktuj się z liderem zabezpieczeń, infrastruktury kluczy publicznych lub innego kwalifikowanego klienta certyfikatu.

Możesz przetestować utworzone certyfikaty.

Możesz również przekonwertować istniejące pliki certyfikatów, jeśli nie chcesz tworzyć nowych plików. Aby uzyskać szczegółowe informacje, zobacz Konwertowanie istniejących plików na obsługiwane pliki .

Przykładowy certyfikat

Porównaj certyfikat z następującym przykładowym certyfikatem. Sprawdź, czy te same pola są zamykane i czy kolejność pól jest taka sama:

Zrzut ekranu przedstawiający przykładowy certyfikat.

Testowanie utworzonych certyfikatów

Przetestuj certyfikaty przed ich wdrożeniem w czujnikach i lokalnych konsolach zarządzania. Jeśli chcesz sprawdzić informacje w pliku CSR certyfikatu lub pliku klucza prywatnego, użyj następujących poleceń:

Test Polecenie interfejsu wiersza polecenia
Sprawdzanie żądania podpisania certyfikatu (CSR) openssl req -text -noout -verify -in CSR.csr
Sprawdzanie klucza prywatnego openssl rsa -in privateKey.key -check
Sprawdzanie certyfikatu openssl x509 -in certificate.crt -text -noout

Jeśli te testy nie powiedzą się, zapoznaj się z wymaganiami dotyczącymi parametrów pliku certyfikatu , aby sprawdzić, czy parametry pliku są dokładne, lub skontaktuj się z potencjalnym liderem certyfikatu.

Konwertowanie istniejących plików na obsługiwane pliki

W tej sekcji opisano sposób konwertowania istniejących plików certyfikatów na obsługiwane formaty.

Opis Polecenie interfejsu wiersza polecenia
Konwertowanie pliku crt na plik pem openssl x509 -inform PEM -in <full path>/<pem-file-name>.crt -out <fullpath>/<crt-file-name>.pem
Konwertowanie pliku pem na plik crt openssl x509 -inform PEM -in <full path>/<pem-file-name>.pem -out <fullpath>/<crt-file-name>.crt
Konwertowanie pliku PKCS#12 (pfx .p12) zawierającego klucz prywatny i certyfikaty na pem openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes. Możesz dodać parametr -nocerts, aby wyświetlić tylko klucz prywatny, lub dodać -nokeys, aby wyświetlić tylko certyfikaty.
Konwertowanie pliku cer na plik crt openssl x509 -inform PEM -in <filepath>/certificate.cer -out certificate.crt
Upewnij się, że określono pełną ścieżkę.

Uwaga: inne opcje są dostępne dla flagi -inform. Wartość jest zwykle DER lub PEM może być P12 również inną wartością. Aby uzyskać więcej informacji, zobacz openssl-format-options i openssl-x509.

Rozwiązywanie problemów

W tej sekcji opisano różne problemy, które mogą wystąpić podczas przekazywania i walidacji certyfikatu, oraz kroki, które należy wykonać, aby rozwiązać problemy.

Rozwiązywanie problemów z przekazywaniem CA-Certificate

Administracja użytkownicy próbujący zalogować się do czujnika lub lokalnej konsoli zarządzania po raz pierwszy nie będą mogli przekazać certyfikatu podpisanego przez urząd certyfikacji, jeśli certyfikat nie został utworzony poprawnie lub jest nieprawidłowy. Jeśli przekazywanie certyfikatu nie powiedzie się, zostanie wyświetlony jeden lub kilka komunikatów o błędach:

Błąd weryfikacji certyfikatu Zalecenie
Hasło nie jest zgodne z kluczem Sprawdź, czy wpisano poprawne hasło. Jeśli problem będzie nadal występować, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego hasła.
Nie można zweryfikować łańcucha zaufania. Podany certyfikat i główny urząd certyfikacji nie są zgodne. Upewnij się, że plik pem jest skorelowany z plikiem crt. Jeśli problem będzie nadal występować, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego łańcucha zaufania (zdefiniowanego przez plik pem).
Ten certyfikat SSL wygasł i nie jest uznawany za prawidłowy. Utwórz nowy certyfikat z prawidłowymi datami.
Ten certyfikat SSL wygasł i nie jest uznawany za prawidłowy. Utwórz nowy certyfikat z prawidłowymi datami.
Ten certyfikat został odwołany przez listę CRL i nie może być zaufany dla bezpiecznego połączenia Utwórz nowy niezwołany certyfikat.
Lokalizacja listy CRL (lista odwołania certyfikatów) jest nieosiągalna. Sprawdź, czy adres URL można uzyskać z tego urządzenia Upewnij się, że konfiguracja sieci umożliwia urządzeniu dostęp do serwera listy CRL zdefiniowanego w certyfikacie. Jeśli istnieją ograniczenia dotyczące nawiązywania połączenia bezpośredniego, możesz użyć serwera proxy.
Sprawdzanie poprawności certyfikatu nie powiodło się Oznacza to ogólny błąd w urządzeniu. Skontaktuj się z pomoc techniczna firmy Microsoft.

Rozwiązywanie problemów z konwersjami plików

Konwersja pliku może nie utworzyć prawidłowego certyfikatu. Na przykład struktura pliku może być niedokładna.

Jeśli konwersja nie powiedzie się:

Następne kroki

Aby uzyskać więcej informacji, zobacz Identyfikowanie wymaganych urządzeń.