Requisitos de certificado SSL/TLS para recursos locais
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Use o conteúdo abaixo para saber mais sobre os requisitos para criar certificados SSL/TLS para uso com Microsoft Defender para dispositivos IoT.
O Defender para IoT usa certificados SSL/TLS para proteger a comunicação entre estes componentes do sistema:
- Entre usuários e o sensor de OT ou o acesso à interface do usuário do console de gerenciamento local
- Entre sensores OT e um console de gerenciamento local, incluindo comunicação com a API
- Entre um console de gerenciamento local e um servidor de HA (alta disponibilidade), se configurado
- Entre sensores de OT ou consoles de gerenciamento locais e servidores parceiros definidos em regras de encaminhamento de alertas
Algumas organizações também validam seus certificados em relação a uma CRL (Lista de Certificados Revogados) e à data de validade do certificado e à cadeia de confiança do certificado. Certificados inválidos não podem ser carregados em sensores de OT ou consoles de gerenciamento locais e bloquearão a comunicação criptografada entre componentes do Defender para IoT.
Importante
Você precisa criar um certificado exclusivo para cada sensor de OT, console de gerenciamento local e servidor de alta disponibilidade, em que cada certificado atenda aos critérios necessários.
Tipos de arquivo com suporte
Ao preparar certificados SSL/TLS para uso com Microsoft Defender para IoT, crie os seguintes tipos de arquivo:
| Tipo de arquivo | Descrição |
|---|---|
| .crt – arquivo de contêiner de certificado | Um arquivo .pem ou .der, com uma extensão diferente para suporte no Windows Explorer. |
| .key – arquivo de chave privada | Um arquivo de chave está no mesmo formato de um arquivo .pem, com uma extensão diferente para suporte no Windows Explorer. |
| .pem – arquivo de contêiner do certificado (opcional) | Opcional. Um arquivo de texto com uma codificação Base64 do texto do certificado e um cabeçalho e rodapé de texto sem formatação para marcar o início e o fim do certificado. |
Requisitos de arquivo CRT
Verifique se os certificados incluem os seguintes detalhes do parâmetro CRT:
| Campo | Requisito |
|---|---|
| Algoritmo de Assinatura | SHA256RSA |
| Algoritmo de Hash de Assinatura | SHA256 |
| Válido desde | Uma data passada válida |
| Válido até | Uma data futura válida |
| Chave pública | RSA de 2.048 bits (mínimo) ou 4.096 bits |
| Ponto de distribuição de CRL | URL para um servidor CRL. Se sua organização não validar certificados em um servidor CRL, remova essa linha do certificado. |
| CN da Entidade (Nome Comum) | nome de domínio do dispositivo, por exemplo, sensor.contoso.com ou .contoso.com |
| País da Entidade | Código do país do certificado, por exemplo, US |
| UO (Unidade Organizacional) da Entidade | O nome da unidade da organização, por exemplo, Contoso Labs |
| Organização da Entidade | O nome da organização, por exemplo, Contoso Inc. |
Importante
Embora os certificados com outros parâmetros possam funcionar, eles não têm suporte do Defender para IoT. Além disso, os certificados SSL curinga, que são certificados de chave pública que podem ser usados em vários subdomínios, como .contoso.com, não são seguros e não têm suporte. Cada dispositivo precisa usar um CN exclusivo.
Requisitos de arquivo de chave
Verifique se os arquivos de chave de certificado usam RSA 2048 bits ou 4096 bits. O uso de um tamanho de chave de 4096 bits reduz a velocidade do handshake SSL no início de cada conexão e aumentará o uso da CPU durante os handshakes.
Dica
Os seguintes caracteres podem ser usados ao criar uma chave ou um certificado com uma frase secreta: os caracteres ASCII (a-z, A-Z, 0-9) são compatíveis, bem como os seguintes símbolos ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~