Criar certificados SSL/TLS para dispositivos de OT

  • Artigo

Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT e descreve como criar certificados assinados por autoridades de certificação (AC) para uso com dispositivos locais do Defender para IoT, incluindo sensores de OT e consoles de gerenciamento no local.

Diagram of a progress bar with Plan and prepare highlighted.

Cada certificado assinado pela autoridade de certificação (AC) precisa incluir um arquivo .key e um arquivo .crt, que são carregados em dispositivos do Defender para IoT e consoles de gerenciamento no local após o primeiro login. Embora algumas organizações também possam exigir um arquivo .pem, um arquivo .pem não é necessário para o Defender para IoT.

Importante

Você precisa criar um certificado exclusivo para cada dispositivo do Defender para IoT, sendo que cada certificado deve atender aos critérios exigidos.

Pré-requisitos

Para executar os procedimentos descritos neste artigo, certifique-se de que você tenha um especialista em segurança, PKI ou certificado disponível para supervisionar a criação do certificado.

Certifique-se também de ter se familiarizado com os requisitos de certificado SSL/TLS para o Defender para IoT.

Criar certificados SSL/TLS assinados por uma AC

Recomendamos que você sempre use certificados assinados por uma AC nos ambientes de produção e use certificados autoassinados apenas em ambientes de teste.

Para criar um certificado que atenda aos requisitos do Defender para IoT, use uma plataforma de gerenciamento de certificados como, por exemplo, uma plataforma automatizada de gerenciamento de PKI.

Se não tiver um aplicativo que possa criar certificados automaticamente, consulte um especialista em segurança, PKI ou outro profissional qualificado em termos de certificados para obter ajuda. Você também poderá converter arquivos de certificado existentes se não quiser criar outros.

Certifique-se de criar um certificado exclusivo para cada dispositivo do Defender for IoT, sendo que cada certificado deve atender aos critérios de parâmetros.

Por exemplo:

  1. Abra o arquivo de certificado baixado e selecione a guia Detalhes>Copiar para o arquivo a fim de executar o Assistente de Exportação de Certificados.

  2. No Assistente para Exportação de Certificados, selecione Avançar>X.509 binário codificado em DER (.CER)> e, em seguida, selecione Avançar novamente.

  3. Na tela Arquivo para Exportar, selecione Procurar, escolha um local para armazenar o certificado e selecione Avançar.

  4. Selecione Concluir para exportar o certificado.

Observação

Talvez seja necessário converter tipos de arquivos existentes em tipos com suporte.

Verifique se o certificado atende aos requisitos de arquivo de certificado e teste o arquivo de certificado que você criou quando terminar.

Se não estiver usando a validação de certificados, remova a referência ao URL da CRL no certificado. Para saber mais, confira os requisitos do arquivo de certificado.

Dica

(Opcional) Crie uma cadeia de certificados, que é um arquivo .pem que contém os certificados de todas as autoridades de certificação na cadeia de confiança que levou ao seu certificado.

Verificar o acesso ao servidor CRL

Se a sua organização valida certificados, seus dispositivos do Defender for IoT precisam ser capazes de acessar o servidor de CRL definido pelo certificado. Por padrão, os certificados acessam a URL do servidor CRL por meio da porta HTTP 80. No entanto, algumas políticas de segurança organizacional bloqueiam o acesso a essa porta.

Se os seus dispositivos não puderem acessar o servidor de CRL na porta 80, você poderá usar uma das seguintes soluções alternativas:

  • Defina outra URL e porta no certificado:

    • A URL que você define precisa ser configurada como http: // e não https://
    • Verifique se o servidor CRL de destino pode escutar na porta definida por você

  • Use um servidor proxy que pode acessar a CRL na porta 80

    Para saber mais, confira [Encaminhar informações do alerta de OT].

Se a validação falhar, a comunicação entre os componentes relevantes será interrompida, e um erro de validação será apresentado no console.

Importar o certificado SSL/TLS para um repositório confiável

Após criar seu certificado, importe-o para um local de repositório confiável. Por exemplo:

  1. Abra o arquivo de certificado de segurança e, na guia Geral, selecione Instalar Certificado para iniciar o Assistente de Importação de Certificados.

  2. Em Localização do repositório, selecione Computador Local e clique em Avançar.

  3. Se um prompt Controle de Permissão do Usuário for exibido, selecione Sim para permitir que o aplicativo faça alterações em seu dispositivo.

  4. Na tela Repositório de Certificados, escolha Selecionar automaticamente o repositório de certificados conforme o tipo de certificado e selecione Avançar.

  5. Selecione Colocar todos os certificados no repositório a seguir, procure e selecione o repositório Autoridades de Certificação Confiáveis. Quando terminar, selecione Avançar. Por exemplo:

    Screenshot of the certificate store screen where you can browse to the trusted root folder.

  6. Selecione Concluir para concluir o assistente.

Testar seus certificados SSL/TLS

Use os procedimentos a seguir para testar certificados antes de implantá-los nos seus dispositivos do Defender para IoT.

Verificar seu certificado em relação a um exemplo

Use o certificado de exemplo a seguir para comparar com o certificado que você criou, verificando se os mesmos campos existem na mesma ordem.

Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E 
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV 
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu 
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM 
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW 
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT 
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW 
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X
kwv2+emz8CMDLsbWvUmo8Sg0OwfzAgMBAAGjfDB6MB0GA1UdDgQWBBQ27hu11E/w 
21Nx3dwjp0keRPuTsTAfBgNVHSMEGDAWgBQ27hu1lE/w21Nx3dwjp0keRPUTSTAM
BgNVHRMEBTADAQH/MAsGA1UdDwQEAwIDqDAdBgNVHSUEFjAUBggrBgEFBQcDAgYI
KwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBADLsn1ZXYsbGJLLzsGegYv7jmmLh
nfBFQqucORSQ8tqb2CHFME7LnAMfzFGpYYV0h1RAR+1ZL1DVtm+IKGHdU9GLnuyv
9x9hu7R4yBh3K99ILjX9H+KACvfDUehxR/ljvthoOZLalsqZIPnRD/ri/UtbpWtB 
cfvmYleYA/zq3xdk4vfOI0YTOW11qjNuBIHh0d5S5sn+VhhjHL/s3MFaScWOQU3G 
9ju6mQSo0R1F989aWd+44+8WhtOEjxBvr+17CLqHsmbCmqBI7qVnj5dHvkh0Bplw 
zhJp150DfUzXY+2sV7Uqnel9aEU2Hlc/63EnaoSrxx6TEYYT/rPKSYL+++8=
-----END CERTIFICATE-----

Testar certificados sem um arquivo de chave privada ou .csr

Se você quiser verificar as informações no arquivo de certificado .csr ou no arquivo de chave privada, use os comandos da CLI abaixo:

  • Verificar uma CSR (solicitação de assinatura de certificado): execute openssl req -text -noout -verify -in CSR.csr
  • Verificar uma chave privada: execute openssl rsa -in privateKey.key -check
  • Verificar um certificado: execute openssl x509 -in certificate.crt -text -noout

Se esses testes falharem, releia os requisitos do arquivo de certificado para verificar se os parâmetros do seu arquivo são precisos ou consulte seu especialista em certificados.

Validar o nome comum do certificado

  1. Para exibir o nome comum do certificado, abra o arquivo de certificado, selecione a guia Detalhes e selecione o campo Entidade.

    O nome comum do certificado aparece ao lado de CN.

  2. Entre no console do sensor sem uma conexão segura. Na tela de aviso Sua conexão não é privada, você pode ver uma mensagem de erro NET::ERR_CERT_COMMON_NAME_INVALID.

  3. Selecione a mensagem de erro para expandi-la e copie a cadeia de caracteres ao lado de Assunto. Por exemplo:

    Screenshot of the connection isn't private screen with the details expanded.

    A cadeia de caracteres de assunto deve corresponder à cadeia de caracteres CN nos detalhes do certificado de segurança.

  4. No explorador de arquivos local, navegue até o arquivo de hosts, como Este computador> Disco Local (C:) > Drivers do Windows > System32 >> etc e abra o arquivo de hosts.

  5. No arquivo de hosts, adicione uma linha ao final do documento com o endereço IP do sensor e o nome comum do certificado SSL que você copiou nas etapas anteriores. Ao terminar, salve as alterações. Por exemplo:

    Screenshot of the hosts file.

Certificados autoassinados

Os certificados autoassinados ficam disponíveis para uso em ambientes de teste após a instalação do software de monitoramento de OT do Defender para IoT. Para obter mais informações, consulte:

Próximas etapas

« Preparar uma implantação de site de OT