Поделиться через


Требования к ssl/TLS-сертификату для локальных ресурсов

Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.

Используйте приведенное ниже содержимое, чтобы узнать о требованиях к созданию SSL/TLS-сертификатов для использования с устройствами Microsoft Defender для Интернета вещей.

Схема индикатора выполнения с выделенным планом и подготовкой.

Defender для Интернета вещей использует сертификаты SSL/TLS для организации безопасного обмена данными между следующими компонентами системы:

  • Между пользователями и датчиком OT или локальным доступом к пользовательскому интерфейсу консоль управления
  • Между датчиками OT и локальными консоль управления, включая обмен данными API
  • Между локальным консоль управления и сервером высокой доступности (HA) при настройке
  • Между датчиками OT или локальными консоль управления и серверами партнеров, определенными в правилах пересылки оповещений

Некоторые организации также проверяют свои сертификаты в списке отзыва сертификатов (CRL) и дате окончания срока действия сертификата и цепочке доверия сертификатов. Недопустимые сертификаты нельзя отправлять в датчики OT или локальные консоль управления, а также блокировать зашифрованное взаимодействие между компонентами Defender для Интернета вещей.

Внимание

Необходимо создать уникальный сертификат для каждого датчика OT, локального консоль управления и сервера высокой доступности, где каждый сертификат соответствует необходимым критериям.

Поддерживаемые типы файлов

При подготовке сертификатов SSL/TLS для использования с Microsoft Defender для Интернета вещей обязательно создайте следующие типы файлов:

Тип файла Description
.crt: файл контейнера сертификата Файл .pemили .der файл с другим расширением для поддержки в проводнике Windows.
.key: файл закрытого ключа Файл ключа находится в том же формате, что .pem и файл, с другим расширением для поддержки в проводнике Windows.
.pem: файл контейнера сертификата (необязательно) Необязательно. Текстовый файл с кодировкой Base64 текста сертификата и верхним и нижним колонтитулов обычного текста, чтобы пометить начало и конец сертификата.

Требования к CRT-файлам

Убедитесь, что сертификаты содержат следующие сведения о параметрах CRT:

Поле Требование
Алгоритм подписи SHA256RSA
Хэш-алгоритм подписи SHA256
Дата начала действия Допустимая дата прошлого
Действительно до Допустимая дата будущего
Открытый ключ RSA 2048 бит (минимум) или 4096 бит
Точка распространения CRL URL-адрес сервера CRL. Если ваша организация не проверяет сертификаты на сервере CRL, удалите эту строку из сертификата.
Subject CN (Common Name) доменное имя устройства, например sensor.contoso.com или contosocom
Тема (C)ountry Код страны сертификата, например US
Подразделение организации Имя подразделения организации, например Contoso Labs
Тема (O)rganization Имя организации, например Contoso Inc.

Внимание

Хотя сертификаты с другими параметрами могут работать, они не поддерживаются Defender для Интернета вещей. Кроме того, ssl-сертификаты с подстановочными знаками, которые являются сертификатами открытого ключа, которые можно использовать в нескольких поддоменах, таких как contoso.com, небезопасны и не поддерживаются. Каждое устройство должно использовать уникальный CN.

Требования к файлам ключей

Убедитесь, что файлы ключа сертификата используют RSA 2048 бит или 4096 бит. Использование ключа длиной 4096 бит замедляет подтверждение SSL в начале каждого подключения и увеличивает использование ЦП во время подтверждения.

Поддерживаемые символы для ключей и парольной фразы

Для создания ключа или сертификата с помощью парольной фразы поддерживаются следующие символы:

  • Символы ASCII, включая a-z, A-Z, 0-9
  • Следующие специальные символы: ! # % ( ) + , - . / : = ? [ [ \ ^ ^ _ { } ~ ~

Следующие шаги