Требования к ssl/TLS-сертификату для локальных ресурсов
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
Используйте приведенное ниже содержимое, чтобы узнать о требованиях к созданию SSL/TLS-сертификатов для использования с устройствами Microsoft Defender для Интернета вещей.
Defender для Интернета вещей использует сертификаты SSL/TLS для организации безопасного обмена данными между следующими компонентами системы:
- Между пользователями и датчиком OT или локальным доступом к пользовательскому интерфейсу консоль управления
- Между датчиками OT и локальными консоль управления, включая обмен данными API
- Между локальным консоль управления и сервером высокой доступности (HA) при настройке
- Между датчиками OT или локальными консоль управления и серверами партнеров, определенными в правилах пересылки оповещений
Некоторые организации также проверяют свои сертификаты в списке отзыва сертификатов (CRL) и дате окончания срока действия сертификата и цепочке доверия сертификатов. Недопустимые сертификаты нельзя отправлять в датчики OT или локальные консоль управления, а также блокировать зашифрованное взаимодействие между компонентами Defender для Интернета вещей.
Внимание
Необходимо создать уникальный сертификат для каждого датчика OT, локального консоль управления и сервера высокой доступности, где каждый сертификат соответствует необходимым критериям.
Поддерживаемые типы файлов
При подготовке сертификатов SSL/TLS для использования с Microsoft Defender для Интернета вещей обязательно создайте следующие типы файлов:
Тип файла | Description |
---|---|
.crt: файл контейнера сертификата | Файл .pem или .der файл с другим расширением для поддержки в проводнике Windows. |
.key: файл закрытого ключа | Файл ключа находится в том же формате, что .pem и файл, с другим расширением для поддержки в проводнике Windows. |
.pem: файл контейнера сертификата (необязательно) | Необязательно. Текстовый файл с кодировкой Base64 текста сертификата и верхним и нижним колонтитулов обычного текста, чтобы пометить начало и конец сертификата. |
Требования к CRT-файлам
Убедитесь, что сертификаты содержат следующие сведения о параметрах CRT:
Поле | Требование |
---|---|
Алгоритм подписи | SHA256RSA |
Хэш-алгоритм подписи | SHA256 |
Дата начала действия | Допустимая дата прошлого |
Действительно до | Допустимая дата будущего |
Открытый ключ | RSA 2048 бит (минимум) или 4096 бит |
Точка распространения CRL | URL-адрес сервера CRL. Если ваша организация не проверяет сертификаты на сервере CRL, удалите эту строку из сертификата. |
Subject CN (Common Name) | доменное имя устройства, например sensor.contoso.com или contosocom |
Тема (C)ountry | Код страны сертификата, например US |
Подразделение организации | Имя подразделения организации, например Contoso Labs |
Тема (O)rganization | Имя организации, например Contoso Inc. |
Внимание
Хотя сертификаты с другими параметрами могут работать, они не поддерживаются Defender для Интернета вещей. Кроме того, ssl-сертификаты с подстановочными знаками, которые являются сертификатами открытого ключа, которые можно использовать в нескольких поддоменах, таких как contoso.com, небезопасны и не поддерживаются. Каждое устройство должно использовать уникальный CN.
Требования к файлам ключей
Убедитесь, что файлы ключа сертификата используют RSA 2048 бит или 4096 бит. Использование ключа длиной 4096 бит замедляет подтверждение SSL в начале каждого подключения и увеличивает использование ЦП во время подтверждения.
Поддерживаемые символы для ключей и парольной фразы
Для создания ключа или сертификата с помощью парольной фразы поддерживаются следующие символы:
- Символы ASCII, включая a-z, A-Z, 0-9
- Следующие специальные символы: ! # % ( ) + , - . / : = ? [ [ \ ^ ^ _ { } ~ ~