Требования к сертификатам SSL/TLS для локальных ресурсов
Эта статья входит в серию статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
Используйте содержимое ниже, чтобы узнать о требованиях к созданию сертификатов SSL/TLS для использования с Microsoft Defender для устройств Интернета вещей.
Defender для Интернета вещей использует сертификаты SSL/TLS для организации безопасного обмена данными между следующими компонентами системы:
- Между пользователями и датчиком OT или локальным доступом к пользовательскому интерфейсу консоль управления
- Между датчиками OT и локальной консоль управления, включая обмен данными через API
- Между локальным консоль управления и сервером высокой доступности (если это настроено)
- Между датчиками OT или локальными консолями управления и серверами партнеров, определенными в правилах пересылки оповещений
Некоторые организации также проверяют свои сертификаты на соответствие списку отзыва сертификатов (CRL) и дате окончания срока действия сертификата и цепочке доверия сертификатов. Недопустимые сертификаты не могут быть отправлены на датчики OT или локальные консоли управления и будут блокировать зашифрованный обмен данными между компонентами Defender для Интернета вещей.
Важно!
Необходимо создать уникальный сертификат для каждого датчика OT, локального консоль управления и сервера высокой доступности, где каждый сертификат соответствует необходимым критериям.
Поддерживаемые типы файлов
При подготовке SSL/TLS-сертификатов для использования с Microsoft Defender для Интернета вещей обязательно создайте следующие типы файлов:
| Тип файла | Описание |
|---|---|
| .crt: файл контейнера сертификата | Файл .pemили .der с другим расширением для поддержки в Windows Обозреватель. |
| .key: файл закрытого ключа | Файл ключа имеет тот же формат, что и .pem файл, с другим расширением для поддержки в Windows Обозреватель. |
| .pem: файл контейнера сертификата (необязательно) | Необязательный элемент. Текстовый файл с кодировкой Base64 текста сертификата и заголовком и нижним колонтитулов в виде обычного текста, обозначающего начало и конец сертификата. |
Требования к CRT-файлам
Убедитесь, что сертификаты содержат следующие сведения о параметрах CRT:
| Поле | Требование |
|---|---|
| Алгоритм подписи | SHA256RSA |
| Алгоритм хэширования подписей | SHA256 |
| Дата начала действия | Допустимая прошедшую дату |
| Действительно по | Допустимая будущая дата |
| Открытый ключ | RSA 2048 бит (минимум) или 4096 бит |
| Точка распространения списка отзыва сертификатов | URL-адрес сервера списка отзыва сертификатов. Если ваша организация не проверяет сертификаты на сервере списка отзыва сертификатов, удалите эту строку из сертификата. |
| CN субъекта (общее имя) | доменное имя (модуль), например sensor.contoso.com или .contosocom |
| Тема (C)ountry | Код страны сертификата, например US |
| Субъект (OU) Организационное подразделение | Название подразделения организации, например Contoso Labs |
| Тема (O)rganization | Название организации, например Contoso Inc. |
Важно!
Хотя сертификаты с другими параметрами могут работать, они не поддерживаются Defender для Интернета вещей. Кроме того, SSL-сертификаты с подстановочными знаками, которые являются сертификатами открытого ключа, которые могут использоваться в нескольких поддоменах, таких как .contoso.com, небезопасны и не поддерживаются. Каждый (модуль) должен использовать уникальный cn.
Требования к файлам ключей
Убедитесь, что в файлах ключей сертификата используется rsa 2048 бит или 4096 бит. Использование ключа длиной 4096 бит замедляет подтверждение SSL в начале каждого подключения и увеличивает загрузку ЦП во время подтверждения.
Совет
При создании ключа или сертификата с парольной фразой можно использовать следующие символы: поддерживаются символы ASCII (a–z, A–Z, 0–9), а также следующие символы ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~