SSL/TLS-certifikatkrav för lokala resurser
Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.
Använd innehållet nedan för att lära dig mer om kraven för att skapa SSL/TLS-certifikat för användning med Microsoft Defender för IoT-enheter.
Defender för IoT använder SSL/TLS-certifikat för att skydda kommunikationen mellan följande systemkomponenter:
- Mellan användare och OT-sensorn eller den lokala hanteringskonsolens användargränssnittsåtkomst
- Mellan OT-sensorer och en lokal hanteringskonsol, inklusive API-kommunikation
- Mellan en lokal hanteringskonsol och en hög tillgänglighetsserver (HA), om den är konfigurerad
- Mellan OT-sensorer eller lokala hanteringskonsoler och partnerservrar som definierats i regler för vidarebefordran av aviseringar
Vissa organisationer verifierar också sina certifikat mot en lista över återkallade certifikat (CRL) och certifikatets förfallodatum samt certifikatförtroendekedjan. Ogiltiga certifikat kan inte laddas upp till OT-sensorer eller lokala hanteringskonsoler och blockerar krypterad kommunikation mellan Defender för IoT-komponenter.
Viktigt
Du måste skapa ett unikt certifikat för varje OT-sensor, lokal hanteringskonsol och server med hög tillgänglighet, där varje certifikat uppfyller nödvändiga kriterier.
Filtyper som stöds
När du förbereder SSL/TLS-certifikat för användning med Microsoft Defender för IoT måste du skapa följande filtyper:
Filtyp | Description |
---|---|
.crt – certifikatcontainerfil | En .pem , eller .der -fil, med ett annat tillägg för stöd i Utforskaren i Windows. |
.key – privat nyckelfil | En nyckelfil har samma format som en .pem fil, med ett annat tillägg för stöd i Utforskaren. |
.pem – certifikatcontainerfil (valfritt) | Valfritt. En textfil med En Base64-kodning av certifikattexten och en sidhuvud och sidfot i oformaterad text för att markera början och slutet av certifikatet. |
KRAV för CRT-filer
Kontrollera att certifikaten innehåller följande CRT-parameterinformation:
Fält | Krav |
---|---|
Signaturalgoritm | SHA256RSA |
Algoritm för signaturhash | SHA256 |
Giltig från | Ett giltigt tidigare datum |
Giltigt till | Ett giltigt framtida datum |
Offentlig nyckel | RSA 2048 bitar (minimum) eller 4 096 bitar |
CRL-distributionsplats | URL till en CRL-server. Om din organisation inte validerar certifikat mot en CRL-server tar du bort den här raden från certifikatet. |
Ämnes-CN (eget namn) | installationens domännamn, till exempel sensor.contoso.com eller .contosocom |
Ämne (C)ountry | Landskod för certifikat, till exempel US |
Organisationsenhet för ämne (OU) | Organisationens enhetsnamn, till exempel Contoso Labs |
Ämne (O)rganization | Organisationens namn, till exempel Contoso Inc. |
Viktigt
Certifikat med andra parametrar kan fungera, men de stöds inte av Defender för IoT. Dessutom är SSL-certifikat med jokertecken, som är offentliga nyckelcertifikat som kan användas på flera underdomäner som .contoso.com, osäkra och stöds inte. Varje apparat måste använda ett unikt CN.
Krav för nyckelfiler
Kontrollera att certifikatnyckelfilerna använder antingen RSA 2048-bitar eller 4 096 bitar. Om du använder en nyckellängd på 4 096 bitar saktar du ned SSL-handskakningen i början av varje anslutning och ökar CPU-användningen under handskakningar.
Tips
Följande tecken kan användas när du skapar en nyckel eller ett certifikat med en lösenfras: ASCII-tecken (a-z, A-Z, 0-9) stöds samt följande symboler ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~