Požadavky na certifikát SSL/TLS pro místní prostředky
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.
V následujícím obsahu se dozvíte o požadavcích na vytváření certifikátů SSL/TLS pro použití se zařízeními Microsoft Defenderu pro IoT.
Defender pro IoT používá k zabezpečení komunikace mezi následujícími systémovými komponentami certifikáty SSL/TLS:
- Mezi uživateli a senzorem OT
- Mezi senzorem OT a serverem s vysokou dostupností (HA), pokud je nakonfigurovaný
- Mezi senzory OT a partnerskými servery definovanými v pravidlech předávání výstrah
Některé organizace také ověřují své certifikáty vůči seznamu odvolaných certifikátů (CRL) a datu vypršení platnosti certifikátu a řetězu důvěryhodnosti certifikátů. Neplatné certifikáty se nedají nahrát do senzorů OT a zablokují šifrovanou komunikaci mezi komponentami Defenderu pro IoT.
Důležité
Musíte vytvořit jedinečný certifikát pro každý senzor OT a server s vysokou dostupností, kde každý certifikát splňuje požadovaná kritéria.
Podporované typy souborů
Při přípravě certifikátů SSL/TLS pro použití s Microsoft Defenderem pro IoT nezapomeňte vytvořit následující typy souborů:
| Typ souboru | Popis |
|---|---|
| .crt – soubor kontejneru certifikátů | Soubor .pemnebo .der soubor s jinou příponou pro podporu v Průzkumníku Windows. |
| .key – soubor privátního klíče | Soubor klíče je ve stejném formátu jako .pem soubor s jinou příponou pro podporu v Průzkumníku Windows. |
| .pem – soubor kontejneru certifikátu (volitelné) | Nepovinné. Textový soubor s kódováním Base64 textu certifikátu a záhlavím a zápatím prostého textu označující začátek a konec certifikátu. |
Požadavky na soubor CRT
Ujistěte se, že vaše certifikáty obsahují následující podrobnosti o parametru CRT:
| Pole | Požadavek |
|---|---|
| Algoritmus podpisu | SHA256RSA |
| Algoritmus hash podpisu | SHA256 |
| Platné od | Platné minulé datum |
| Platné pro | Platné budoucí datum |
| Veřejný klíč | 2048 bitů RSA (minimum) nebo 4096 bitů |
| Distribuční bod seznamu CRL | Adresa URL serveru seznamu CRL. Pokud vaše organizace neověřuje certifikáty vůči serveru CRL, odeberte tento řádek z certifikátu. |
| CN předmětu (běžný název) | název domény zařízení, například sensor.contoso.com nebo .contosocom |
| Předmět (C)ountry | Kód země certifikátu, například US |
| Organizační jednotka předmětu (OU) | Název jednotky organizace, například Contoso Labs |
| Předmět (O)rganizace | Název organizace, například Contoso Inc. |
Důležité
I když certifikáty s jinými parametry můžou fungovat, Defender pro IoT je nepodporuje. Kromě toho jsou nezabezpečené a nepodporují se zástupné certifikáty SSL, což jsou certifikáty veřejného klíče, které je možné použít v několika subdoménách, jako je například .contoso.com. Každé zařízení musí používat jedinečný cn.
Požadavky na soubory klíčů
Ujistěte se, že soubory klíče certifikátu používají buď 2048 bitů RSA, nebo 4096 bitů. Použití délky klíče 4096 bitů zpomaluje handshake PROTOKOLU SSL na začátku každého připojení a zvyšuje využití procesoru během handshakes.
Podporované znaky pro klíče a přístupové fráze
Pro vytvoření klíče nebo certifikátu s heslem se podporují následující znaky:
- Znaky ASCII, včetně a-z, A-Z, 0-9
- Následující speciální znaky: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~