Partage via


Exigences de certificat SSL/TLS pour les ressources locales

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.

Utilisez le contenu ci-dessous pour en savoir plus sur les conditions requises pour créer des certificats SSL/TLS à utiliser avec les appliances Microsoft Defender pour IoT.

Diagramme d’une barre de progression avec Planifier et préparer en surbrillance.

Defender pour IoT utilise des certificats SSL/TLS pour sécuriser les communications entre les composants système suivants :

  • Entre les utilisateurs et le capteur OT
  • Entre un capteur OT et un serveur à haute disponibilité (HA), le cas échéant
  • Entre les capteurs OT et les serveurs partenaires définis dans les règles de transfert d’alertes

Certaines organisations valident également leurs certificats par rapport à une liste de révocation de certificats (CRL) et la date d’expiration du certificat, et à la chaîne d’approbation de certificat. Les certificats non valides ne peuvent pas être chargés sur les capteurs OT, et bloquent la communication chiffrée entre les composants de Defender pour IoT.

Important

Vous devez créer un certificat unique pour chaque capteur OT et serveur à haute disponibilité, où chaque certificat répond aux critères obligatoires.

Types de fichiers pris en charge

Lorsque vous préparez des certificats SSL/TLS à utiliser avec Microsoft Defender pour IoT, veillez à créer les types de fichiers suivants :

Type de fichier Description
.crt : fichier de conteneur de certificat Fichier .pem ou .der, avec une autre extension pour une prise en charge dans l’Explorateur Windows.
.key : fichier de clé privée Fichier de clé est au même format qu’un fichier .pem, avec une extension différente pour une prise en charge dans l’Explorateur Windows.
.pem : fichier de conteneur de certificat (facultatif) facultatif. Fichier texte avec un encodage Base64 du texte du certificat, ainsi qu’un en-tête et un pied de page en texte brut pour marquer le début et la fin du certificat.

Exigences relatives au fichier CRT

Assurez-vous que vos certificats incluent les détails des paramètres CRT suivants :

Champ Condition requise
Algorithme de signature SHA256RSA
Algorithme de hachage de signature SHA256
Valide à partir du Une date passée valide
Valide jusqu'au Une date future valide
Clé publique RSA 2 048 bits (minimum) ou 4 096 bits
Point de distribution de listes de révocation des certificats (CRL) URL vers un serveur de liste de révocation de certificats. Si votre organisation ne valide pas les certificats par rapport à un serveur de liste de révocation de certificats, supprimez cette ligne du certificat.
Nom commun (CN) de l’objet Nom de domaine de l’appliance, par exemple sensor.contoso.com, ou .contosocom
Pays (C) de l’objet Code du pays du certificat, par exemple US
Unité d’organisation (UO) de l’objet Nom de l’unité de l’organisation, par exemple Contoso Labs
Organisation (O) de l’objet Nom de l’organisation, par exemple Contoso Inc.

Important

Même si des certificats avec d’autres paramètres peuvent fonctionner, ils ne sont pas pris en charge par Defender pour IoT. De plus, les certificats SSL avec caractères génériques, qui sont des certificats à clé publique pouvant être utilisés sur plusieurs sous-domaines tels que .contoso.com, ne sont pas sécurisés et ne sont pas pris en charge. Chaque appliance doit utiliser un nom commun (CN) unique.

Exigences relatives au fichier de clé

Assurez-vous que vos fichiers de clé de certificat utilisent RSA 2 048 bits ou 4 096 bits. L’utilisation d’une longueur de clé de 4 096 bits ralentit l’établissement d’une liaison SSL au début de chaque connexion et augmente l’utilisation du processeur pendant l’établissement de liaisons.

Caractères pris en charge pour les clés et les phrases secrètes

Les caractères suivants sont pris en charge pour la création d’une clé ou d’un certificat avec une phrase secrète :

  • Caractères ASCII, y compris a-z, A-Z, 0-9
  • Les caractères spéciaux suivants : ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

Étapes suivantes