Exigences de certificat SSL/TLS pour les ressources locales
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Utilisez le contenu ci-dessous pour en savoir plus sur les conditions requises pour créer des certificats SSL/TLS à utiliser avec les appliances Microsoft Defender pour IoT.
Defender pour IoT utilise des certificats SSL/TLS pour sécuriser les communications entre les composants système suivants :
- Entre les utilisateurs et le capteur OT ou l’accès à l’interface utilisateur de la console de gestion locale
- Entre les capteurs OT et une console de gestion locale, ce qui inclut la communication d’API
- Entre une console de gestion locale et un serveur à haute disponibilité (HA), s’il est configuré
- Entre les capteurs OT ou des consoles de gestion locales et des serveurs partenaires définis dans les règles de transfert des alertes
Certaines organisations valident également leurs certificats par rapport à une liste de révocation de certificats (CRL) et la date d’expiration du certificat, et à la chaîne d’approbation de certificat. Les certificats non valides ne peuvent pas être chargés sur des capteurs OT ou des consoles de gestion locales, et bloquent les communications chiffrées entre les composants Defender pour IoT.
Important
Vous devez créer un certificat unique pour chaque capteur OT, console de gestion locale et serveur à haute disponibilité, où chaque certificat répond aux critères requis.
Types de fichiers pris en charge
Lorsque vous préparez des certificats SSL/TLS à utiliser avec Microsoft Defender pour IoT, veillez à créer les types de fichiers suivants :
Type de fichier | Description |
---|---|
.crt : fichier de conteneur de certificat | Fichier .pem ou .der , avec une autre extension pour une prise en charge dans l’Explorateur Windows. |
.key : fichier de clé privée | Fichier de clé est au même format qu’un fichier .pem , avec une extension différente pour une prise en charge dans l’Explorateur Windows. |
.pem : fichier de conteneur de certificat (facultatif) | facultatif. Fichier texte avec un encodage Base64 du texte du certificat, ainsi qu’un en-tête et un pied de page en texte brut pour marquer le début et la fin du certificat. |
Exigences relatives au fichier CRT
Assurez-vous que vos certificats incluent les détails des paramètres CRT suivants :
Champ | Condition requise |
---|---|
Algorithme de signature | SHA256RSA |
Algorithme de hachage de signature | SHA256 |
Valide à partir du | Une date passée valide |
Valide jusqu'au | Une date future valide |
Clé publique | RSA 2 048 bits (minimum) ou 4 096 bits |
Point de distribution de listes de révocation des certificats (CRL) | URL vers un serveur de liste de révocation de certificats. Si votre organisation ne valide pas les certificats par rapport à un serveur de liste de révocation de certificats, supprimez cette ligne du certificat. |
Nom commun (CN) de l’objet | Nom de domaine de l’appliance, par exemple sensor.contoso.com, ou .contosocom |
Pays (C) de l’objet | Code du pays du certificat, par exemple US |
Unité d’organisation (UO) de l’objet | Nom de l’unité de l’organisation, par exemple Contoso Labs |
Organisation (O) de l’objet | Nom de l’organisation, par exemple Contoso Inc. |
Important
Même si des certificats avec d’autres paramètres peuvent fonctionner, ils ne sont pas pris en charge par Defender pour IoT. De plus, les certificats SSL avec caractères génériques, qui sont des certificats à clé publique pouvant être utilisés sur plusieurs sous-domaines tels que .contoso.com, ne sont pas sécurisés et ne sont pas pris en charge. Chaque appliance doit utiliser un nom commun (CN) unique.
Exigences relatives au fichier de clé
Assurez-vous que vos fichiers de clé de certificat utilisent RSA 2 048 bits ou 4 096 bits. L’utilisation d’une longueur de clé de 4 096 bits ralentit l’établissement d’une liaison SSL au début de chaque connexion et augmente l’utilisation du processeur pendant l’établissement de liaisons.
Conseil
Les caractères suivants peuvent être utilisés lors de la création d’une clé ou d’un certificat avec une phrase secrète : les caractères ASCII (a-z, A-Z, 0-9) sont pris en charge, ainsi que les symboles suivants ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~