Requisiti dei certificati SSL/TLS per le risorse locali
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Usare il contenuto seguente per informazioni sui requisiti per la creazione di certificati SSL/TLS da usare con le appliance Microsoft Defender per IoT.
Defender per IoT usa certificati SSL/TLS per proteggere la comunicazione tra i componenti di sistema seguenti:
- Tra gli utenti e il sensore OT
- Tra un sensore OT e un server a disponibilità elevata, se configurato
- Tra i sensori OT e i server partner definiti nelle regole di inoltro degli avvisi
Alcune organizzazioni convalidano anche i certificati rispetto a un elenco di revoche di certificati (CRL) e alla data di scadenza del certificato e alla catena di attendibilità dei certificati. I certificati non validi non possono essere caricati nei sensori OT e bloccano la comunicazione crittografata tra i componenti di Defender per IoT.
Importante
È necessario creare un certificato univoco per ogni sensore OT e un server a disponibilità elevata, in cui ogni certificato soddisfa i criteri richiesti.
Tipi di file supportati
Quando si preparano i certificati SSL/TLS da usare con Microsoft Defender per IoT, assicurarsi di creare i tipi di file seguenti:
| Tipo di file | Descrizione |
|---|---|
| .crt : file del contenitore di certificati | Un file .pem o .der con un'estensione diversa per il supporto in Esplora risorse. |
| .key – file chiave privata | Un file di chiave è nello stesso formato di un file .pem, con un'estensione diversa per il supporto in Esplora risorse. |
| .pem: file del contenitore di certificati (facoltativo) | Facoltativo. Un file di testo con codifica Base64 del testo del certificato e un'intestazione e un piè di pagina di testo normale per contrassegnare l'inizio e la fine del certificato. |
Requisiti dei file CRT
Assicurarsi che i certificati includano i dettagli del parametro CRT seguenti:
| Campo | Requisito |
|---|---|
| Algoritmo di firma | SHA256RSA |
| Algoritmo hash della firma | SHA256 |
| Valido dal | Data precedente valida |
| Data di fine validità | Data futura valida |
| Chiave pubblica | RSA 2048 bit (minimo) o 4096 bit |
| Punto di distribuzione CRL | URL di un server CRL. Se l'organizzazione non convalida i certificati in un server CRL, rimuovere questa riga dal certificato. |
| CN soggetto (nome comune) | nome di dominio dell'appliance, ad esempio sensor.contoso.com o .contosocom |
| Oggetto (C)ountry | Codice paese del certificato, ad esempio US |
| Unità organizzativa (SUBJECT) | Nome dell'unità dell'organizzazione, ad esempio Contoso Labs |
| Oggetto (O)rganizzazione | Nome dell'organizzazione, ad esempio Contoso Inc. |
Importante
Anche se i certificati con altri parametri potrebbero funzionare, non sono supportati da Defender per IoT. Inoltre, i certificati SSL con caratteri jolly, che sono certificati di chiave pubblica che possono essere usati in più sottodomini, ad esempio .contoso.com, non sono sicuri e non sono supportati. Ogni appliance deve usare un cn univoco.
Requisiti relativi ai file di chiave
Assicurarsi che i file di chiave del certificato usino bit RSA 2048 o 4096 bit. L'uso di una lunghezza della chiave di 4096 bit rallenta l'handshake SSL all'inizio di ogni connessione e aumenta l'utilizzo della CPU durante gli handshake.
Caratteri supportati per chiavi e passphrase
I caratteri seguenti sono supportati per la creazione di una chiave o di un certificato con una passphrase:
- Caratteri ASCII, tra cui a-z, A-Z, 0-9
- I caratteri speciali seguenti: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~