Condividi tramite


Requisiti dei certificati SSL/TLS per le risorse locali

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Usare il contenuto seguente per informazioni sui requisiti per la creazione di certificati SSL/TLS da usare con Microsoft Defender per le appliance IoT.

Diagramma di un indicatore di stato con Piano e preparazione evidenziato.

Defender per IoT usa certificati SSL/TLS per proteggere la comunicazione tra i componenti di sistema seguenti:

  • Tra gli utenti e il sensore OT o l'accesso all'interfaccia utente della console di gestione locale
  • Tra i sensori OT e una console di gestione locale, inclusa la comunicazione con le API
  • Tra una console di gestione locale e un server a disponibilità elevata, se configurata
  • Tra i sensori OT o le console di gestione locali e i server partner definiti nelle regole di inoltro degli avvisi

Alcune organizzazioni convalidano anche i certificati in base a un elenco di revoche di certificati (CRL) e alla data di scadenza del certificato e alla catena di attendibilità dei certificati. I certificati non validi non possono essere caricati nei sensori OT o nelle console di gestione locali e bloccano la comunicazione crittografata tra i componenti di Defender per IoT.

Importante

È necessario creare un certificato univoco per ogni sensore OT, console di gestione locale e server a disponibilità elevata, in cui ogni certificato soddisfa i criteri richiesti.

Tipi di file supportati

Quando si preparano i certificati SSL/TLS da usare con Microsoft Defender per IoT, assicurarsi di creare i tipi di file seguenti:

Tipo file Descrizione
.crt : file del contenitore di certificati Un .pemfile o .der con un'estensione diversa per il supporto in Esplora risorse.
.key : file di chiave privata Un file di chiave è nello stesso formato di un .pem file, con un'estensione diversa per il supporto in Esplora risorse.
pem: file del contenitore di certificati (facoltativo) Facoltativa. Un file di testo con codifica Base64 del testo del certificato e un'intestazione e un piè di pagina di testo normale per contrassegnare l'inizio e la fine del certificato.

Requisiti dei file CRT

Assicurarsi che i certificati includano i dettagli del parametro CRT seguenti:

Campo Requisito
Algoritmo di firma SHA256RSA
Algoritmo hash della firma SHA256
Valido da Data precedente valida
Valido fino al Data futura valida
Chiave pubblica BIT RSA 2048 (minimo) o 4096 bit
Punto di distribuzione CRL URL di un server CRL. Se l'organizzazione non convalida i certificati in un server CRL, rimuovere questa riga dal certificato.
Cn soggetto (nome comune) nome di dominio dell'appliance, ad esempio sensor.contoso.com o .contosocom
Oggetto (C)ountry Codice paese del certificato, ad esempio US
Unità organizzativa soggetto (OU) Nome dell'unità dell'organizzazione, ad esempio Contoso Labs
Oggetto (O)rganizzazione Nome dell'organizzazione, ad esempio Contoso Inc.

Importante

Anche se i certificati con altri parametri potrebbero funzionare, non sono supportati da Defender per IoT. Inoltre, i certificati SSL con caratteri jolly, che sono certificati a chiave pubblica che possono essere usati in più sottodomini, ad esempio .contoso.com, non sono sicuri e non sono supportati. Ogni appliance deve usare un cn univoco.

Requisiti relativi ai file di chiave

Assicurarsi che i file di chiave del certificato usino bit RSA 2048 o 4096 bit. L'uso di una lunghezza della chiave di 4096 bit rallenta l'handshake SSL all'inizio di ogni connessione e aumenta l'utilizzo della CPU durante gli handshake.

Suggerimento

Quando si crea una chiave o un certificato con una passphrase, è possibile usare i caratteri seguenti: sono supportati i caratteri ASCII (a-z, A-Z, 0-9), nonché i simboli seguenti. # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

Passaggi successivi