SSL/TLS-certificaatvereisten voor on-premises resources
Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.
Gebruik de onderstaande inhoud voor meer informatie over de vereisten voor het maken van SSL/TLS-certificaten voor gebruik met Microsoft Defender voor IoT-apparaten.
Defender for IoT maakt gebruik van SSL/TLS-certificaten om de communicatie tussen de volgende systeemonderdelen te beveiligen:
- Tussen gebruikers en de OT-sensor
- Tussen een OT-sensor en een hoge beschikbaarheidsserver (HA), indien geconfigureerd
- Tussen OT-sensoren en partnersservers die zijn gedefinieerd in regels voor doorsturen van waarschuwingen
Sommige organisaties valideren hun certificaten ook op basis van een certificaatintrekkingslijst (CRL) en de vervaldatum van het certificaat en de certificaatvertrouwensketen. Ongeldige certificaten kunnen niet worden geüpload naar OT-sensoren en blokkeren versleutelde communicatie tussen Defender for IoT-onderdelen.
Belangrijk
U moet een uniek certificaat maken voor elke OT-sensor en server voor hoge beschikbaarheid, waarbij elk certificaat voldoet aan de vereiste criteria.
Ondersteunde bestandstypen
Wanneer u SSL/TLS-certificaten voorbereidt voor gebruik met Microsoft Defender voor IoT, moet u de volgende bestandstypen maken:
| Bestandstype | Beschrijving |
|---|---|
| .crt : certificaatcontainerbestand | Een .pem, of .der bestand, met een andere extensie voor ondersteuning in Windows Verkenner. |
| .key - Bestand met persoonlijke sleutel | Een sleutelbestand heeft dezelfde indeling als een .pem bestand, met een andere extensie voor ondersteuning in Windows Verkenner. |
| .pem – certificaatcontainerbestand (optioneel) | Optioneel. Een tekstbestand met base64-codering van de certificaattekst en een kop- en voettekst zonder opmaak om het begin en einde van het certificaat te markeren. |
Vereisten voor CRT-bestanden
Zorg ervoor dat uw certificaten de volgende CRT-parameterdetails bevatten:
| Veld | Vereiste |
|---|---|
| Handtekening-algoritme | SHA256RSA |
| Hash-algoritme voor handtekening | SHA256 |
| Geldig vanaf | Een geldige datum in het verleden |
| Geldig tot | Een geldige datum in de toekomst |
| Openbare sleutel | RSA 2048 bits (minimaal) of 4096 bits |
| CRL-distributiepunt | URL naar een CRL-server. Als uw organisatie certificaten niet valideert op basis van een CRL-server, verwijdert u deze regel uit het certificaat. |
| Onderwerp CN (algemene naam) | domeinnaam van het apparaat, zoals sensor.contoso.com of .contosocom |
| Onderwerp (C)ountry | Landcode van certificaat, zoals US |
| Organisatie-eenheid onderwerp (OE) | De eenheidsnaam van de organisatie, zoals Contoso Labs |
| Onderwerp (O)rganization | De naam van de organisatie, zoals Contoso Inc. |
Belangrijk
Hoewel certificaten met andere parameters werken, worden ze niet ondersteund door Defender for IoT. Bovendien zijn SSL-certificaten met jokertekens, die openbare-sleutelcertificaten zijn die kunnen worden gebruikt voor meerdere subdomeinen, zoals .contoso.com, onveilig en worden niet ondersteund. Elk apparaat moet een unieke CN gebruiken.
Vereisten voor sleutelbestanden
Zorg ervoor dat uw certificaatsleutelbestanden RSA 2048 bits of 4096 bits gebruiken. Het gebruik van een sleutellengte van 4096 bits vertraagt de SSL-handshake aan het begin van elke verbinding en verhoogt het CPU-gebruik tijdens handshakes.
Ondersteunde tekens voor sleutels en wachtwoordzinnen
De volgende tekens worden ondersteund voor het maken van een sleutel of certificaat met een wachtwoordzin:
- ASCII-tekens, waaronder a-z, A-Z, 0-9
- De volgende speciale tekens: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~