Requisitos de certificado SSL/TLS para recursos locais
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.
Use o conteúdo abaixo para saber mais sobre os requisitos para criar certificados SSL/TLS para uso com dispositivos Microsoft Defender for IoT.
O Defender for IoT usa certificados SSL/TLS para proteger a comunicação entre os seguintes componentes do sistema:
- Entre usuários e o sensor OT
- Entre um sensor OT e um servidor de alta disponibilidade (HA), se configurado
- Entre sensores OT e servidores parceiros definidos em regras de encaminhamento de alertas
Algumas organizações também validam seus certificados em relação a uma Lista de Revogação de Certificados (CRL) e à data de expiração do certificado e à cadeia de confiança do certificado. Certificados inválidos não podem ser carregados para sensores OT e bloquearão a comunicação criptografada entre os componentes do Defender for IoT.
Importante
Você deve criar um certificado exclusivo para cada sensor OT e servidor de alta disponibilidade, onde cada certificado atende aos critérios necessários.
Tipos de ficheiro suportados
Ao preparar certificados SSL/TLS para uso com o Microsoft Defender for IoT, certifique-se de criar os seguintes tipos de arquivo:
| Tipo de ficheiro | Description |
|---|---|
| .crt – arquivo de contêiner de certificado | Um .pem, ou .der ficheiro, com uma extensão diferente para suporte no Explorador do Windows. |
| .key – Arquivo de chave privada | Um ficheiro de chave está no mesmo formato que um .pem ficheiro, com uma extensão diferente para suporte no Explorador do Windows. |
| .pem – arquivo de contêiner de certificado (opcional) | Opcional. Um arquivo de texto com uma codificação Base64 do texto do certificado e um cabeçalho e rodapé de texto simples para marcar o início e o fim do certificado. |
Requisitos do arquivo CRT
Certifique-se de que seus certificados incluam os seguintes detalhes do parâmetro CRT:
| Campo | Necessidade |
|---|---|
| Algoritmo de assinatura | SHA256RSA |
| Algoritmo de hash de assinatura | SHA256 |
| Válido a partir de | Uma data passada válida |
| Válido para | Uma data futura válida |
| Chave Pública | RSA 2048 bits (mínimo) ou 4096 bits |
| Ponto de distribuição de CRL | URL para um servidor CRL. Se sua organização não validar certificados em relação a um servidor CRL, remova essa linha do certificado. |
| Assunto NC (nome comum) | nome de domínio do dispositivo, como sensor.contoso.com ou .contosocom |
| Sujeito (C)ountry | Código do país do certificado, como US |
| Unidade Organizacional do Assunto (UO) | O nome da unidade da organização, como Contoso Labs |
| Sujeito (O)rganização | O nome da organização, como Contoso Inc. |
Importante
Embora os certificados com outros parâmetros possam funcionar, eles não são suportados pelo Defender for IoT. Além disso, os certificados SSL curinga, que são certificados de chave pública que podem ser usados em vários subdomínios, como .contoso.com, são inseguros e não são suportados. Cada aparelho deve utilizar um NC único.
Requisitos de ficheiros chaves
Certifique-se de que os ficheiros de chave de certificado utilizam RSA 2048 bits ou 4096 bits. O uso de um comprimento de chave de 4096 bits diminui a velocidade do handshake SSL no início de cada conexão e aumenta o uso da CPU durante os handshakes.
Caracteres suportados para teclas e frases secretas
Os seguintes caracteres são suportados para criar uma chave ou certificado com uma frase secreta:
- Caracteres ASCII, incluindo a-z, A-Z, 0-9
- Os seguintes caracteres especiais: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~