SSL/TLS-certifikatkrav för lokala resurser
Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.
Använd innehållet nedan för att lära dig mer om kraven för att skapa SSL/TLS-certifikat för användning med Microsoft Defender för IoT-enheter.
Defender för IoT använder SSL/TLS-certifikat för att skydda kommunikationen mellan följande systemkomponenter:
- Mellan användare och OT-sensorn
- Mellan en OT-sensor och en hög tillgänglighetsserver (HA) om den är konfigurerad
- Mellan OT-sensorer och partnerservrar som definierats i regler för vidarebefordran av aviseringar
Vissa organisationer validerar också sina certifikat mot en lista över återkallade certifikat (CRL) och certifikatets förfallodatum samt certifikatförtroendekedjan. Ogiltiga certifikat kan inte laddas upp till OT-sensorer och blockerar krypterad kommunikation mellan Defender för IoT-komponenter.
Viktigt!
Du måste skapa ett unikt certifikat för varje OT-sensor och hög tillgänglighetsserver, där varje certifikat uppfyller nödvändiga kriterier.
Filtyper som stöds
När du förbereder SSL/TLS-certifikat för användning med Microsoft Defender för IoT måste du skapa följande filtyper:
| Filtyp | beskrivning |
|---|---|
| .crt – certifikatcontainerfil | En .pem, eller .der -fil, med ett annat tillägg för stöd i Utforskaren i Windows. |
| .key – Fil med privat nyckel | En nyckelfil är i samma format som en .pem fil, med ett annat tillägg för stöd i Utforskaren i Windows. |
| .pem – certifikatcontainerfil (valfritt) | Valfritt. En textfil med en Base64-kodning av certifikattexten och ett sidhuvud och sidfot i oformaterad text för att markera början och slutet av certifikatet. |
KRAV för CRT-filer
Kontrollera att certifikaten innehåller följande CRT-parameterinformation:
| Fält | Krav |
|---|---|
| Signaturalgoritm | SHA256RSA |
| Algoritm för signaturhash | SHA256 |
| Giltig från | Ett giltigt tidigare datum |
| Giltig till | Ett giltigt framtida datum |
| Offentlig nyckel | RSA 2048-bitar (minimum) eller 4 096 bitar |
| CRL-distributionsplats | URL till en CRL-server. Om din organisation inte validerar certifikat mot en CRL-server tar du bort den här raden från certifikatet. |
| Ämnes-CN (eget namn) | installationens domännamn, till exempel sensor.contoso.com eller .contosocom |
| Ämne (C)ountry | Landskod för certifikat, till exempel US |
| Organisationsenhet för ämne (OU) | Organisationens enhetsnamn, till exempel Contoso Labs |
| Ämne (O)rganization | Organisationens namn, till exempel Contoso Inc. |
Viktigt!
Certifikat med andra parametrar kan fungera, men de stöds inte av Defender för IoT. Dessutom är SSL-certifikat med jokertecken, som är offentliga nyckelcertifikat som kan användas på flera underdomäner som .contoso.com, osäkra och stöds inte. Varje apparat måste använda ett unikt CN.
Krav för nyckelfiler
Kontrollera att certifikatnyckelfilerna använder antingen RSA 2048-bitar eller 4 096 bitar. Om du använder en nyckellängd på 4 096 bitar saktar du ned SSL-handskakningen i början av varje anslutning och ökar CPU-användningen under handskakningar.
Tecken som stöds för nycklar och lösenfraser
Följande tecken stöds för att skapa en nyckel eller ett certifikat med en lösenfras:
- ASCII-tecken, inklusive a-z, A-Z, 0-9
- Följande specialtecken: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~