你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本地资源的 SSL/TLS 证书要求
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。
使用以下内容了解创建用于 Microsoft Defender for IoT 设备的 SSL/TLS 证书的要求。
Defender for IoT 使用 SSL/TLS 证书来保护以下系统组件之间的通信:
- 用户与 OT 传感器或本地管理控制台 UI 访问之间
- OT 传感器和本地管理控制台之间,包括 API 通信
- 本地管理控制台和高可用性 (HA) 服务器之间(如果已配置)
- OT 传感器或本地管理控制台与警报转发规则中定义的合作伙伴服务器之间
某些组织还会根据证书吊销列表 (CRL)、证书到期日期以及证书信任链来验证其证书。 无效证书无法上传到 OT 传感器或本地管理控制台,并且会阻止 Defender for IoT 组件之间的加密通信。
重要
必须为每个 OT 传感器、本地管理控制台和高可用性服务器创建一个唯一的证书,其中每个证书都满足所需的标准。
支持的文件类型
准备用于 Microsoft Defender for IoT 的 SSL/TLS 证书时,请确保创建以下文件类型:
| 文件类型 | 说明 |
|---|---|
| .crt - 证书容器文件 | .pem 或 .der 文件,具有不同的扩展名,以便在 Windows 资源管理器中获得支持。 |
| .key - 私钥文件 | 密钥文件的格式与 .pem 文件相同,但具有不同的扩展名,以便在 Windows 资源管理器中获得支持。 |
| .pem - 证书容器文件(可选) | 可选。 一个文本文件,其中包含证书文本的 Base64 编码,以及用于标记证书开始和结束的纯文本页眉和页脚。 |
CRT 文件要求
请确保证书包含以下 CRT 参数详细信息:
| 字段 | 要求 |
|---|---|
| 签名算法 | SHA256RSA |
| 签名哈希算法 | SHA256 |
| 有效期起始日期 | 有效的过去日期 |
| 有效截止日期 | 有效的未来日期 |
| 公钥 | RSA 2048 位(最小)或 4096 位 |
| CRL 分发点 | CRL 服务器的 URL。 如果组织未根据 CRL 服务器验证证书,请从证书中删除此行。 |
| 使用者 CN(公用名) | 设备的域名,例如 sensor.contoso.com 或 .contosocom |
| 使用者国家/地区 (C) | 证书国家/地区代码,例如 US |
| 使用者组织单位 (OU) | 组织的单位名称,例如 Contoso Labs |
| 使用者组织 (O) | 组织的名称,例如 Contoso Inc. |
重要
虽然具有其他参数的证书可能有效,但 Defender for IoT 不支持这些证书。 此外,通配型 SSL 证书是可用于多个子域(例如 .contoso.com)的公钥证书,不安全且不受支持。 每个设备都必须使用唯一的 CN。
密钥文件要求
请确保证书密钥文件使用 RSA 2048 位或 4096 位。 使用 4096 位的密钥长度会减慢每次连接开始时的 SSL 握手速度,并增加握手期间的 CPU 使用率。
提示
创建具有通行短语的密钥或证书时,可以使用以下字符:支持 ASCII 字符 (a-z、A-Z、0-9),以及以下符号! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~