內部部署資源的 SSL/TLS 憑證需求
本文是系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑。
使用下列內容來了解建立 SSL/TLS 憑證的需求,以便與「適用於 IOT 的 Microsoft Defender」設備搭配使用。
適用於 IoT 的 Defender 會使用 SSL/TLS 憑證,來保護下列系統元件之間的通訊安全:
- 在使用者與 OT 感測器或內部部署管理主控台 UI 存取之間
- 在 OT 感測器與內部部署管理主控台之間,包括 API 通訊
- 在內部部署管理主控台與高可用性 (HA) 伺服器之間 (如果已設定的話)
- 在 OT 感測器或內部部署管理主控台與警示轉送規則中所定義的合作夥伴伺服器之間
有些組織也會根據憑證撤銷清單 (CRL)、憑證到期日期以及憑證信任鏈結來驗證其憑證。 無效的憑證無法上傳至 OT 感測器或內部部署管理主控台,而且會封鎖「適用於 IOT 的 Defender」元件之間的加密通訊。
重要
您必須為每個 OT 感測器、內部部署管理主控台和高可用性伺服器建立唯一的憑證,其中每個憑證都符合所需的準則。
支援的檔案類型
準備 SSL/TLS 憑證來與「適用於 IOT 的 Microsoft Defender」搭配使用時,請確保建立下列檔案類型:
| 檔案類型 | 描述 |
|---|---|
| .crt – 憑證容器檔案 | .pem 或 .der 檔案,具有不同的副檔名,以在 Windows 檔案總管中獲得支援。 |
| .key – 私密金鑰檔案 | 金鑰檔案格式與 .pem 檔案相同,具有不同的副檔名,以在 Windows 檔案總管中獲得支援。 |
| .pem – 憑證容器檔案 (選用) | 選擇性。 包含憑證文字 Base64 編碼的文字檔,其為標示憑證開頭和結尾的標頭和頁尾。 |
CRT 檔案需求
請確定您的憑證包含下列 CRT 參數詳細資料:
| 欄位 | 需求 |
|---|---|
| 簽章演算法 | SHA256RSA |
| 簽章雜湊演算法 | SHA256 |
| 有效期限開始於 | 有效的過去日期 |
| 有效截止日期 | 有效的未來日期 |
| 公開金鑰 | RSA 2048 位元 (最小) 或 4096 位元 |
| CRL 發佈點 | CRL 伺服器的 URL。 如果您的組織未針對 CRL 伺服器驗證憑證,請從憑證中移除這一行。 |
| 主體 CN (一般名稱) | 設備的網域名稱,例如 sensor.contoso.com 或 .contosocom |
| 主體 (C) 國家/地區 | 憑證的國碼 (地區碼),例如 US |
| 主體 (OU) 組織單位 | 組織的單位名稱,例如 Contoso Labs |
| 主體 (O) 組織 | 組織的名稱,例如 Contoso Inc. |
重要
雖然具有其他參數的憑證可能有效,但「適用於 IOT 的 Defender」不支援它們。 此外,萬用字元 SSL 憑證 (是可在多個子網域 (例如 .contoso.com) 上使用的公開金鑰憑證)是不安全的且不受支援。 每個設備都必須使用唯一的 CN。
金鑰檔案需求
請確定您的憑證金鑰檔使用 RSA 2048 位元或 4096 位元。 使用 4096 個位元的金鑰長度會讓每次連線開始時的 SSL 交握變慢,並在交握期間增加 CPU 使用率。
提示
使用複雜密碼建立金鑰或憑證時可以使用以下字元:支援 ASCII 字元 (a-z、A-Z、0-9) 以及以下符號 ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~