Anforderungen an SSL/TLS-Zertifikate für lokale Ressourcen

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.

Verwenden Sie den folgenden Inhalt, um mehr über die Anforderungen zum Erstellen von SSL-/TLS-Zertifikaten für die Verwendung mit Microsoft Defender for IoT-Appliances zu erfahren.

Diagramm einer Statusleiste mit hervorgehobenem Text „Planung und Vorbereitung“.

Von Defender für IoT werden SSL/TLS-Zertifikate genutzt, um die Kommunikation zwischen den folgenden Systemkomponenten zu schützen:

  • Zwischen Benutzer*innen und dem OT-Sensor oder beim Zugriff über die Benutzeroberfläche der lokalen Verwaltungskonsole
  • Zwischen OT-Sensoren und einer lokalen Verwaltungskonsole, einschließlich API-Kommunikation
  • Zwischen einer lokalen Verwaltungskonsole und einem Hochverfügbarkeitsserver (sofern konfiguriert)
  • Zwischen OT-Sensoren oder lokalen Verwaltungskonsolen und Partnerservern, die in Warnungsweiterleitungsregeln definiert sind

Einige Organisationen überprüfen ihre Zertifikate auch anhand einer Zertifikatssperrliste (Certificate Revocation List, CRL), dem Ablaufdatum des Zertifikats und der Vertrauenskette des Zertifikats. Ungültige Zertifikate können nicht auf OT-Sensoren oder lokale Verwaltungskonsolen hochgeladen werden, und sie blockieren die verschlüsselte Kommunikation zwischen Defender for IoT-Komponenten.

Wichtig

Sie müssen für jeden OT-Sensor, jede lokale Verwaltungskonsole und jeden Hochverfügbarkeitsserver ein eigenes Zertifikat erstellen, wobei jedes Zertifikat die erforderlichen Kriterien erfüllen muss.

Unterstützte Dateitypen

Stellen Sie beim Vorbereiten von SSL/TLS-Zertifikaten für die Verwendung mit Microsoft Defender for IoT sicher, dass Sie die folgenden Dateitypen erstellen:

Dateityp BESCHREIBUNG
CRT: Zertifikatcontainerdatei Eine .pem- oder .der-Datei mit einer anderen Erweiterung zur Unterstützung im Windows-Explorer
KEY: Datei mit dem privaten Schlüssel Eine Schlüsseldatei mit dem gleichen Format wie eine .pem-Datei, aber mit einer anderen Erweiterung zur Unterstützung im Windows-Explorer
PEM: Zertifikatcontainerdatei (optional) Optional. Eine Textdatei mit Base64-Codierung des Zertifikattexts und einer Nur-Text-Kopf- und -Fußzeile, um den Anfang und das Ende des Zertifikats zu kennzeichnen.

Anforderungen an die CRT-Datei

Stellen Sie sicher, dass Ihre Zertifikate die folgenden CRT-Parameterdetails enthalten:

Feld Anforderung
Signaturalgorithmus SHA256RSA
Signaturhashalgorithmus SHA256
Gültig ab Ein gültiges Datum in der Vergangenheit
Gültig bis Ein gültiges Datum in der Zukunft
Öffentlicher Schlüssel RSA mit 2.048 Bit (mindestens) oder 4.096 Bit
CRL-Verteilungspunkt URL zu einem CRL-Server. Wenn Ihre Organisation Zertifikate nicht mit einem CRL-Server überprüft, entfernen Sie diese Zeile aus dem Zertifikat.
Antragsteller-CN (allgemeiner Name) Domänenname der Appliance, z. B. sensor.contoso.com oder .contoso.com
Land des Antragstellers Landeskennzahl des Zertifikats, z. B. US
Organisationseinheit (OE) des Antragsstellers Der Name der Organisationseinheit, z. B. Contoso Labs
Organisation des Antragsstellers Der Name der Organisation, z. B. Contoso Inc.

Wichtig

Zertifikate mit anderen Parametern funktionieren zwar möglicherweise ebenfalls, werden aber von Defender for IoT nicht unterstützt. SSL-Platzhalterzertifikate, also Zertifikate mit öffentlichen Schlüsseln, die für mehrere Unterdomänen wie .contoso.com verwendet werden können, gelten als unsicher und werden nicht unterstützt. Jede Appliance muss einen eindeutigen CN haben.

Anforderungen an die Schlüsseldatei

Stellen Sie sicher, dass Ihre Zertifikatschlüsseldateien entweder RSA 2048 Bits oder 4096 Bits verwenden. Die Verwendung einer Schlüssellänge von 4096 Bit verlangsamt den SSL-Handshake zu Beginn jeder Verbindung und erhöht die CPU-Auslastung während des Handshakes.

Tipp

Die folgenden Zeichen können beim Erstellen eines Schlüssels oder Zertifikats mit einer Passphrase verwendet werden: ASCII-Zeichen (a-z, A-Z, 0-9) werden unterstützt, sowie die folgenden Symbole ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

Nächste Schritte