Requisiti dei certificati SSL/TLS per le risorse locali
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Usare il contenuto seguente per informazioni sui requisiti per la creazione di certificati SSL/TLS da usare con Microsoft Defender per le appliance IoT.
Defender per IoT usa certificati SSL/TLS per proteggere la comunicazione tra i componenti di sistema seguenti:
- Tra gli utenti e il sensore OT o l'accesso all'interfaccia utente della console di gestione locale
- Tra i sensori OT e una console di gestione locale, inclusa la comunicazione con le API
- Tra una console di gestione locale e un server a disponibilità elevata, se configurata
- Tra i sensori OT o le console di gestione locali e i server partner definiti nelle regole di inoltro degli avvisi
Alcune organizzazioni convalidano anche i certificati in base a un elenco di revoche di certificati (CRL) e alla data di scadenza del certificato e alla catena di attendibilità dei certificati. I certificati non validi non possono essere caricati nei sensori OT o nelle console di gestione locali e bloccano la comunicazione crittografata tra i componenti di Defender per IoT.
Importante
È necessario creare un certificato univoco per ogni sensore OT, console di gestione locale e server a disponibilità elevata, in cui ogni certificato soddisfa i criteri richiesti.
Tipi di file supportati
Quando si preparano i certificati SSL/TLS da usare con Microsoft Defender per IoT, assicurarsi di creare i tipi di file seguenti:
| Tipo file | Descrizione |
|---|---|
| .crt : file del contenitore di certificati | Un .pemfile o .der con un'estensione diversa per il supporto in Esplora risorse. |
| .key : file di chiave privata | Un file di chiave è nello stesso formato di un .pem file, con un'estensione diversa per il supporto in Esplora risorse. |
| pem: file del contenitore di certificati (facoltativo) | Facoltativa. Un file di testo con codifica Base64 del testo del certificato e un'intestazione e un piè di pagina di testo normale per contrassegnare l'inizio e la fine del certificato. |
Requisiti dei file CRT
Assicurarsi che i certificati includano i dettagli del parametro CRT seguenti:
| Campo | Requisito |
|---|---|
| Algoritmo di firma | SHA256RSA |
| Algoritmo hash della firma | SHA256 |
| Valido da | Data precedente valida |
| Valido fino al | Data futura valida |
| Chiave pubblica | BIT RSA 2048 (minimo) o 4096 bit |
| Punto di distribuzione CRL | URL di un server CRL. Se l'organizzazione non convalida i certificati in un server CRL, rimuovere questa riga dal certificato. |
| Cn soggetto (nome comune) | nome di dominio dell'appliance, ad esempio sensor.contoso.com o .contosocom |
| Oggetto (C)ountry | Codice paese del certificato, ad esempio US |
| Unità organizzativa soggetto (OU) | Nome dell'unità dell'organizzazione, ad esempio Contoso Labs |
| Oggetto (O)rganizzazione | Nome dell'organizzazione, ad esempio Contoso Inc. |
Importante
Anche se i certificati con altri parametri potrebbero funzionare, non sono supportati da Defender per IoT. Inoltre, i certificati SSL con caratteri jolly, che sono certificati a chiave pubblica che possono essere usati in più sottodomini, ad esempio .contoso.com, non sono sicuri e non sono supportati. Ogni appliance deve usare un cn univoco.
Requisiti relativi ai file di chiave
Assicurarsi che i file di chiave del certificato usino bit RSA 2048 o 4096 bit. L'uso di una lunghezza della chiave di 4096 bit rallenta l'handshake SSL all'inizio di ogni connessione e aumenta l'utilizzo della CPU durante gli handshake.
Suggerimento
Quando si crea una chiave o un certificato con una passphrase, è possibile usare i caratteri seguenti: sono supportati i caratteri ASCII (a-z, A-Z, 0-9), nonché i simboli seguenti. # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~