オンプレミス リソースの SSL/TLS 証明書の要件
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明する一連の記事の 1 つです。
以下のコンテンツを使用して、Microsoft Defender for IoT アプライアンスで使用する SSL/TLS 証明書を作成するための要件について説明します。
Defender for IoT では、SSL/TLS 証明書が使用され、次のシステム コンポーネント間の通信がセキュリティで保護されます。
- ユーザーと OT センサーまたはオンプレミス管理コンソール UI アクセスの間
- OT センサーとオンプレミス管理コンソール (API 通信を含む) の間
- オンプレミス管理コンソールと高可用性 (HA) サーバーの間 (構成されている場合)
- OT センサーまたはオンプレミス管理コンソールと、アラート転送ルールで定義されているパートナー サーバーの間
一部の組織では、証明書失効リスト (CRL) と証明書の有効期限、および証明書信頼チェーンに対しても、証明書を検証します。 無効な証明書を OT センサーまたはオンプレミス管理コンソールにアップロードすることはできません。また、Defender for IoT コンポーネント間の暗号化された通信はブロックされます。
重要
OT センサー、オンプレミス管理コンソール、高可用性サーバーごとに一意の証明書を作成する必要があります (各証明書が必要な条件を満たしている場合)。
サポートされるファイルの種類
Microsoft Defender for IoT で使用する SSL/TLS 証明書を準備する場合は、次のファイルの種類を作成してください。
ファイルの種類 | 説明 |
---|---|
.crt - 証明書コンテナー ファイル | Windows エクスプローラーでサポートするための別の拡張子を持つ .pem または .der ファイル。 |
.key - 秘密鍵キー ファイル | キー ファイルは .pem ファイルと同じ形式で、Windows エクスプローラーでサポートするために拡張子が異なります。 |
.pem - 証明書コンテナー ファイル (省略可能) | 省略可能。 証明書テキストの Base64 エンコードと、証明書の先頭と末尾をマークするプレーンテキスト ヘッダーとフッターを含むテキスト ファイル。 |
CRT ファイルの要件
証明書に次の CRT パラメーターの詳細が含まれていることを確認してください。
フィールド | 要件 |
---|---|
署名アルゴリズム | SHA256RSA |
署名ハッシュ アルゴリズム | SHA256 |
有効期間の開始 | 有効な過去の日付 |
有効期間の終了 | 有効な将来の日付 |
公開キー | RSA 2048 ビット (最小) または 4096 ビット |
CRL 配布ポイント | CRL サーバーへの URL。 組織が CRL サーバーに対して証明書を検証しない場合は、証明書からこの行を削除します。 |
サブジェクト CN (共通名) | アプライアンスのドメイン名 (sensor.contoso.com、.contosocom など) |
サブジェクト (C)ountry | 証明書の国番号 (例: US ) |
サブジェクト (OU) 組織単位 | Contoso Labs などの組織の単位名 |
サブジェクト (O)rganization | Contoso Inc. などの組織の名前 |
重要
他のパラメーターを含む証明書は機能する場合もありますが、Defender for IoT ではサポートされていません。 さらに、ワイルドカード SSL 証明書 (.contoso.com のように複数のサブドメインで使用できる公開キー証明書) は安全ではなく、サポートされていません。 各アプライアンスで一意の CN を使用する必要があります。
キー ファイルの要件
証明書キー ファイルで RSA 2048 ビットまたは 4096 ビットが使用されていることを確認してください。 キー長 4096 ビットを使用すると、各接続の開始時に SSL ハンドシェイクの速度が低下し、ハンドシェイク中の CPU 使用率が増加します。
ヒント
パスフレーズを使用してキーまたは証明書を作成する場合は、次の文字を使用できます。ASCII 文字 (a-z、A-Z、0-9) がサポートされているだけでなく、次の記号もサポートされています。 # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~