Requisitos de certificado SSL/TLS para recursos locais

Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.

Use o conteúdo abaixo para saber mais sobre os requisitos para criar certificados SSL/TLS para uso com Microsoft Defender para dispositivos IoT.

Diagrama de uma barra de progresso com Planejar e preparar realçado.

O Defender para IoT usa certificados SSL/TLS para proteger a comunicação entre estes componentes do sistema:

  • Entre usuários e o sensor de OT ou o acesso à interface do usuário do console de gerenciamento local
  • Entre sensores OT e um console de gerenciamento local, incluindo comunicação com a API
  • Entre um console de gerenciamento local e um servidor de HA (alta disponibilidade), se configurado
  • Entre sensores de OT ou consoles de gerenciamento locais e servidores parceiros definidos em regras de encaminhamento de alertas

Algumas organizações também validam seus certificados em relação a uma CRL (Lista de Certificados Revogados) e à data de validade do certificado e à cadeia de confiança do certificado. Certificados inválidos não podem ser carregados em sensores de OT ou consoles de gerenciamento locais e bloquearão a comunicação criptografada entre componentes do Defender para IoT.

Importante

Você precisa criar um certificado exclusivo para cada sensor de OT, console de gerenciamento local e servidor de alta disponibilidade, em que cada certificado atenda aos critérios necessários.

Tipos de arquivo com suporte

Ao preparar certificados SSL/TLS para uso com Microsoft Defender para IoT, crie os seguintes tipos de arquivo:

Tipo de arquivo Descrição
.crt – arquivo de contêiner de certificado Um arquivo .pem ou .der, com uma extensão diferente para suporte no Windows Explorer.
.key – arquivo de chave privada Um arquivo de chave está no mesmo formato de um arquivo .pem, com uma extensão diferente para suporte no Windows Explorer.
.pem – arquivo de contêiner do certificado (opcional) Opcional. Um arquivo de texto com uma codificação Base64 do texto do certificado e um cabeçalho e rodapé de texto sem formatação para marcar o início e o fim do certificado.

Requisitos de arquivo CRT

Verifique se os certificados incluem os seguintes detalhes do parâmetro CRT:

Campo Requisito
Algoritmo de Assinatura SHA256RSA
Algoritmo de Hash de Assinatura SHA256
Válido desde Uma data passada válida
Válido até Uma data futura válida
Chave pública RSA de 2.048 bits (mínimo) ou 4.096 bits
Ponto de distribuição de CRL URL para um servidor CRL. Se sua organização não validar certificados em um servidor CRL, remova essa linha do certificado.
CN da Entidade (Nome Comum) nome de domínio do dispositivo, por exemplo, sensor.contoso.com ou .contoso.com
País da Entidade Código do país do certificado, por exemplo, US
UO (Unidade Organizacional) da Entidade O nome da unidade da organização, por exemplo, Contoso Labs
Organização da Entidade O nome da organização, por exemplo, Contoso Inc.

Importante

Embora os certificados com outros parâmetros possam funcionar, eles não têm suporte do Defender para IoT. Além disso, os certificados SSL curinga, que são certificados de chave pública que podem ser usados em vários subdomínios, como .contoso.com, não são seguros e não têm suporte. Cada dispositivo precisa usar um CN exclusivo.

Requisitos de arquivo de chave

Verifique se os arquivos de chave de certificado usam RSA 2048 bits ou 4096 bits. O uso de um tamanho de chave de 4096 bits reduz a velocidade do handshake SSL no início de cada conexão e aumentará o uso da CPU durante os handshakes.

Dica

Os seguintes caracteres podem ser usados ao criar uma chave ou um certificado com uma frase secreta: os caracteres ASCII (a-z, A-Z, 0-9) são compatíveis, bem como os seguintes símbolos ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

Próximas etapas