Şirket içi kaynaklar için SSL/TLS sertifika gereksinimleri
Bu makale, IoT için Microsoft Defender ile OT izleme dağıtım yolunu açıklayan bir dizi makaleden biridir.
IoT gereçleri için Microsoft Defender ile kullanılmak üzere SSL/TLS sertifikaları oluşturma gereksinimleri hakkında bilgi edinmek için aşağıdaki içeriği kullanın.
IoT için Defender, aşağıdaki sistem bileşenleri arasındaki iletişimin güvenliğini sağlamak için SSL/TLS sertifikalarını kullanır:
- Kullanıcılar ve OT algılayıcısı veya şirket içi yönetim konsolu kullanıcı arabirimi erişimi arasında
- API iletişimi de dahil olmak üzere OT algılayıcıları ile şirket içi yönetim konsolu arasında
- Yapılandırılmışsa, şirket içi yönetim konsolu ile yüksek kullanılabilirlik (HA) sunucusu arasında
- OT algılayıcıları veya şirket içi yönetim konsolları ile uyarı iletme kurallarında tanımlanan iş ortağı sunucuları arasında
Bazı kuruluşlar sertifikalarını Sertifika İptal Listesi (CRL) ve sertifika son kullanma tarihi ile sertifika güven zincirine göre de doğrular. Geçersiz sertifikalar OT algılayıcılarına veya şirket içi yönetim konsollarına yüklenemez ve IoT için Defender bileşenleri arasındaki şifreli iletişimi engeller.
Önemli
Her bir sertifikanın gerekli ölçütleri karşıladığı her OT algılayıcısı, şirket içi yönetim konsolu ve yüksek kullanılabilirlik sunucusu için benzersiz bir sertifika oluşturmanız gerekir.
Desteklenen dosya türleri
IoT için Microsoft Defender ile kullanılmak üzere SSL/TLS sertifikalarını hazırlarken aşağıdaki dosya türlerini oluşturduğunuzdan emin olun:
| Dosya türü | Açıklama |
|---|---|
| .crt – sertifika kapsayıcı dosyası | .pemWindows Gezgini'nde destek için farklı bir uzantıya sahip bir veya .der dosyası. |
| .key – Özel anahtar dosyası | Windows Gezgini'nde destek için farklı bir .pem uzantıya sahip anahtar dosyası dosyayla aynı biçimdedir. |
| .pem – sertifika kapsayıcı dosyası (isteğe bağlı) | İsteğe bağlı. Sertifika metninin Base64 kodlamasına sahip bir metin dosyası ve sertifikanın başlangıcını ve sonunu işaretlemek için düz metin üst bilgisi ve alt bilgisi. |
CRT dosya gereksinimleri
Sertifikalarınızın aşağıdaki CRT parametre ayrıntılarını içerdiğinden emin olun:
| Alan | Gereksinim |
|---|---|
| İmza Algoritması | SHA256RSA |
| İmza Karması Algoritması | SHA256 |
| Geçerlilik başlangıç | Geçerli bir geçmiş tarih |
| Geçerli Olduğu Yer | Geçerli bir gelecek tarih |
| Ortak Anahtar | RSA 2048 bit (Minimum) veya 4096 bit |
| CRL Dağıtım Noktası | CRL sunucusunun URL'si. Kuruluşunuz bir CRL sunucusuna karşı sertifikaları doğrulamıyorsa, bu satırı sertifikadan kaldırın. |
| Konu CN'si (Ortak Ad) | sensor.contoso.com veya .contosocomgibi aletin etki alanı adı |
| Konu (C)ountry | Sertifika ülke kodu, örneğin US |
| Konu (OU) Kuruluş Birimi | Contoso Labs gibi kuruluşun birim adı |
| Konu (O)rganization | Contoso Inc. gibi kuruluşun adı. |
Önemli
Diğer parametrelere sahip sertifikalar işe yarayabilir ancak Bunlar IoT için Defender tarafından desteklenmez. Buna ek olarak, .contoso.com gibi birden çok alt etki alanında kullanılabilen ortak anahtar sertifikaları olan joker SSL sertifikaları güvensizdir ve desteklenmez. Her alet benzersiz bir CN kullanmalıdır.
Anahtar dosyası gereksinimleri
Sertifika anahtarı dosyalarınızın RSA 2048 bit veya 4096 bit kullandığından emin olun. 4096 bit anahtar uzunluğunun kullanılması, her bağlantının başında SSL el sıkışmasını yavaşlatır ve el sıkışmaları sırasında CPU kullanımını artırır.
İpucu
Parolayla anahtar veya sertifika oluştururken aşağıdaki karakterler kullanılabilir: ASCII karakterleri (a-z, A-Z, 0-9) ve aşağıdaki simgeler desteklenir! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~