حول الشهادات

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توفر هذه المقالة المعلومات اللازمة عند إنشاء شهادات Microsoft Defender لإنترنت الأشياء ونشرها. يجب أن يتعامل الأمان أو PKI أو أي عميل محتمل مؤهل آخر للشهادة مع إنشاء الشهادة ونشرها.

يستخدم Defender for IoT شهادات SSL/TLS لتأمين الاتصال بين مكونات النظام التالية:

• بين المستخدمين ووحدة تحكم الويب الخاصة بالجهاز.
• بين المستشعرات ووحدة تحكم الإدارة المحلية.
• بين وحدة تحكم الإدارة ووحدة تحكم إدارة التوفر العالي.
• إلى واجهة برمجة تطبيقات REST على المستشعر ووحدة التحكم الإدارية المحلية.

يمكن لمستخدمي Defender for IoT Admin تحميل شهادة إلى وحدات تحكم المستشعر ووحدة التحكم الإدارية المحلية الخاصة بهم من مربع الحوار شهادات SSL/TLS.

حول طرق إنشاء الشهادات

يتم دعم جميع طرق إنشاء الشهادات باستخدام:

• البنى التحتية الرئيسية الخاصة والمؤسسية (PKI الخاص)
• البنى التحتية للمفاتيح العمومية (PKI العامة)
• الشهادات التي تم إنشاؤها محليا على الجهاز (موقعة محليا ذاتيا).

هام

لا ينصح باستخدام الشهادات الموقعة ذاتيا محليا. هذا النوع من الاتصال غير آمن ويجب استخدامه لبيئات الاختبار فقط. نظرا لأنه لا يمكن التحقق من صحة مالك الشهادة ولا يمكن الحفاظ على أمان النظام الخاص بك ، يجب عدم استخدام الشهادات الموقعة ذاتيا لشبكات الإنتاج.

حول التحقق من صحة الشهادة

بالإضافة إلى تأمين الاتصال بين مكونات النظام ، يمكن للمستخدمين أيضا إجراء التحقق من صحة الشهادة.

يتم تقييم التحقق من الصحة ضد:

• قائمة إبطال الشهادات (CRL)
• تاريخ انتهاء صلاحية الشهادة
• سلسلة الوثوق بالشهادة

يتم التحقق من الصحة مرتين:

1. عند تحميل الشهادة إلى أجهزة الاستشعار ووحدات التحكم الإدارية المحلية. في حالة فشل التحقق من الصحة، لا يمكن تحميل الشهادة.

2. عند بدء الاتصال المشفر بين:

   • Defender لمكونات نظام إنترنت الأشياء، على سبيل المثال، جهاز استشعار ووحدة تحكم إدارية محلية.

   • Defender for IoT وبعض خوادم الطرف 3rd المحددة في قواعد إعادة التوجيه. راجع حول معلومات التنبيه المعاد توجيهه للحصول على مزيد من المعلومات.

في حالة فشل التحقق من الصحة، يتم إيقاف الاتصال بين المكونات ذات الصلة ويتم عرض خطأ التحقق من الصحة في وحدة التحكم.

حول تحميل الشهادات إلى ديفندر لإنترنت الأشياء

بعد تثبيت وحدة تحكم الإدارة المحلية والمستشعر والمحلية، يتم إنشاء شهادة محلية موقعة ذاتيا واستخدامها للوصول إلى المستشعر وتطبيق الويب الخاص بوحدة التحكم في الإدارة المحلية.

عند تسجيل الدخول إلى المستشعر ووحدة التحكم الإدارية المحلية للمرة الأولى، تتم مطالبة المستخدمين المشرفين بتحميل شهادة SSL/TLS. يوصى بشدة باستخدام شهادات SSL / TLS.

إذا لم يتم إنشاء الشهادة بشكل صحيح بواسطة العميل المتوقع للشهادة أو كانت هناك مشكلات في الاتصال بها، فلا يمكن تحميل الشهادة وسيضطر المستخدمون إلى العمل مع شهادة موقعة محليا.

يتم تمكين خيار التحقق من صحة الشهادة التي تم تحميلها وشهادات الجهات الخارجية تلقائيا، ولكن يمكن تعطيله. عند تعطيلها، تستمر الاتصالات المشفرة بين المكونات، حتى إذا كانت الشهادة غير صالحة.

مهام نشر الشهادة

يصف هذا القسم الخطوات التي تحتاج إلى اتخاذها لضمان سير نشر الشهادة بسلاسة.

لنشر الشهادات، تحقق مما يلي:

• يقوم أخصائي الأمن أو PKI أو الشهادة بإنشاء الشهادة أو الإشراف عليها.
• يمكنك إنشاء شهادة فريدة لكل مستشعر ووحدة تحكم إدارية وجهاز HA.
• تستوفي متطلبات إنشاء الشهادة. راجع متطلبات إنشاء الشهادة.
• يمكن للمستخدمين المشرفين الذين يسجلون الدخول إلى كل مستشعر Defender for IoT، ويمكن لوحدة التحكم الإدارية المحلية وجهاز HA الوصول إلى الشهادة.

متطلبات إنشاء الشهادة

يغطي هذا القسم متطلبات إنشاء الشهادة، بما في ذلك:

• متطلبات الوصول إلى المنفذ للتحقق من صحة الشهادة

• متطلبات نوع الملف

• متطلبات الملف الرئيسي

• متطلبات ملف سلسلة الشهادات (في حالة استخدام .pem)

متطلبات الوصول إلى المنفذ للتحقق من صحة الشهادة

إذا كنت تعمل مع التحقق من صحة الشهادة، تحقق من توفر الوصول إلى المنفذ 80.

يتم تقييم التحقق من صحة الشهادة مقابل قائمة إبطال الشهادة وتاريخ انتهاء صلاحية الشهادة. وهذا يعني أن الجهاز يجب أن يكون قادرا على إنشاء اتصال بخادم CRL المحدد بواسطة الشهادة. بشكل افتراضي، ستشير الشهادة إلى عنوان URL CRL على منفذ HTTP 80.

قد تحظر بعض سياسات أمان المؤسسة الوصول إلى هذا المنفذ. إذا لم يكن لدى مؤسستك حق الوصول إلى المنفذ 80، يمكنك:

1. حدد عنوان URL آخر ومنفذا معينا في الشهادة.

   • يجب تعريف عنوان URL على أنه http: // بدلا من https: // .

   • تحقق من أن خادم CRL الوجهة يمكنه الاستماع على المنفذ الذي حددته.

2. استخدم خادما وكيلا يمكنه الوصول إلى CRL على المنفذ 80.

متطلبات نوع الملف

يتطلب Defender for IoT أن تحتوي كل شهادة موقعة من CA على ملف .key وملف .crt. يتم تحميل هذه الملفات إلى المستشعر ووحدة التحكم في الإدارة المحلية بعد تسجيل الدخول. قد تتطلب بعض المؤسسات ملف.pem. لا يتطلب Defender for IoT هذا النوع من الملفات.

.crt – ملف حاوية الشهادة

ملف بتنسيق .pem أو .der بامتداد مختلف. يتم التعرف على الملف بواسطة Windows Explorer كشهادة. لم يتم التعرف على الملف.pem بواسطة "مستكشف Windows".

.key – ملف المفتاح الخاص

يكون ملف المفتاح بنفس تنسيق ملف PEM ، ولكن له امتداد مختلف.

.pem – ملف حاوية الشهادة (اختياري)

PEM هو ملف نصي يحتوي على ترميز Base64 لنص الشهادة ، ورأس & نص عادي تذييل يمثل بداية الشهادة ونهايتها.

قد تحتاج إلى تحويل أنواع الملفات الموجودة إلى أنواع مدعومة. راجع تحويل الملفات الموجودة إلى ملفات مدعومة للحصول على التفاصيل.

متطلبات معلمة ملف الشهادة

تحقق من استيفاء متطلبات المعلمات التالية قبل إنشاء شهادة:

• متطلبات ملف CRT
• متطلبات الملف الرئيسي
• متطلبات ملف سلسلة الشهادات (في حالة استخدام .pem)

متطلبات ملف CRT

يغطي هذا القسم متطلبات حقل .crt.

• خوارزمية التوقيع = SHA256RSA
• خوارزمية تجزئة التوقيع = SHA256
• يسري العرض من = تاريخ سابق ساري المفعول
• صالح إلى = تاريخ مستقبلي صالح
• المفتاح العام = RSA 2048 بت (الحد الأدنى) أو 4096 بت
• نقطة توزيع CRL = عنوان URL إلى ملف .crl
• الموضوع CN (الاسم الشائع) = اسم المجال للجهاز ؛ على سبيل المثال ، Sensor.contoso.com ، أو *.contoso.com.
• الموضوع (C)ountry = محدد، على سبيل المثال، الولايات المتحدة
• الوحدة التنظيمية للموضوع (OU) = محددة ، على سبيل المثال ، مختبرات Contoso
• الموضوع (O)rganization = محدد ، على سبيل المثال ، Contoso Inc.

قد تعمل الشهادات ذات المعلمات الأخرى، ولكن Microsoft لا تدعمها. 

متطلبات الملف الرئيسي

استخدم إما RSA 2048 بت أو 4096 بت.

عند استخدام مفتاح بطول 4096 بت، ستكون مصافحة SSL في بداية كل اتصال أبطأ. بالإضافة إلى ذلك ، هناك زيادة في استخدام وحدة المعالجة المركزية أثناء المصافحة.

متطلبات ملف سلسلة الشهادات (في حالة استخدام .pem)

ملف .pem يحتوي على شهادات كافة المراجع المصدقة في سلسلة الثقة التي أدت إلى شهادتك.

يتم دعم سمات الحقيبة في ملف سلسلة الشهادات.

إنشاء الشهادات

استخدم نظاما أساسيا لإدارة الشهادات لإنشاء شهادة، على سبيل المثال، نظام أساسي آلي لإدارة PKI. تحقق من أن الشهادات تفي بمتطلبات ملف الشهادة. راجع اختبار الشهادات للحصول على معلومات حول اختبار الملفات التي تقوم بإنشائها.

إذا كنت لا تقوم بالتحقق من صحة الشهادة، فقم بإزالة مرجع عنوان URL CRL في الشهادة. راجع متطلبات ملف CRT للحصول على معلومات حول هذه المعلمة.

راجع أمان أو PKI أو عميل متوقع مؤهل آخر إذا لم يكن لديك تطبيق يمكنه إنشاء الشهادات تلقائيا.

يمكنك اختبار الشهادات التي تقوم بإنشائها.

يمكنك أيضا تحويل ملفات الشهادات الموجودة إذا كنت لا تريد إنشاء ملفات جديدة. راجع تحويل الملفات الموجودة إلى ملفات مدعومة للحصول على التفاصيل.

نموذج الشهادة

يمكنك مقارنة شهادتك بنموذج الشهادة أدناه. تحقق من خروج الحقول نفسها وأن ترتيب الحقول هو نفسه.

اختبار الشهادات التي تقوم بإنشائها

يمكنك اختبار الشهادات قبل نشرها على المستشعرات ووحدات التحكم الإدارية المحلية. إذا كنت تريد التحقق من المعلومات الموجودة داخل ملف .csr الشهادة أو ملف المفتاح الخاص، فاستخدم هذه الأوامر:

الاختبار	أمر CLI
التحقق من طلب توقيع شهادة (CSR)	openssl req -text -noout -verify -in CSR.csr
التحقق من مفتاح خاص	openssl rsa -in privateKey.key -check
التحقق من شهادة	openssl x509 -in certificate.crt -text -noout

في حالة فشل هذه الاختبارات، راجع متطلبات معلمات ملف الشهادة للتحقق من دقة معلمات الملف، أو راجع العميل المتوقع للشهادة.

تحويل الملفات الموجودة إلى ملفات مدعومة

يوضح هذا القسم كيفية تحويل ملفات الشهادات الموجودة إلى تنسيقات مدعومة.

الوصف	أمر CLI
تحويل الملف.crt إلى ملف.pem	openssl x509 -inform PEM -in <full path>/<pem-file-name>.pem -out <fullpath>/<crt-file-name>.crt
تحويل الملف.pem إلى ملف .crt	openssl x509 -inform PEM -in <full path>/<pem-file-name>.pem -out <fullpath>/<crt-file-name>.crt
تحويل ملف PKCS#12 (.pfx .p12) يحتوي على مفتاح خاص وشهادات إلى .pem	openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes. يمكنك إضافة -nocerts لإخراج المفتاح الخاص فقط، أو إضافة -nokeys لإخراج الشهادات فقط.

استكشاف الأخطاء وإصلاحها

يغطي هذا القسم العديد من المشكلات التي قد تحدث أثناء تحميل الشهادات والتحقق من صحتها، والخطوات التي يجب اتخاذها لحل المشكلات.

استكشاف أخطاء CA-Certificate Upload وإصلاحها

لن يتمكن المستخدمون المسؤولون الذين يحاولون تسجيل الدخول إلى المستشعر أو وحدة التحكم الإدارية المحلية للمرة الأولى من تحميل الشهادة الموقعة من المرجع المصدق إذا لم يتم إنشاء الشهادة بشكل صحيح أو كانت غير صالحة. في حالة فشل تحميل الشهادة، سيتم عرض رسالة خطأ واحدة أو عدة رسائل:

خطأ في التحقق من صحة الشهادة	⁧⁩التوصية⁧⁩
عبارة المرور غير متطابقة مع المفتاح	تحقق من أنك كتبت عبارة المرور الصحيحة. إذا استمرت المشكلة، فحاول إعادة إنشاء الشهادة باستخدام عبارة المرور الصحيحة.
لا يمكن التحقق من صحة سلسلة الثقة. الشهادة المقدمة والمرجع المصدق الجذر غير متطابقين.	تأكد من ارتباط الملف.pem بالملف.crt. إذا استمرت المشكلة، حاول إعادة إنشاء الشهادة باستخدام سلسلة الثقة الصحيحة (المعرفة بواسطة ملف .pem).
انتهت صلاحية شهادة SSL هذه ولا تعتبر صالحة.	إنشاء شهادة جديدة بتواريخ صالحة.
انتهت صلاحية شهادة SSL هذه ولا تعتبر صالحة.	إنشاء شهادة جديدة بتواريخ صالحة.
تم إبطال هذه الشهادة بواسطة CRL ولا يمكن الوثوق بها للاتصال الآمن	إنشاء شهادة جديدة غير ملغاة.
لا يمكن الوصول إلى موقع CRL (قائمة إبطال الشهادات). تحقق من إمكانية الوصول إلى عنوان URL من هذا الجهاز	تأكد من أن تكوين الشبكة يسمح للجهاز بالوصول إلى خادم CRL المحدد في الشهادة. يمكنك استخدام خادم وكيل إذا كانت هناك قيود في إنشاء اتصال مباشر.
فشل التحقق من صحة الشهادة	يشير هذا إلى وجود خطأ عام في الجهاز. اتصل بدعم Microsoft.

استكشاف أخطاء تحويلات الملفات وإصلاحها

قد لا يؤدي تحويل ملفك إلى إنشاء شهادة صالحة. على سبيل المثال، قد تكون بنية الملف غير دقيقة.

في حالة فشل التحويل:

• استخدم أوامر التحويل الموضحة في تحويل الملفات الموجودة إلى ملفات مدعومة.
• تأكد من دقة معلمات الملف. راجع متطلبات نوع الملف ومتطلباتمعلمة ملف الشهادة للحصول على التفاصيل.
• استشر العميل المتوقع للشهادة.

الخطوات التالية

لمزيد من المعلومات، راجع تحديد الأجهزة المطلوبة.