Persyaratan sertifikat SSL/TLS untuk sumber daya lokal
Artikel ini adalah salah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Microsoft Defender untuk IoT.
Gunakan konten di bawah ini untuk mempelajari tentang persyaratan untuk membuat sertifikat SSL/TLS untuk digunakan dengan Microsoft Defender untuk appliance IoT.
Azure Defender untuk IoT menggunakan sertifikat SSL/TLS untuk mengamankan komunikasi antara komponen sistem berikut:
- Antara pengguna dan sensor OT atau akses UI konsol manajemen lokal
- Antara sensor OT dan konsol manajemen lokal, termasuk komunikasi API
- Antara konsol manajemen lokal dan server ketersediaan tinggi (HA), jika dikonfigurasi
- Antara sensor OT atau konsol manajemen lokal dan server mitra yang ditentukan dalam aturan penerusan pemberitahuan
Beberapa organisasi juga memvalidasi sertifikat mereka terhadap Daftar Pencabutan Sertifikat (CRL) dan tanggal kedaluwarsa sertifikat, dan rantai kepercayaan sertifikat. Sertifikat yang tidak valid tidak dapat diunggah ke sensor OT atau konsol manajemen lokal, dan akan memblokir komunikasi terenkripsi antara komponen Defender for IoT.
Penting
Anda harus membuat sertifikat unik untuk setiap sensor OT, konsol manajemen lokal, dan server ketersediaan tinggi, di mana setiap sertifikat memenuhi kriteria yang diperlukan.
Jenis file yang didukung
Saat menyiapkan sertifikat SSL/TLS untuk digunakan dengan Microsoft Defender untuk IoT, pastikan untuk membuat jenis file berikut:
| Jenis file | Deskripsi |
|---|---|
| .crt – file kontainer sertifikat | File .pem, atau .der , dengan ekstensi yang berbeda untuk dukungan di Windows Explorer. |
| .key – File kunci privat | File kunci dalam format .pem yang sama dengan file, dengan ekstensi yang berbeda untuk dukungan di Windows Explorer. |
| .pem – file kontainer sertifikat (opsional) | Opsional. File teks dengan pengodean Base64 dari teks sertifikat, dan header teks biasa dan footer untuk menandai awal dan akhir sertifikat. |
Persyaratan file CRT
Pastikan sertifikat Anda menyertakan detail parameter CRT berikut:
| Bidang | Persyaratan |
|---|---|
| Algoritma Tanda Tangan | SHA256RSA |
| Algoritma Hash Tanda Tangan | SHA256 |
| Valid dari | Tanggal lalu yang valid |
| Valid Untuk | Tanggal mendatang yang valid |
| Kunci Umum | RSA 2048 bit (Minimum) atau 4096 bit |
| Titik Distribusi CRL | URL ke server CRL. Jika organisasi Anda tidak memvalidasi sertifikat terhadap server CRL, hapus baris ini dari sertifikat. |
| Subjek CN (Nama Umum) | nama domain appliance, seperti sensor.contoso.com, atau .contosocom |
| Subjek (C)ountry | Kode negara sertifikat, seperti US |
| Unit Organisasi Subjek (OU) | Nama unit organisasi, seperti Contoso Labs |
| Subjek (O)rganization | Nama organisasi, seperti Contoso Inc. |
Penting
Meskipun sertifikat dengan parameter lain mungkin berfungsi, sertifikat tersebut tidak didukung oleh Defender untuk IoT. Selain itu, sertifikat SSL kartubebas, yang merupakan sertifikat kunci publik yang dapat digunakan pada beberapa subdomain seperti .contoso.com, tidak aman dan tidak didukung. Setiap appliance harus menggunakan CN yang unik.
Persyaratan file kunci
Pastikan file kunci sertifikat Anda menggunakan RSA 2048 bit atau 4096 bit. Menggunakan panjang kunci 4096 bit memperlambat jabat tangan SSL di awal setiap koneksi, dan meningkatkan penggunaan CPU selama jabat tangan.
Tip
Karakter berikut dapat digunakan saat membuat kunci atau sertifikat dengan frasa sandi: karakter ASCII (a-z, A-Z, 0-9) didukung, serta simbol berikut! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~