Requisitos de certificado SSL/TLS para recursos no local
Este artigo é um de uma série de artigos que descrevem o caminho de implementação da monitorização de OT com Microsoft Defender para IoT.
Utilize o conteúdo abaixo para saber mais sobre os requisitos para criar certificados SSL/TLS para utilização com Microsoft Defender para aplicações IoT.
O Defender para IoT utiliza certificados SSL/TLS para proteger a comunicação entre os seguintes componentes do sistema:
- Entre os utilizadores e o sensor OT ou o acesso à IU da consola de gestão no local
- Entre sensores OT e uma consola de gestão no local, incluindo a comunicação com a API
- Entre uma consola de gestão no local e um servidor de elevada disponibilidade (HA), se configurado
- Entre sensores OT ou consolas de gestão no local e servidores de parceiros definidos em regras de reencaminhamento de alertas
Algumas organizações também validam os respetivos certificados relativamente a uma Lista de Revogação de Certificados (CRL) e à data de expiração do certificado e à cadeia de fidedignidade do certificado. Os certificados inválidos não podem ser carregados para sensores OT ou consolas de gestão no local e bloquearão a comunicação encriptada entre componentes do Defender para IoT.
Importante
Tem de criar um certificado exclusivo para cada sensor de OT, consola de gestão no local e servidor de elevada disponibilidade, onde cada certificado cumpre os critérios necessários.
Tipos de ficheiros suportados
Ao preparar certificados SSL/TLS para utilização com Microsoft Defender para IoT, certifique-se de que cria os seguintes tipos de ficheiro:
| Tipo de ficheiro | Descrição |
|---|---|
| .crt – ficheiro de contentor de certificados | Um .pemficheiro ou .der , com uma extensão diferente para suporte no Explorador do Windows. |
| .key – Ficheiro de chave privada | Um ficheiro de chave está no mesmo formato que um .pem ficheiro, com uma extensão diferente para suporte no Explorador do Windows. |
| .pem – ficheiro de contentor de certificados (opcional) | Opcional. Um ficheiro de texto com uma codificação Base64 do texto do certificado e um cabeçalho e rodapé de texto simples para marcar o início e o fim do certificado. |
Requisitos de ficheiro CRT
Certifique-se de que os certificados incluem os seguintes detalhes do parâmetro CRT:
| Campo | Requisito |
|---|---|
| Algoritmo de Assinatura | SHA256RSA |
| Algoritmo Hash de Assinatura | SHA256 |
| Válido a partir de | Uma data anterior válida |
| Válido Para | Uma data futura válida |
| Chave Pública | RSA 2048 bits (Mínimo) ou 4096 bits |
| Ponto de Distribuição CRL | URL para um servidor CRL. Se a sua organização não validar certificados num servidor CRL, remova esta linha do certificado. |
| ASSUNTO CN (Nome Comum) | nome de domínio da aplicação, como sensor.contoso.com ou .contosocom |
| Assunto (C)ountry | Código de país de certificado, como US |
| Unidade De Organização do Assunto (UO) | O nome da unidade da organização, como Contoso Labs |
| Rganização do Assunto (O) | O nome da organização, como Contoso Inc. |
Importante
Embora os certificados com outros parâmetros possam funcionar, não são suportados pelo Defender para IoT. Além disso, os certificados SSL universais, que são certificados de chave pública que podem ser reutilizados em vários subdomínios, como .contoso.com, são inseguros e não são suportados. Cada aplicação tem de utilizar um CN exclusivo.
Requisitos de ficheiros chaves
Certifique-se de que os seus ficheiros de chave de certificado utilizam RSA 2048 bits ou 4096 bits. A utilização de um comprimento de chave de 4096 bits atrasa o handshake SSL no início de cada ligação e aumenta a utilização da CPU durante os handshakes.
Dica
Os seguintes carateres podem ser utilizados ao criar uma chave ou certificado com uma frase de acesso: são suportados carateres ASCII (a-z, A-Z, 0-9), bem como os seguintes símbolos ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~