Opret SSL/TLS-certifikater til håndkøbsapparater

Denne artikel er en i en række artikler, der beskriver installationsstien til OT-overvågning med Microsoft Defender til IoT, og beskriver, hvordan du opretter CA-signerede certifikater, der skal bruges sammen med Defender for IoT-enheder i det lokale miljø for OT-sensorapparater.

Diagram over en statuslinje med Planlæg og forbered fremhævet.

Hvert nøglecentersigneret certifikat skal både have en .key fil og en .crt fil, som uploades til Defender for IoT-apparater efter første logon. Nogle organisationer kan også kræve en .pem fil, men der kræves ikke en .pem fil til Defender for IoT.

Vigtigt!

Du skal oprette et entydigt certifikat for hver Defender for IoT-apparat, hvor hvert certifikat opfylder de påkrævede kriterier.

Forudsætninger

Hvis du vil udføre de procedurer, der er beskrevet i denne artikel, skal du sørge for, at du har en sikkerheds-, PKI- eller certifikatspecialist tilgængelig til at styre oprettelsen af certifikatet.

Sørg for, at du også har gjort dig bekendt med SSL/TLS-certifikatkrav til Defender for IoT.

Opret et CA-signeret SSL/TLS-certifikat

Vi anbefaler, at du altid bruger CA-signerede certifikater i produktionsmiljøer og kun bruger selvsignerede certifikater i testmiljøer.

Brug en platform til administration af certifikater, f.eks. en automatiseret PKI-administrationsplatform, til at oprette et certifikat, der opfylder Defender for IoT-krav.

Hvis du ikke har et program, der automatisk kan oprette certifikater, kan du kontakte et sikkerheds-, PKI- eller andet kvalificeret certifikat kundeemne for at få hjælp. Du kan også konvertere eksisterende certifikatfiler, hvis du ikke vil oprette nye.

Sørg for at oprette et entydigt certifikat for hver Defender for IoT-apparat, hvor hvert certifikat opfylder de påkrævede parameterkriterier.

For eksempel:

  1. Åbn den downloadede certifikatfil, og vælg fanen >DetaljerKopiér til fil for at køre guiden Certifikateksport.

  2. I guiden Certifikateksport skal du vælge Næste>DER-kodede binære X.509 (. CER)> og derefter vælge Næste igen.

  3. På skærmen Fil, der skal eksporteres skal du vælge Gennemse, vælge en placering, hvor certifikatet skal gemmes, og derefter vælge Næste.

  4. Vælg Udfør for at eksportere certifikatet.

Bemærk!

Du skal muligvis konvertere eksisterende filtyper til understøttede typer.

Kontrollér, at certifikatet opfylder kravene til certifikatfilen, og test derefter den certifikatfil , du oprettede, når du er færdig.

Hvis du ikke bruger certifikatvalidering, skal du fjerne URL-referencen til liste over tilbagekaldte certifikater i certifikatet. Du kan få flere oplysninger under Krav til certifikatfil.

Tip

(Valgfrit) Opret en certifikatkæde, som er en .pem fil, der indeholder certifikaterne fra alle nøglecentrene i den tillidskæde, der førte til certifikatet.

Kontrollér serveradgang til liste over sikkerhed på rækkeniveau

Hvis din organisation validerer certifikater, skal dine IoT-apparater i Defender for IoT have adgang til den CRL-server, der er defineret af certifikatet. Certifikater får som standard adgang til CRL-serverens URL-adresse via HTTP-port 80. Nogle organisatoriske sikkerhedspolitikker blokerer dog adgangen til denne port.

Hvis dine apparater ikke kan få adgang til din CRL-server på port 80, kan du bruge en af følgende løsninger:

  • Definer en anden URL-adresse og port i certifikatet:

    • Den URL-adresse, du definerer, skal konfigureres som http: // og ikke https://
    • Sørg for, at destinationsserveren for sikkerhed på rækkeniveau kan lytte på den port, du definerer

  • Brug en proxyserver, der kan få adgang til listen over tilbagekaldte certifikater på port 80

    Du kan få flere oplysninger under [Videresend OT-beskedoplysninger].

Hvis valideringen mislykkes, stoppes kommunikationen mellem de relevante komponenter, og der vises en valideringsfejl i konsollen.

Importér SSL/TLS-certifikatet til et lager, der er tillid til

Når du har oprettet dit certifikat, skal du importere det til en lagerplacering, der er tillid til. Det kan f.eks. være:

  1. Åbn sikkerhedscertifikatfilen, og vælg Installer certifikat under fanen Generelt for at starte guiden Certifikatimport.

  2. Vælg Lokal computer i Butiksplacering, og vælg derefter Næste.

  3. Hvis der vises en prompt om tilladelse af brugere , skal du vælge Ja for at tillade, at appen foretager ændringer på enheden.

  4. På skærmen Certifikatlager skal du vælge Automatisk vælge certifikatlageret baseret på certifikattypen og derefter vælge Næste.

  5. Vælg Placer alle certifikater i følgende lager, gennemse, og vælg derefter lageret med rodnøglecentre, der er tillid til . Når du er færdig, skal du vælge Næste. Det kan f.eks. være:

    Skærmbillede af skærmbilledet med certifikatlageret, hvor du kan gå til den rodmappe, der er tillid til.

  6. Vælg Udfør for at fuldføre importen.

Test dine SSL/TLS-certifikater

Brug følgende procedurer til at teste certifikater, før du installerer dem i defender for IoT-apparater.

Kontrollér dit certifikat i forhold til et eksempel

Brug følgende eksempelcertifikat til at sammenligne med det certifikat, du har oprettet, og sørg for, at de samme felter findes i samme rækkefølge.

Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E 
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV 
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu 
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM 
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW 
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT 
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW 
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X
kwv2+emz8CMDLsbWvUmo8Sg0OwfzAgMBAAGjfDB6MB0GA1UdDgQWBBQ27hu11E/w 
21Nx3dwjp0keRPuTsTAfBgNVHSMEGDAWgBQ27hu1lE/w21Nx3dwjp0keRPUTSTAM
BgNVHRMEBTADAQH/MAsGA1UdDwQEAwIDqDAdBgNVHSUEFjAUBggrBgEFBQcDAgYI
KwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBADLsn1ZXYsbGJLLzsGegYv7jmmLh
nfBFQqucORSQ8tqb2CHFME7LnAMfzFGpYYV0h1RAR+1ZL1DVtm+IKGHdU9GLnuyv
9x9hu7R4yBh3K99ILjX9H+KACvfDUehxR/ljvthoOZLalsqZIPnRD/ri/UtbpWtB 
cfvmYleYA/zq3xdk4vfOI0YTOW11qjNuBIHh0d5S5sn+VhhjHL/s3MFaScWOQU3G 
9ju6mQSo0R1F989aWd+44+8WhtOEjxBvr+17CLqHsmbCmqBI7qVnj5dHvkh0Bplw 
zhJp150DfUzXY+2sV7Uqnel9aEU2Hlc/63EnaoSrxx6TEYYT/rPKSYL+++8=
-----END CERTIFICATE-----

Test certifikater uden en fil med en .csr eller en privat nøgle

Hvis du vil kontrollere oplysningerne i certifikatfilen .csr eller den private nøglefil, skal du bruge følgende kommandolinjegrænsefladekommandoer:

  • Kontrollér en CSR-anmodning (Certificate Signering Request): Kør openssl req -text -noout -verify -in CSR.csr
  • Kontrollér en privat nøgle: Kør openssl rsa -in privateKey.key -check
  • Kontrollér et certifikat: Kør openssl x509 -in certificate.crt -text -noout

Hvis disse test mislykkes, skal du gennemse kravene til certifikatfilen for at kontrollere, at filparametrene er nøjagtige, eller kontakte din certifikatspecialist.

Valider certifikatets fælles navn

  1. Hvis du vil have vist certifikatets almindelige navn, skal du åbne certifikatfilen og vælge fanen Detaljer og derefter vælge emnefeltet .

    Certifikatets fælles navn vises ud for CN.

  2. Log på din sensorkonsol uden en sikker forbindelse. På advarselsskærmen Din forbindelse er ikke privat vises fejlmeddelelsen NET::ERR_CERT_COMMON_NAME_INVALID muligvis.

  3. Vælg fejlmeddelelsen for at udvide den, og kopiér derefter strengen ud for Emne. Det kan f.eks. være:

    Skærmbillede af forbindelsen er ikke en privat skærm, hvor detaljerne er udvidet.

    Emnestrengen skal stemme overens med CN-strengen i oplysningerne om sikkerhedscertifikatet.

  4. I din lokale stifinder skal du gå til hosts-filen, f.eks. på This PC > Local Disk (C:) > Windows > System32-drivere >> osv., og åbne hosts-filen .

  5. I filen Hosts skal du tilføje en linje i slutningen af dokumentet med sensorens IP-adresse og SSL-certifikatets almindelige navn, som du kopierede i de forrige trin. Gem ændringerne, når du er færdig. Det kan f.eks. være:

    Skærmbillede af hosts-filen.

Selvsignerede certifikater

Selvsignerede certifikater er tilgængelige til brug i testmiljøer efter installation af Defender til IoT OT-overvågningssoftware. Du kan finde flere oplysninger under:

Næste trin

« Forbered en udrulning af ot-webstedet

  • Last updated on