Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschrieben wird, und es wird beschrieben, wie Sie ZS-signierte Zertifikate für die Verwendung mit lokalen OT-Sensorgeräten von Defender für IoT erstellen.
Jedes von einer Zertifizierungsstelle (Ca) signierte Zertifikat muss sowohl über eine .key Datei als auch über eine .crt Datei verfügen, die nach der ersten Anmeldung in Defender für IoT-Appliances hochgeladen werden. Während einige Organisationen möglicherweise auch eine .pem Datei benötigen, ist eine .pem Datei für Defender für IoT nicht erforderlich.
Wichtig
Sie müssen ein eindeutiges Zertifikat für jede Defender für IoT-Anwendung erstellen, wobei jedes Zertifikat die erforderlichen Kriterien erfüllt.
Voraussetzungen
Um die in diesem Artikel beschriebenen Verfahren auszuführen, stellen Sie sicher, dass Sie über einen Sicherheits-, PKI- oder Zertifikatspezialisten verfügen, der die Zertifikaterstellung überwacht.
Stellen Sie sicher, dass Sie sich auch mit den SSL-/TLS-Zertifikatanforderungen für Defender für IoT vertraut gemacht haben.
Erstellen eines von einer Zertifizierungsstelle signierten SSL/TLS-Zertifikats
Es wird empfohlen, immer von einer Zertifizierungsstelle signierte Zertifikate in Produktionsumgebungen zu verwenden und nur selbstsignierte Zertifikate in Testumgebungen zu verwenden.
Verwenden Sie eine Zertifikatverwaltungsplattform, z. B. eine automatisierte PKI-Verwaltungsplattform, um ein Zertifikat zu erstellen, das die Anforderungen von Defender für IoT erfüllt.
Wenn Sie nicht über eine Anwendung verfügen, die zertifikate automatisch erstellen kann, wenden Sie sich an einen Sicherheits-, PKI- oder anderen qualifizierten Zertifikatleiter, um Hilfe zu erhalten. Sie können auch vorhandene Zertifikatdateien konvertieren, wenn Sie keine neuen erstellen möchten.
Stellen Sie sicher, dass Sie für jede Defender für IoT-Anwendung ein eindeutiges Zertifikat erstellen, wobei jedes Zertifikat die erforderlichen Parameterkriterien erfüllt.
Beispiel:
Öffnen Sie die heruntergeladene Zertifikatdatei, und wählen Sie die Registerkarte >DetailsIn Datei kopieren aus, um den Zertifikatexport-Assistenten auszuführen.
Wählen Sie im Zertifikatexport-Assistentendie Option Nächste>DER-codierte Binärdatei X.509 (. CER)> aus, und wählen Sie dann erneut Weiter aus.
Wählen Sie auf dem Bildschirm Zu exportierende Dateidie Option Durchsuchen aus, wählen Sie einen Speicherort zum Speichern des Zertifikats aus, und wählen Sie dann Weiter aus.
Wählen Sie Fertig stellen aus, um das Zertifikat zu exportieren.
Hinweis
Möglicherweise müssen Sie vorhandene Dateitypen in unterstützte Typen konvertieren.
Vergewissern Sie sich, dass das Zertifikat die Anforderungen an die Zertifikatdatei erfüllt, und testen Sie dann die von Ihnen erstellte Zertifikatdatei , wenn Sie fertig sind.
Wenn Sie die Zertifikatüberprüfung nicht verwenden, entfernen Sie den Zertifikatsperrlisten-URL-Verweis im Zertifikat. Weitere Informationen finden Sie unter Zertifikatdateianforderungen.
Tipp
(Optional) Erstellen Sie eine Zertifikatkette, bei der es sich um eine .pem Datei handelt, die die Zertifikate aller Zertifizierungsstellen in der Vertrauenskette enthält, die zu Ihrem Zertifikat geführt hat.
Überprüfen des Zugriffs auf den Zertifikatsperrlistenserver
Wenn Ihr organization Zertifikate überprüft, müssen Ihre Defender für IoT-Appliances auf den durch das Zertifikat definierten Zertifikatsperrlistenserver zugreifen können. Standardmäßig greifen Zertifikate über http-Port 80 auf die Zertifikatsperrlistenserver-URL zu. Einige Sicherheitsrichtlinien der Organisation blockieren jedoch den Zugriff auf diesen Port.
Wenn Ihre Appliances nicht auf Ihren CRL-Server an Port 80 zugreifen können, können Sie eine der folgenden Problemumgehungen verwenden:
Definieren Sie eine weitere URL und einen port im Zertifikat:
- Die URL, die Sie definieren, muss als
http: //und nicht konfiguriert werden.https:// - Stellen Sie sicher, dass der Ziel-Zertifikatsperrlistenserver an dem von Ihnen definierten Port lauschen kann.
- Die URL, die Sie definieren, muss als
Verwenden eines Proxyservers, der auf die Zertifikatsperrliste an Port 80 zugreifen kann
Weitere Informationen finden Sie unter [Informationen zur Weiterleitung von OT-Warnungen].
Wenn die Überprüfung fehlschlägt, wird die Kommunikation zwischen den relevanten Komponenten angehalten, und in der Konsole wird ein Validierungsfehler angezeigt.
Importieren des SSL/TLS-Zertifikats in einen vertrauenswürdigen Speicher
Nachdem Sie Ihr Zertifikat erstellt haben, importieren Sie es in einen vertrauenswürdigen Speicherort. Zum Beispiel:
Öffnen Sie die Sicherheitszertifikatdatei, und wählen Sie auf der Registerkarte Allgemeinzertifikat installieren aus, um den Zertifikatimport-Assistenten zu starten.
Wählen Sie unter Speicherortdie Option Lokaler Computer und dann Weiter aus.
Wenn eine Eingabeaufforderung "Benutzersteuerung zulassen " angezeigt wird, wählen Sie Ja aus, damit die App Änderungen an Ihrem Gerät vornehmen kann.
Wählen Sie im Bildschirm Zertifikatspeicherdie Option Zertifikatspeicher automatisch basierend auf dem Zertifikattyp auswählen und dann Weiter aus.
Wählen Sie Alle Zertifikate im folgenden Speicher speichern, dann Durchsuchen und dann den Speicher Vertrauenswürdige Stammzertifizierungsstellen aus. Wenn Sie fertig sind, wählen Sie Weiter. Zum Beispiel:
Wählen Sie Fertig stellen aus, um den Import abzuschließen.
Testen Ihrer SSL/TLS-Zertifikate
Verwenden Sie die folgenden Verfahren, um Zertifikate zu testen, bevor Sie sie für Ihre Defender für IoT-Appliances bereitstellen.
Überprüfen Ihres Zertifikats anhand eines Beispiels
Verwenden Sie das folgende Beispielzertifikat, um mit dem zertifikat zu vergleichen, das Sie erstellt haben, und stellen Sie sicher, dass die gleichen Felder in derselben Reihenfolge vorhanden sind.
Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X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-----END CERTIFICATE-----
Testen von Zertifikaten ohne oder datei mit privatem .csr Schlüssel
Wenn Sie die Informationen in der Zertifikatdatei .csr oder der Datei mit dem privaten Schlüssel überprüfen möchten, verwenden Sie die folgenden CLI-Befehle:
-
Überprüfen einer Zertifikatsignieranforderung (Certificate Signing Request, CSR): Ausführen
openssl req -text -noout -verify -in CSR.csr -
Überprüfen eines privaten Schlüssels: Ausführen
openssl rsa -in privateKey.key -check -
Überprüfen eines Zertifikats: Ausführen
openssl x509 -in certificate.crt -text -noout
Wenn diese Tests fehlschlagen, überprüfen Sie die Zertifikatdateianforderungen , um zu überprüfen, ob Ihre Dateiparameter korrekt sind, oder wenden Sie sich an Ihren Zertifikatsspezialisten.
Überprüfen des allgemeinen Namens des Zertifikats
Um den allgemeinen Namen des Zertifikats anzuzeigen, öffnen Sie die Zertifikatdatei, wählen Sie die Registerkarte Details und dann das Feld Betreff aus.
Der allgemeine Name des Zertifikats wird neben CN angezeigt.
Melden Sie sich ohne sichere Verbindung bei Ihrer Sensorkonsole an. Auf dem Warnbildschirm Ihre Verbindung ist nicht privat wird möglicherweise eine NET::ERR_CERT_COMMON_NAME_INVALID Fehlermeldung angezeigt.
Wählen Sie die Fehlermeldung aus, um sie zu erweitern, und kopieren Sie dann die Zeichenfolge neben Betreff. Zum Beispiel:
Die Betreffzeichenfolge sollte mit der CN-Zeichenfolge in den Details des Sicherheitszertifikats übereinstimmen.
Navigieren Sie in Ihrem lokalen Datei-Explorer zur Datei hosts, z. B. unter This PC > Local Disk (C:) > Windows > System32 > drivers > usw., und öffnen Sie die Hostdatei .
Fügen Sie in der Datei hosts eine Zeile am Ende des Dokuments mit der IP-Adresse des Sensors und dem allgemeinen Namen des SSL-Zertifikats hinzu, den Sie in den vorherigen Schritten kopiert haben. Wenn Sie fertig sind, speichern Sie die Änderungen. Zum Beispiel:
Selbstsignierte Zertifikate
Selbstsignierte Zertifikate sind für die Verwendung in Testumgebungen nach der Installation der OT-Überwachungssoftware von Defender für IoT verfügbar. Weitere Informationen finden Sie unter: