Creación de certificados SSL/TLS para dispositivos OT

Este artículo es uno de una serie de artículos que describen la ruta de implementación para la supervisión de OT con Microsoft Defender para IoT y describe cómo crear certificados firmados por ca para usarlos con dispositivos de sensor OT locales de Defender para IoT.

Diagrama de una barra de progreso con Planear y preparar resaltados.

Cada certificado firmado por la entidad de certificación (CA) debe tener un .key archivo y un .crt archivo, que se cargan en dispositivos de Defender para IoT después del primer inicio de sesión. Aunque algunas organizaciones también pueden requerir un .pem archivo, no es necesario un .pem archivo para Defender para IoT.

Importante

Debe crear un certificado único para cada dispositivo de Defender para IoT, donde cada certificado cumpla los criterios necesarios.

Requisitos previos

Para realizar los procedimientos descritos en este artículo, asegúrese de que tiene un especialista en seguridad, PKI o certificado disponible para supervisar la creación de certificados.

Asegúrese de que también se ha familiarizado con los requisitos de certificado SSL/TLS para Defender para IoT.

Creación de un certificado SSL/TLS firmado por una entidad de certificación

Se recomienda usar siempre certificados firmados por ca en entornos de producción y solo usar certificados autofirmados en entornos de prueba.

Use una plataforma de administración de certificados, como una plataforma de administración de PKI automatizada, para crear un certificado que cumpla los requisitos de Defender para IoT.

Si no tiene una aplicación que pueda crear certificados automáticamente, consulte a un responsable de seguridad, PKI u otro responsable de certificados cualificado para obtener ayuda. También puede convertir los archivos de certificado existentes si no desea crear otros nuevos.

Asegúrese de crear un certificado único para cada dispositivo de Defender para IoT, donde cada certificado cumple los criterios de parámetros necesarios.

Por ejemplo:

  1. Abra el archivo de certificado descargado y seleccione la pestaña >DetallesCopiar en archivo para ejecutar el Asistente para exportación de certificados.

  2. En el Asistente para exportación de certificados, seleccione Next>DER encoded binary X.509 (. CER)> y, a continuación, seleccione Siguiente de nuevo.

  3. En la pantalla Archivo para exportar , seleccione Examinar, elija una ubicación para almacenar el certificado y, a continuación, seleccione Siguiente.

  4. Seleccione Finalizar para exportar el certificado.

Nota:

Es posible que tenga que convertir los tipos de archivos existentes en tipos admitidos.

Compruebe que el certificado cumple los requisitos del archivo de certificado y, a continuación, pruebe el archivo de certificado que creó cuando haya terminado.

Si no usa la validación de certificados, quite la referencia de dirección URL de CRL en el certificado. Para obtener más información, consulte Requisitos de archivos de certificado.

Sugerencia

(Opcional) Cree una cadena de certificados, que es un .pem archivo que contiene los certificados de todas las entidades de certificación de la cadena de confianza que condujo al certificado.

Comprobación del acceso al servidor CRL

Si su organización valida certificados, los dispositivos de Defender para IoT deben poder acceder al servidor CRL definido por el certificado. De forma predeterminada, los certificados acceden a la dirección URL del servidor CRL a través del puerto HTTP 80. Sin embargo, algunas directivas de seguridad de la organización bloquean el acceso a este puerto.

Si los dispositivos no pueden acceder al servidor CRL en el puerto 80, puede usar una de las siguientes soluciones alternativas:

  • Defina otra dirección URL y puerto en el certificado:

    • La dirección URL que defina debe configurarse como http: // y no https://
    • Asegúrese de que el servidor CRL de destino puede escuchar en el puerto que defina.

  • Uso de un servidor proxy que pueda acceder a la CRL en el puerto 80

    Para obtener más información, vea [Forward OT alert information].

Si se produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se presenta un error de validación en la consola.

Importación del certificado SSL/TLS a un almacén de confianza

Después de crear el certificado, impórelo en una ubicación de almacenamiento de confianza. Por ejemplo:

  1. Abra el archivo de certificado de seguridad y, en la pestaña General , seleccione Instalar certificado para iniciar el Asistente para importación de certificados.

  2. En Ubicación de la tienda, seleccione Máquina local y, a continuación, seleccione Siguiente.

  3. Si aparece un símbolo del sistema de control de usuario permitido , seleccione para permitir que la aplicación realice cambios en el dispositivo.

  4. En la pantalla Almacén de certificados, seleccione Automáticamente el almacén de certificados según el tipo de certificado y, a continuación, seleccione Siguiente.

  5. Seleccione Colocar todos los certificados en el siguiente almacén, examinar y, a continuación, seleccione el almacén entidades de certificación raíz de confianza . Cuando haya acabado, seleccione Siguiente. Por ejemplo:

    Captura de pantalla de la pantalla del almacén de certificados en la que puede ir a la carpeta raíz de confianza.

  6. Seleccione Finalizar para completar la importación.

Prueba de los certificados SSL/TLS

Use los procedimientos siguientes para probar los certificados antes de implementarlos en los dispositivos de Defender para IoT.

Comprobación del certificado con un ejemplo

Use el siguiente certificado de ejemplo para compararlo con el certificado que ha creado, asegurándose de que los mismos campos existen en el mismo orden.

Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E 
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV 
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu 
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM 
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW 
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT 
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW 
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X
kwv2+emz8CMDLsbWvUmo8Sg0OwfzAgMBAAGjfDB6MB0GA1UdDgQWBBQ27hu11E/w 
21Nx3dwjp0keRPuTsTAfBgNVHSMEGDAWgBQ27hu1lE/w21Nx3dwjp0keRPUTSTAM
BgNVHRMEBTADAQH/MAsGA1UdDwQEAwIDqDAdBgNVHSUEFjAUBggrBgEFBQcDAgYI
KwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBADLsn1ZXYsbGJLLzsGegYv7jmmLh
nfBFQqucORSQ8tqb2CHFME7LnAMfzFGpYYV0h1RAR+1ZL1DVtm+IKGHdU9GLnuyv
9x9hu7R4yBh3K99ILjX9H+KACvfDUehxR/ljvthoOZLalsqZIPnRD/ri/UtbpWtB 
cfvmYleYA/zq3xdk4vfOI0YTOW11qjNuBIHh0d5S5sn+VhhjHL/s3MFaScWOQU3G 
9ju6mQSo0R1F989aWd+44+8WhtOEjxBvr+17CLqHsmbCmqBI7qVnj5dHvkh0Bplw 
zhJp150DfUzXY+2sV7Uqnel9aEU2Hlc/63EnaoSrxx6TEYYT/rPKSYL+++8=
-----END CERTIFICATE-----

Prueba de certificados sin un .csr archivo de clave privada o

Si desea comprobar la información del archivo de certificado .csr o del archivo de clave privada, use los siguientes comandos de la CLI:

  • Comprobación de una solicitud de firma de certificado (CSR): ejecución openssl req -text -noout -verify -in CSR.csr
  • Comprobación de una clave privada: Ejecutar openssl rsa -in privateKey.key -check
  • Comprobación de un certificado: Ejecución openssl x509 -in certificate.crt -text -noout

Si se produce un error en estas pruebas, revise los requisitos de los archivos de certificado para comprobar que los parámetros de archivo son precisos o consulte al especialista en certificados.

Validar el nombre común del certificado

  1. Para ver el nombre común del certificado, abra el archivo de certificado, seleccione la pestaña Detalles y, a continuación, seleccione el campo Asunto .

    El nombre común del certificado aparece junto a CN.

  2. Inicie sesión en la consola del sensor sin una conexión segura. En la pantalla La conexión no es privada , es posible que vea un mensaje de error NET::ERR_CERT_COMMON_NAME_INVALID .

  3. Seleccione el mensaje de error para expandirlo y, a continuación, copie la cadena junto a Asunto. Por ejemplo:

    La captura de pantalla de la conexión no es una pantalla privada con los detalles expandidos.

    La cadena del firmante debe coincidir con la cadena CN en los detalles del certificado de seguridad.

  4. En el explorador de archivos local, vaya al archivo hosts, como en Este disco local de PC > (C:) > Controladores > de Windows > System32>, etc., y abra el archivo de hosts.

  5. En el archivo hosts, agregue una línea al final del documento con la dirección IP del sensor y el nombre común del certificado SSL que copió en los pasos anteriores. Cuando haya terminado, guarde los cambios. Por ejemplo:

    Captura de pantalla del archivo de hosts.

Certificados autofirmados

Los certificados autofirmados están disponibles para su uso en entornos de prueba después de instalar el software de supervisión de OT de Defender para IoT. Para más información, vea:

Pasos siguientes

« Preparar una implementación de sitio ot

  • Last updated on