OT アプライアンスの SSL/TLS 証明書を作成する

この記事は、IoT 用のMicrosoft Defenderを使用した OT 監視の展開パスを説明する一連の記事の 1 つであり、Defender for IoT オンプレミス OT センサー アプライアンスで使用する CA 署名付き証明書を作成する方法について説明します。

計画と準備が強調表示された進行状況バーの図。

各証明機関 (CA) 署名付き証明書には、 .key ファイルと .crt ファイルの両方が必要です。このファイルは、最初のサインイン後に Defender for IoT アプライアンスにアップロードされます。 組織によっては、 .pem ファイルが必要な場合もありますが、Defender for IoT には .pem ファイルは必要ありません。

重要

各証明書が必要な条件を満たす Defender for IoT アプライアンスごとに一意の証明書を作成する必要があります。

前提条件

この記事で説明されている手順を実行するには、証明書の作成を監視するためにセキュリティ、PKI、または証明書の専門家が使用できることを確認します。

Defender for IoT の SSL/TLS 証明書の要件についても理解していることを確認してください。

CA 署名付き SSL/TLS 証明書を作成する

運用環境では常に CA 署名証明書を使用し、テスト環境では 自己署名証明書 のみを使用することをお勧めします。

自動 PKI 管理プラットフォームなどの証明書管理プラットフォームを使用して、Defender for IoT 要件を満たす証明書を作成します。

証明書を自動的に作成できるアプリケーションがない場合は、セキュリティ、PKI、またはその他の認定証明書リーダーに問い合わせてください。 新しい証明書ファイルを作成しない場合は、既存の証明書ファイルを変換することもできます。

各証明書が必要なパラメーター条件を満たす Defender for IoT アプライアンスごとに一意の証明書を作成してください。

たとえば、次のようになります。

  1. ダウンロードした証明書ファイルを開き、[ 詳細 ] タブ >Copy to file を 選択して 証明書のエクスポート ウィザードを実行します。

  2. 証明書のエクスポート ウィザードで、[次へ>DER でエンコードされたバイナリ X.509 (] を選択します。CER)>し、もう一度 [次へ] を選択します。

  3. [ エクスポートするファイル ] 画面で、[ 参照] を選択し、証明書を保存する場所を選択し、[ 次へ] を選択します。

  4. [ 完了] を選択 して証明書をエクスポートします。

注:

既存のファイルの種類をサポートされている型に変換する必要がある場合があります。

証明書が 証明書ファイルの要件を満たしていることを確認し、完了したときに作成 した証明書 ファイルをテストします。

証明書の検証を使用していない場合は、証明書の CRL URL 参照を削除します。 詳細については、「 証明書ファイルの要件」を参照してください。

ヒント

(省略可能)証明書チェーンを作成します。これは、証明書につながった信頼チェーン内のすべての証明機関の証明書を含む .pem ファイルです。

CRL サーバーアクセスを確認する

organizationが証明書を検証する場合、Defender for IoT アプライアンスは、証明書によって定義された CRL サーバーにアクセスできる必要があります。 既定では、証明書は HTTP ポート 80 を介して CRL サーバー URL にアクセスします。 ただし、一部の組織のセキュリティ ポリシーでは、このポートへのアクセスがブロックされます。

アプライアンスがポート 80 で CRL サーバーにアクセスできない場合は、次のいずれかの回避策を使用できます。

  • 証明書で別の URL とポートを定義します

    • 定義する URL は、 http: // として構成する必要があります。 https://
    • 定義したポートで宛先 CRL サーバーがリッスンできることを確認します

  • ポート 80 で CRL にアクセスできるプロキシ サーバーを使用する

    詳細については、「OT アラート情報の転送」を参照してください。

検証が失敗した場合、関連するコンポーネント間の通信は停止され、検証エラーがコンソールに表示されます。

信頼されたストアに SSL/TLS 証明書をインポートする

証明書を作成したら、信頼できるストレージの場所にインポートします。 例:

  1. セキュリティ証明書ファイルを開き、[ 全般 ] タブで [ 証明書のインストール ] を選択して 証明書のインポート ウィザードを開始します。

  2. [ ストアの場所] で、[ ローカル コンピューター] を選択し、[ 次へ] を選択します。

  3. [ユーザー許可コントロール] プロンプトが表示されたら、[はい] を選択して、アプリがデバイスに変更を加えることを許可します。

  4. [ 証明書ストア ] 画面で、[ 証明書の種類に基づいて証明書ストアを自動的に選択する] を選択し、[ 次へ] を選択します。

  5. [ 次のストアにすべての証明書を配置する] を選択し、[ 参照] を選択して、[ 信頼されたルート証明機関 ] ストアを選択します。 完了したら、[次へ] を選択します。 例:

    信頼されたルート フォルダーを参照できる証明書ストア画面のスクリーンショット。

  6. [ 完了] を選択 してインポートを完了します。

SSL/TLS 証明書をテストする

証明書を Defender for IoT アプライアンスに展開する前に、次の手順を使用して証明書をテストします。

サンプルに対して証明書を確認する

次のサンプル証明書を使用して、作成した証明書と比較し、同じフィールドが同じ順序で存在することを確認します。

Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E 
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV 
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu 
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM 
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW 
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT 
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW 
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X
kwv2+emz8CMDLsbWvUmo8Sg0OwfzAgMBAAGjfDB6MB0GA1UdDgQWBBQ27hu11E/w 
21Nx3dwjp0keRPuTsTAfBgNVHSMEGDAWgBQ27hu1lE/w21Nx3dwjp0keRPUTSTAM
BgNVHRMEBTADAQH/MAsGA1UdDwQEAwIDqDAdBgNVHSUEFjAUBggrBgEFBQcDAgYI
KwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBADLsn1ZXYsbGJLLzsGegYv7jmmLh
nfBFQqucORSQ8tqb2CHFME7LnAMfzFGpYYV0h1RAR+1ZL1DVtm+IKGHdU9GLnuyv
9x9hu7R4yBh3K99ILjX9H+KACvfDUehxR/ljvthoOZLalsqZIPnRD/ri/UtbpWtB 
cfvmYleYA/zq3xdk4vfOI0YTOW11qjNuBIHh0d5S5sn+VhhjHL/s3MFaScWOQU3G 
9ju6mQSo0R1F989aWd+44+8WhtOEjxBvr+17CLqHsmbCmqBI7qVnj5dHvkh0Bplw 
zhJp150DfUzXY+2sV7Uqnel9aEU2Hlc/63EnaoSrxx6TEYYT/rPKSYL+++8=
-----END CERTIFICATE-----

.csrまたは秘密キー ファイルを使用せずに証明書をテストする

証明書.csrファイルまたは秘密キー ファイル内の情報をチェックする場合は、次の CLI コマンドを使用します。

  • 証明書署名要求 (CSR) の確認: 実行 openssl req -text -noout -verify -in CSR.csr
  • 秘密キーを確認する: 実行 openssl rsa -in privateKey.key -check
  • 証明書の確認: 実行 openssl x509 -in certificate.crt -text -noout

これらのテストが失敗した場合は、 証明書ファイルの要件 を確認して、ファイル パラメーターが正確であることを確認するか、証明書の専門家に問い合わせてください。

証明書の共通名を検証する

  1. 証明書の共通名を表示するには、証明書ファイルを開き、[詳細] タブを選択し、[ サブジェクト ] フィールドを選択します。

    証明書の共通名が CN の横に表示されます。

  2. 安全な接続なしでセンサー コンソールにサインインします。 [ 接続がプライベートではない ] 警告画面に、 NET::ERR_CERT_COMMON_NAME_INVALID エラー メッセージが表示される場合があります。

  3. エラー メッセージを選択して展開し、[ 件名] の横にある文字列をコピーします。 例:

    詳細が展開されたプライベート画面ではない接続のスクリーンショット。

    サブジェクト文字列は、セキュリティ証明書の詳細の CN 文字列と一致する必要があります。

  4. ローカル ファイル エクスプローラーで、[ この PC > ローカル ディスク (C:) > Windows > System32 > ドライバー > など) を参照し、 hosts ファイルを開きます。

  5. hosts ファイルで、ドキュメントの最後に、センサーの IP アドレスと、前の手順でコピーした SSL 証明書の共通名を含む行を追加します。 完了したら、変更を保存します。 例:

    hosts ファイルのスクリーンショット。

自己署名入りの証明書

自己署名証明書は、Defender for IoT OT 監視ソフトウェアをインストールした後、テスト環境で使用できます。 詳細については、以下を参照してください:

次の手順

« OT サイトの展開を準備する

  • Last updated on