Criar certificados SSL/TLS para aplicações OT

Este artigo é um de uma série de artigos que descrevem o caminho de implementação da monitorização de OT com Microsoft Defender para IoT e descreve como criar certificados assinados por AC para utilizar com aplicações de sensores OT no local do Defender para IoT.

Diagrama de uma barra de progresso com Planear e preparar realçado.

Cada certificado assinado pela autoridade de certificação (AC) tem de ter um .key ficheiro e um .crt ficheiro, que são carregados para aplicações do Defender para IoT após o primeiro início de sessão. Embora algumas organizações também possam precisar de um .pem ficheiro, não é necessário um .pem ficheiro para o Defender para IoT.

Importante

Tem de criar um certificado exclusivo para cada dispositivo do Defender para IoT, em que cada certificado cumpre os critérios necessários.

Pré-requisitos

Para executar os procedimentos descritos neste artigo, certifique-se de que tem um especialista em segurança, PKI ou certificado disponível para supervisionar a criação do certificado.

Certifique-se de que também se familiarizou com os requisitos de certificado SSL/TLS do Defender para IoT.

Criar um certificado SSL/TLS assinado pela AC

Recomendamos que utilize sempre certificados assinados por AC em ambientes de produção e utilize apenas certificados autoassinados em ambientes de teste.

Utilize uma plataforma de gestão de certificados, como uma plataforma de gestão de PKI automatizada, para criar um certificado que cumpra os requisitos do Defender para IoT.

Se não tiver uma aplicação que possa criar certificados automaticamente, consulte uma oportunidade potencial de segurança, PKI ou outro certificado qualificado para obter ajuda. Também pode converter ficheiros de certificado existentes se não quiser criar novos ficheiros.

Certifique-se de que cria um certificado exclusivo para cada dispositivo do Defender para IoT, em que cada certificado cumpre os critérios de parâmetros necessários.

Por exemplo:

  1. Abra o ficheiro de certificado transferido e selecione o separador >DetalhesCopiar para ficheiro para executar o Assistente de Exportação de Certificados.

  2. No Assistente de Exportação de Certificados, selecione Next>DER encoded binary X.509 (. CER)> e, em seguida, selecione Seguinte novamente.

  3. No ecrã Ficheiro a Exportar , selecione Procurar, escolha uma localização para armazenar o certificado e, em seguida, selecione Seguinte.

  4. Selecione Concluir para exportar o certificado.

Observação

Poderá ter de converter tipos de ficheiros existentes em tipos suportados.

Verifique se o certificado cumpre os requisitos do ficheiro de certificado e, em seguida, teste o ficheiro de certificado que criou quando terminar.

Se não estiver a utilizar a validação do certificado, remova a referência do URL de CRL no certificado. Para obter mais informações, veja requisitos de ficheiros de certificado.

Dica

(Opcional) Crie uma cadeia de certificados, que é um .pem ficheiro que contém os certificados de todas as autoridades de certificação na cadeia de fidedignidade que levou ao certificado.

Verificar o acesso ao servidor CRL

Se a sua organização validar certificados, as aplicações do Defender para IoT têm de conseguir aceder ao servidor CRL definido pelo certificado. Por predefinição, os certificados acedem ao URL do servidor CRL através da porta HTTP 80. No entanto, algumas políticas de segurança organizacional bloqueiam o acesso a esta porta.

Se as aplicações não conseguirem aceder ao servidor CRL na porta 80, pode utilizar uma das seguintes soluções:

  • Defina outro URL e porta no certificado:

    • O URL que definir tem de ser configurado como http: // e não https://
    • Certifique-se de que o servidor CRL de destino pode escutar na porta que definir

  • Utilizar um servidor proxy que possa aceder à CRL na porta 80

    Para obter mais informações, veja [Forward OT alert information].

Se a validação falhar, a comunicação entre os componentes relevantes é interrompida e é apresentado um erro de validação na consola do .

Importar o certificado SSL/TLS para um arquivo fidedigno

Depois de criar o certificado, importe-o para uma localização de armazenamento fidedigna. Por exemplo:

  1. Abra o ficheiro de certificado de segurança e, no separador Geral , selecione Instalar Certificado para iniciar o Assistente de Importação de Certificados.

  2. Em Localização da Loja, selecione Computador Local e, em seguida, selecione Seguinte.

  3. Se for apresentada uma linha de comandos Permitir Controlo de Utilizador , selecione Sim para permitir que a aplicação faça alterações ao seu dispositivo.

  4. No ecrã Arquivo de Certificados , selecione Selecionar automaticamente o arquivo de certificados com base no tipo de certificado e, em seguida, selecione Seguinte.

  5. Selecione Colocar todos os certificados no seguinte arquivo e, em seguida, Procurar e, em seguida, selecione o arquivo Autoridades de Certificação de Raiz Fidedigna . Quando terminar, clique em Avançar. Por exemplo:

    Captura de ecrã do ecrã do arquivo de certificados onde pode navegar para a pasta raiz fidedigna.

  6. Selecione Concluir para concluir a importação.

Testar os certificados SSL/TLS

Utilize os seguintes procedimentos para testar certificados antes de os implementar nas aplicações do Defender para IoT.

Verificar o certificado relativamente a um exemplo

Utilize o seguinte certificado de exemplo para comparar com o certificado que criou, certificando-se de que os mesmos campos existem pela mesma ordem.

Bag Attributes: <No Attributes>
subject=C = US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= sensor.contoso.com, E 
= support@contoso.com
issuer C=US, S = Illinois, L = Springfield, O = Contoso Ltd, OU= Contoso Labs, CN= Cert-ssl-root-da2e22f7-24af-4398-be51-
e4e11f006383, E = support@contoso.com
-----BEGIN CERTIFICATE-----
MIIESDCCAZCgAwIBAgIIEZK00815Dp4wDQYJKoZIhvcNAQELBQAwgaQxCzAJBgNV 
BAYTAIVTMREwDwYDVQQIDAhJbGxpbm9pczEUMBIGA1UEBwwLU3ByaW5nZmllbGQx
FDASBgNVBAoMCONvbnRvc28gTHRKMRUWEwYDVQQLDAXDb250b3NvIExhYnMxGzAZ
BgNVBAMMEnNlbnNvci5jb250b3NvLmNvbTEIMCAGCSqGSIb3DQEJARYTc3VwcG9y
dEBjb250b3NvLmNvbTAeFw0yMDEyMTcxODQwMzhaFw0yMjEyMTcxODQwMzhaMIGK
MQswCQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxFDASBgNVBAcMC1Nwcmlu 
Z2ZpZWxkMRQwEgYDVQQKDAtDb250b3NvIEX0ZDEVMBMGA1UECwwMQ29udG9zbyBM 
YWJzMRswGQYDVQQDDBJzZW5zb3luY29udG9zby5jb20xljAgBgkqhkiG9w0BCQEW 
E3N1cHBvcnRAY29udG9zby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQDRGXBNJSGJTfP/K5ThK8vGOPzh/N8AjFtLvQiiSfkJ4cxU/6d1hNFEMRYG
GU+jY1Vknr0|A2nq7qPB1BVenW3 MwsuJZe Floo123rC5ekzZ7oe85Bww6+6eRbAT 
WyqpvGVVpfcsloDznBzfp5UM9SVI5UEybllod31MRR/LQUEIKLWILHLW0eR5pcLW 
pPLtOW7wsK60u+X3tqFo1AjzsNbXbEZ5pnVpCMqURKSNmxYpcrjnVCzyQA0C0eyq
GXePs9PL5DXfHy1x4WBFTd98X83 pmh/vyydFtA+F/imUKMJ8iuOEWUtuDsaVSX0X
kwv2+emz8CMDLsbWvUmo8Sg0OwfzAgMBAAGjfDB6MB0GA1UdDgQWBBQ27hu11E/w 
21Nx3dwjp0keRPuTsTAfBgNVHSMEGDAWgBQ27hu1lE/w21Nx3dwjp0keRPUTSTAM
BgNVHRMEBTADAQH/MAsGA1UdDwQEAwIDqDAdBgNVHSUEFjAUBggrBgEFBQcDAgYI
KwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBADLsn1ZXYsbGJLLzsGegYv7jmmLh
nfBFQqucORSQ8tqb2CHFME7LnAMfzFGpYYV0h1RAR+1ZL1DVtm+IKGHdU9GLnuyv
9x9hu7R4yBh3K99ILjX9H+KACvfDUehxR/ljvthoOZLalsqZIPnRD/ri/UtbpWtB 
cfvmYleYA/zq3xdk4vfOI0YTOW11qjNuBIHh0d5S5sn+VhhjHL/s3MFaScWOQU3G 
9ju6mQSo0R1F989aWd+44+8WhtOEjxBvr+17CLqHsmbCmqBI7qVnj5dHvkh0Bplw 
zhJp150DfUzXY+2sV7Uqnel9aEU2Hlc/63EnaoSrxx6TEYYT/rPKSYL+++8=
-----END CERTIFICATE-----

Testar certificados sem um .csr ficheiro de chave privada ou

Se quiser marcar as informações no ficheiro de certificado .csr ou no ficheiro de chave privada, utilize os seguintes comandos da CLI:

  • Verificar um Pedido de Assinatura de Certificado (CSR): Executar openssl req -text -noout -verify -in CSR.csr
  • Verificar uma chave privada: Executar openssl rsa -in privateKey.key -check
  • Verificar um certificado: Executar openssl x509 -in certificate.crt -text -noout

Se estes testes falharem, reveja os requisitos do ficheiro de certificado para verificar se os parâmetros do ficheiro estão corretos ou consulte o especialista em certificados.

Validar o nome comum do certificado

  1. Para ver o nome comum do certificado, abra o ficheiro de certificado, selecione o separador Detalhes e, em seguida, selecione o campo Assunto .

    O nome comum do certificado é apresentado junto a CN.

  2. Inicie sessão na consola do sensor sem uma ligação segura. No ecrã A sua ligação não é de aviso privado , poderá ver uma mensagem de erro NET::ERR_CERT_COMMON_NAME_INVALID .

  3. Selecione a mensagem de erro para expandi-la e, em seguida, copie a cadeia junto a Assunto. Por exemplo:

    Captura de ecrã a mostrar que a ligação não é um ecrã privado com os detalhes expandidos.

    A cadeia de assunto deve corresponder à cadeia CN nos detalhes do certificado de segurança.

  4. No explorador de ficheiros local, navegue para o ficheiro de anfitriões, como, por exemplo, em Controladores > do Windows System32 > (C:) > deste > PC>, etc. e abra o ficheiro anfitriões.

  5. No ficheiro anfitriões, adicione uma linha no final do documento com o endereço IP do sensor e o nome comum do certificado SSL que copiou nos passos anteriores. Quando terminar, guarde as alterações. Por exemplo:

    Captura de ecrã do ficheiro de anfitriões.

Certificados autoassinados

Os certificados autoassinados estão disponíveis para utilização em ambientes de teste após a instalação do software de monitorização OT do Defender para IoT. Para saber mais, confira:

Próximas etapas

« Preparar uma implementação de site OT

  • Last updated on