Udostępnij za pośrednictwem

Konfigurowanie szyfrowania ruchu wewnętrznego brokera i certyfikatów wewnętrznych

  • Artykuł

Zapewnienie bezpieczeństwa komunikacji wewnętrznej w infrastrukturze jest ważne, aby zachować integralność i poufność danych. Broker MQTT można skonfigurować do szyfrowania ruchu wewnętrznego i danych. Certyfikaty szyfrowania są automatycznie zarządzane przy użyciu menedżera poświadczeń.

Szyfrowanie ruchu wewnętrznego

Ważne

To ustawienie wymaga zmodyfikowania zasobu brokera. Jest ona konfigurowana tylko podczas początkowego wdrażania przy użyciu interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal. Nowe wdrożenie jest wymagane, jeśli wymagane są zmiany konfiguracji brokera. Aby dowiedzieć się więcej, zobacz Dostosowywanie domyślnego brokera.

Funkcja szyfrowania ruchu wewnętrznego służy do szyfrowania ruchu wewnętrznego podczas przesyłania między frontonem brokera MQTT i zasobnikami zaplecza. Jest ona domyślnie włączona podczas wdrażania operacji usługi Azure IoT.

Aby wyłączyć szyfrowanie, zmodyfikuj advanced.encryptInternalTraffic ustawienie w zasobie brokera. Ten krok można wykonać tylko za pomocą --broker-config-file flagi podczas wdrażania operacji IoT za az iot ops create pomocą polecenia .

Uwaga

Wyłączenie szyfrowania może poprawić wydajność brokera MQTT. Aby chronić przed zagrożeniami bezpieczeństwa, takimi jak ataki typu man-in-the-middle, zdecydowanie zalecamy, aby to ustawienie było włączone. Wyłącz szyfrowanie tylko w kontrolowanych środowiskach nieprodukcyjnych na potrzeby testowania.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

Następnie wdróż operacje IoT przy użyciu az iot ops create polecenia z flagą --broker-config-file , podobnie jak następujące polecenie. (Inne parametry są pomijane dla zwięzłości).

az iot ops create ... --broker-config-file <FILE>.json

Certyfikaty wewnętrzne

Po włączeniu szyfrowania broker MQTT używa menedżera certyfikatów do generowania certyfikatów używanych do szyfrowania ruchu wewnętrznego i zarządzania nimi. Menedżer certyfikatów automatycznie odnawia certyfikaty po wygaśnięciu. Możesz skonfigurować ustawienia certyfikatu, takie jak czas trwania, czas odnowienia i algorytm klucza prywatnego w zasobie brokera. Obecnie zmiana ustawień certyfikatu jest obsługiwana tylko przy użyciu --broker-config-file flagi podczas wdrażania operacji IoT za pomocą az iot ops create polecenia .

Aby na przykład ustawić certyfikat duration na 240 godzin, renewBefore czas na 45 minut i privateKeyalgorithm rsa 2048, przygotuj plik konfiguracji brokera w formacie JSON:

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

Następnie wdróż operacje IoT przy użyciu polecenia z poleceniem az iot ops create--broker-config-file <FILE>.json.

Aby dowiedzieć się więcej, zobacz Obsługa interfejsu wiersza polecenia platformy Azure na potrzeby zaawansowanej konfiguracji brokera MQTT i przykładów brokera.

Powiązana zawartość