Udostępnij za pośrednictwem

Konfigurowanie szyfrowania ruchu wewnętrznego brokera i certyfikatów wewnętrznych

  • Artykuł

Zapewnienie bezpieczeństwa komunikacji wewnętrznej w infrastrukturze jest ważne w celu zachowania integralności i poufności danych. Broker MQTT można skonfigurować do szyfrowania ruchu wewnętrznego i danych. Certyfikaty szyfrowania są automatycznie zarządzane przy użyciu menedżera poświadczeń.

Szyfrowanie ruchu wewnętrznego

Ważne

To ustawienie wymaga zmodyfikowania zasobu brokera i można go skonfigurować tylko w początkowym czasie wdrażania przy użyciu interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal. Nowe wdrożenie jest wymagane, jeśli wymagane są zmiany konfiguracji brokera. Aby dowiedzieć się więcej, zobacz Dostosowywanie domyślnego brokera.

Funkcja szyfrowania ruchu wewnętrznego służy do szyfrowania ruchu wewnętrznego podczas przesyłania między frontonem brokera MQTT i zasobnikami zaplecza. Jest ona domyślnie włączona podczas wdrażania operacji usługi Azure IoT.

Aby wyłączyć szyfrowanie, zmodyfikuj advanced.encryptInternalTraffic ustawienie w zasobie brokera. Można to zrobić tylko przy użyciu --broker-config-file flagi podczas wdrażania operacji usługi Azure IoT za az iot ops create pomocą polecenia .

Uwaga

Wyłączenie szyfrowania może poprawić wydajność brokera MQTT. Jednak w celu ochrony przed zagrożeniami bezpieczeństwa, takimi jak ataki typu man-in-the-middle, zdecydowanie zalecamy włączenie tego ustawienia. Na potrzeby testowania należy wyłączyć tylko szyfrowanie w kontrolowanych środowiskach nieprodukcyjnych.

{
  "advanced": {
    "encryptInternalTraffic": "Disabled"
  }
}

Następnie wdróż operacje usługi Azure IoT przy użyciu az iot ops create polecenia z flagą --broker-config-file , podobnie jak następujące polecenie (inne parametry pominięte dla zwięzłości):

az iot ops create ... --broker-config-file <FILE>.json

Certyfikaty wewnętrzne

Po włączeniu szyfrowania broker używa menedżera certyfikatów do generowania certyfikatów używanych do szyfrowania ruchu wewnętrznego i zarządzania nimi. Menedżer certyfikatów automatycznie odnawia certyfikaty po wygaśnięciu. Możesz skonfigurować ustawienia certyfikatu, takie jak czas trwania, czas odnowienia i algorytm klucza prywatnego w zasobie brokera. Obecnie zmiana ustawień certyfikatu jest obsługiwana tylko przy użyciu --broker-config-file flagi podczas wdrażania operacji usługi Azure IoT przy użyciu az iot ops create polecenia .

Aby na przykład ustawić czas trwania certyfikatu na 240 godzin, odnów przed 45 minutami i algorytm klucza prywatnego na RSA 2048, przygotuj plik konfiguracji brokera w formacie JSON:

{
  "advanced": {
    "encryptInternalTraffic": "Enabled", 
    "internalCerts": {
      "duration": "240h",
      "renewBefore": "45m",
      "privateKey": {
        "algorithm": "Rsa2048",
        "rotationPolicy": "Always"
      }
    }
  }
}

Następnie wdróż operacje usługi Azure IoT przy użyciu polecenia za pomocą az iot ops create polecenia --broker-config-file <FILE>.json.

Aby dowiedzieć się więcej, zobacz Obsługa interfejsu wiersza polecenia platformy Azure na potrzeby zaawansowanej konfiguracji brokera MQTT i przykładów brokera.

Następne kroki