Konfigurera kryptering av intern broker-trafik och interna certifikat
Det är viktigt att säkerställa säkerheten för intern kommunikation i infrastrukturen för att upprätthålla dataintegriteten och konfidentialiteten. Du kan konfigurera MQTT-koordinatorn för att kryptera intern trafik och data. Krypteringscertifikat hanteras automatiskt med autentiseringshanteraren.
Kryptera intern trafik
Viktigt!
Den här inställningen kräver att du ändrar Broker-resursen och kan endast konfigureras vid den första distributionen med hjälp av Azure CLI eller Azure-portalen. En ny distribution krävs om konfigurationsändringar i Broker behövs. Mer information finns i Anpassa standard broker.
Funktionen kryptera intern trafik används för att kryptera den interna trafiken under överföring mellan MQTT-koordinatorklientdelen och serverdelspoddarna. Den är aktiverad som standard när du distribuerar Azure IoT-åtgärder.
Om du vill inaktivera kryptering ändrar du advanced.encryptInternalTraffic inställningen i Broker-resursen. Detta kan bara göras med hjälp av --broker-config-file flaggan under distributionen av Azure IoT Operations med az iot ops create kommandot .
Varning
Om du inaktiverar kryptering kan du förbättra MQTT-koordinatorprestanda. Men för att skydda mot säkerhetshot som man-in-the-middle-attacker rekommenderar vi starkt att du behåller den här inställningen aktiverad. Inaktivera endast kryptering i kontrollerade icke-produktionsmiljöer för testning.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Distribuera sedan Azure IoT Operations med kommandot az iot ops create med --broker-config-file flaggan, till exempel följande kommando (andra parametrar utelämnas för korthet):
az iot ops create ... --broker-config-file <FILE>.json
Interna certifikat
När kryptering är aktiverat använder mäklaren cert-manager för att generera och hantera de certifikat som används för att kryptera den interna trafiken. Cert-manager förnyar automatiskt certifikat när de upphör att gälla. Du kan konfigurera certifikatinställningarna, till exempel varaktighet, när du ska förnya och algoritmen för privata nycklar i Broker-resursen. För närvarande stöds ändringar av certifikatinställningarna endast med hjälp av --broker-config-file flaggan när du distribuerar Azure IoT Operations med hjälp av az iot ops create kommandot .
Om du till exempel vill ange certifikatets varaktighet till 240 timmar, förnya före 45 minuter och algoritmen för privat nyckel till RSA 2048 förbereder du en Broker-konfigurationsfil i JSON-format:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Distribuera sedan Azure IoT Operations med kommandot az iot ops create med --broker-config-file <FILE>.json.
Mer information finns i Azure CLI-stöd för avancerad MQTT-koordinatorkonfiguration och Broker-exempel.