Konfigurera kryptering av intern broker-trafik och interna certifikat
Det är viktigt att säkerställa säkerheten för intern kommunikation i infrastrukturen för att upprätthålla dataintegriteten och konfidentialiteten. Du kan konfigurera MQTT-koordinatorn för att kryptera intern trafik och data. Krypteringscertifikat hanteras automatiskt med hjälp av autentiseringshanteraren.
Kryptera intern trafik
Viktigt!
Den här inställningen kräver att du ändrar Broker-resursen. Den konfigureras endast vid den första distributionen med hjälp av Azure CLI eller Azure Portal. En ny distribution krävs om konfigurationsändringar i Broker behövs. Mer information finns i Anpassa standard broker.
Funktionen kryptera intern trafik används för att kryptera den interna trafiken under överföring mellan MQTT-koordinatorklientdelen och serverdelspoddarna. Den är aktiverad som standard när du distribuerar Azure IoT-åtgärder.
Om du vill inaktivera kryptering ändrar du advanced.encryptInternalTraffic inställningen i Broker-resursen. Du kan bara göra det här steget genom att använda --broker-config-file flaggan under distributionen av IoT Operations med az iot ops create kommandot .
Varning
Om du inaktiverar kryptering kan du förbättra MQTT-koordinatorprestanda. För att skydda mot säkerhetshot som man-in-the-middle-attacker rekommenderar vi starkt att du behåller den här inställningen aktiverad. Inaktivera endast kryptering i kontrollerade icke-produktionsmiljöer för testning.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Distribuera sedan IoT-åtgärder med hjälp az iot ops create av kommandot med --broker-config-file flaggan, till exempel följande kommando. (Andra parametrar utelämnas för korthet.)
az iot ops create ... --broker-config-file <FILE>.json
Interna certifikat
När kryptering är aktiverat använder MQTT-koordinatorn cert-manager för att generera och hantera de certifikat som används för att kryptera den interna trafiken. Cert-manager förnyar automatiskt certifikat när de upphör att gälla. Du kan konfigurera certifikatinställningar som varaktighet, när du ska förnya och algoritmen för privat nyckel i Broker-resursen. För närvarande stöds ändringar av certifikatinställningarna endast med hjälp --broker-config-file av flaggan när du distribuerar IoT-åtgärder med hjälp az iot ops create av kommandot .
Om du till exempel vill ange certifikatet duration till 240 timmar, renewBefore tiden till 45 minuter och privateKeyalgorithm till RSA 2048 förbereder du en Broker-konfigurationsfil i JSON-format:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Distribuera sedan IoT-åtgärder med hjälp az iot ops create av kommandot med --broker-config-file <FILE>.json.
Mer information finns i Azure CLI-stöd för avancerad MQTT-koordinatorkonfiguration och Broker-exempel.