Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det är viktigt att säkerställa säkerheten för intern kommunikation i infrastrukturen för att upprätthålla dataintegriteten och konfidentialiteten. Du kan konfigurera MQTT-koordinatorn för att kryptera intern trafik och data. Krypteringscertifikat hanteras automatiskt med hjälp av autentiseringshanteraren.
Kryptera intern trafik
Viktigt!
Den här inställningen kräver att du ändrar Broker-resursen. Den konfigureras endast vid den första distributionen med hjälp av Azure CLI eller Azure Portal. En ny distribution krävs om konfigurationsändringar i Broker behövs. Mer information finns i Anpassa standard broker.
Funktionen kryptera intern trafik används för att kryptera den interna trafiken under överföring mellan MQTT-koordinatorklientdelen och serverdelspoddarna. Den är aktiverad som standard när du distribuerar Azure IoT-åtgärder.
Om du vill inaktivera kryptering ändrar du advanced.encryptInternalTraffic inställningen i Broker-resursen. Du kan bara göra det här steget genom att använda --broker-config-file flaggan under distributionen av IoT Operations med az iot ops create kommandot .
Varning
Om du inaktiverar kryptering kan du förbättra MQTT-koordinatorprestanda. För att skydda mot säkerhetshot som man-in-the-middle-attacker rekommenderar vi starkt att du behåller den här inställningen aktiverad. Inaktivera endast kryptering i kontrollerade icke-produktionsmiljöer för testning.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Distribuera sedan IoT-åtgärder med hjälp az iot ops create av kommandot med --broker-config-file flaggan, till exempel följande kommando. (Andra parametrar utelämnas för korthet.)
az iot ops create ... --broker-config-file <FILE>.json
Interna certifikat
När kryptering är aktiverat använder MQTT-koordinatorn cert-manager för att generera och hantera de certifikat som används för att kryptera den interna trafiken. Cert-manager förnyar automatiskt certifikat när de upphör att gälla. Du kan konfigurera certifikatinställningar som varaktighet, när du ska förnya och algoritmen för privat nyckel i Broker-resursen. För närvarande stöds ändringar av certifikatinställningarna endast med hjälp --broker-config-file av flaggan när du distribuerar IoT-åtgärder med hjälp az iot ops create av kommandot .
Om du till exempel vill ange certifikatet duration till 240 timmar, renewBefore tiden till 45 minuter och privateKeyalgorithm till RSA 2048 förbereder du en Broker-konfigurationsfil i JSON-format:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Distribuera sedan IoT-åtgärder med hjälp az iot ops create av kommandot med --broker-config-file <FILE>.json.
Mer information finns i Azure CLI-stöd för avancerad MQTT-koordinatorkonfiguration och Broker-exempel.