Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie können den MQTT-Broker so konfigurieren, dass der interne Datenverkehr und die Daten verschlüsselt werden. Verschlüsselungszertifikate werden automatisch über den Berechtigungsnachweis-Manager verwaltet.
Verschlüsseln von internem Datenverkehr
Wichtig
Für diese Einstellung müssen Sie die Brokerressource ändern. Sie ist nur bei der ersten Bereitstellung mithilfe der Azure CLI oder des Azure-Portals konfiguriert. Eine neue Bereitstellung ist erforderlich, wenn Änderungen an der Broker-Konfiguration erforderlich sind. Weitere Informationen finden Sie unter Anpassen des Standardbrokers.
Das Feature encryptInternalTraffic wird verwendet, um den internen Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers zu verschlüsseln. Es ist standardmäßig aktiviert, wenn Sie Azure IoT Einsatz bereitstellen.
Um die Verschlüsselung zu deaktivieren, ändern Sie die advanced.encryptInternalTraffic-Einstellung in der Brokerressource. Dies kann nur mithilfe des Flag --broker-config-file während der Bereitstellung von IoT Einsatz mit dem Befehl az iot ops create erfolgen.
Achtung
Durch deaktivieren der Verschlüsselung kann die MQTT-Brokerleistung verbessert werden. Um vor Sicherheitsbedrohungen wie Man-in-the-Middle-Angriffen zu schützen,sollten Sie diese Einstellung dringend aktiviert lassen. Deaktivieren Sie die Verschlüsselung nur in kontrollierten Nichtproduktionsumgebungen für Tests.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Stellen Sie dann IoT Einsatz mithilfe des Befehls az iot ops create mit dem Flag --broker-config-file bereit, wie beim folgenden Befehl. (Andere Parameter werden aus Platzgründen weggelassen.)
az iot ops create ... --broker-config-file <FILE>.json
Interne Zertifikate
Wenn die Verschlüsselung aktiviert ist, verwendet der MQTT-Broker den Zertifikat-Manager, um die Zertifikate zu generieren und zu verwalten, die zum Verschlüsseln des internen Datenverkehrs verwendet werden. Cert-manager verlängert Zertifikate automatisch, wenn sie ablaufen. Sie können Zertifikateinstellungen wie die Laufzeit, den Zeitpunkt der Verlängerung und den Algorithmus für den privaten Schlüssel in der Broker-Ressource konfigurieren. Wenn Sie IoT Einsatz mit dem Befehl --broker-config-file bereitstellen, wird das Ändern von Zertifikateinstellungen derzeit nur unter Verwendung des Flags az iot ops create unterstützt.
Um beispielsweise die duration des Zertifikats auf 240 Stunden, die renewBefore-Zeit auf 45 Minuten und den privateKeyalgorithm auf RSA 2048 festzulegen, erstellen Sie eine Broker-Konfigurationsdatei im JSON-Format:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Stellen Sie dann IoT Einsatz mithilfe des Befehls az iot ops create mit --broker-config-file <FILE>.json bereit.
Weitere Informationen finden Sie unter Azure CLI-Unterstützung für erweiterte MQTT-Brokerkonfigurationen und Brokerbeispiele.