Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die interne Datenverkehrsverschlüsselung ist ein Sicherheitsfeature, das die Kommunikation zwischen MQTT-Broker-Frontend- und Back-End-Pods verschlüsselt. Entscheiden Sie vor der Bereitstellung, ob Sie die standardmäßigen internen Datenverkehrsverschlüsselungseinstellungen ändern müssen.
Important
Für diese Einstellung müssen Sie die Brokerressource ändern. Sie ist nur bei der ersten Bereitstellung mithilfe der Azure CLI oder des Azure-Portals konfiguriert. Eine neue Bereitstellung ist erforderlich, wenn Änderungen an der Brokerkonfiguration erforderlich sind. Weitere Informationen finden Sie unter Anpassen des Standardbrokers.
Das Feature encryptInternalTraffic wird verwendet, um den internen Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers zu verschlüsseln. Es wird standardmäßig aktiviert, wenn Sie Azure IoT Einsatz bereitstellen.
Um die Verschlüsselung zu deaktivieren, ändern Sie die advanced.encryptInternalTraffic-Einstellung in der Brokerressource. Diesen Schritt können Sie nur durch die Verwendung des Flags --broker-config-file bei der Bereitstellung von IoT Operations mit dem Befehl az iot ops create ausführen. Weitere Informationen finden Sie unter Azure CLI-Unterstützung für die erweiterte MQTT-Brokerkonfiguration.
Vorsicht
Durch deaktivieren der Verschlüsselung kann die MQTT-Brokerleistung verbessert werden. Um vor Sicherheitsbedrohungen wie Man-in-the-Middle-Angriffen zu schützen,sollten Sie diese Einstellung dringend aktiviert lassen. Deaktivieren Sie die Verschlüsselung nur in kontrollierten Nichtproduktionsumgebungen für Tests.
{
"advanced": {
"encryptInternalTraffic": "Disabled"
}
}
Stellen Sie dann IoT Einsatz mithilfe des Befehls az iot ops create mit dem Flag --broker-config-file bereit, wie beim folgenden Befehl. (Andere Parameter werden aus Platzgründen weggelassen.)
az iot ops create ... --broker-config-file <FILE>.json
Konfigurieren interner Zertifikate
Wenn die Verschlüsselung aktiviert ist, verwendet der MQTT-Broker den Cert-Manager , um die Zertifikate zu generieren und zu verwalten, die zum Verschlüsseln des internen Datenverkehrs verwendet werden. Cert-manager verlängert Zertifikate automatisch, wenn sie ablaufen. Sie können Zertifikateinstellungen wie die Laufzeit, den Zeitpunkt der Verlängerung und den Algorithmus für den privaten Schlüssel in der Broker-Ressource konfigurieren. Derzeit wird das Ändern der Zertifikateinstellungen nur unterstützt, wenn Sie beim Bereitstellen von IoT-Betrieb den Schalter --broker-config-file mit dem Befehl az iot ops create verwenden.
Um beispielsweise die duration des Zertifikats auf 240 Stunden, die renewBefore-Zeit auf 45 Minuten und den privateKeyalgorithm auf RSA 2048 festzulegen, erstellen Sie eine Broker-Konfigurationsdatei im JSON-Format:
{
"advanced": {
"encryptInternalTraffic": "Enabled",
"internalCerts": {
"duration": "240h",
"renewBefore": "45m",
"privateKey": {
"algorithm": "Rsa2048",
"rotationPolicy": "Always"
}
}
}
}
Stellen Sie dann IoT Operations mit dem Befehl az iot ops create mit --broker-config-file <FILE>.json bereit.