设备上 Azure IOT Edge 的 TLS 默认配置

Question

客户在 IoTEdge (v1.0.9.1) 设备上运行扫描，发现默认启用非推荐版本的 TLS 协议。

• TLS 版本 1.0 协议 (TCP/5671)，严重性：高
• TLS 版本 1.1 协议 (TCP/5671)，严重性：中

有没有办法将 IOT Edge（默认）配置为

• 禁用 TLS 1.0 / 1.1
• 仅将 TLS 1.2 用于入站/出站通信？
• 禁用 iot-edge 网关功能（“标准 iot edge”设备方案）

我看到了下面的链接，但想知道是否有其他选项可以提供给客户

控制 IoT Edge 中心公开的 TLS 版本和密码
https://github.com/Azure/iotedge/tree/master/edge-modules/edgehub-proxy

TLS 1.2 强制在选定区域可用 Azure IoT 中心 TLS 支持 |微软文档
https://docs.microsoft.com/en-us/azure/iot-hub/iot-hub-tls-support

Answer 1

IoT Edge Hub 1.0.10 版有一个环境变量SslProtocols，您可以使用它来控制它。 Github repo 中提供了系统模块可用环境变量的完整列表。

当不用于网关配置时，可以从 edgeHub 中删除主机端口绑定设置。请遵循此issue（不相关）的解决步骤。

Answer 2

Venkat Yalla 的回答是正确的。 你必须设置这个： SslProtocols tls1.2

接下来是设置环境变量的地方，如果你在服务器上安装了sdk，你必须在那里设置变量。

但是，如果您将 IotHub 安装为服务，则可以在 Azure 门户上设置环境变量。 在 Azure - IoT Hub 上 - 选择 IoT Edge 并单击您的设备。 然后单击设置模块，然后单击运行时设置（小齿轮 - 中间页面）。 在右侧刀片上，您可以为边缘代理或边缘集线器设置环境变量。 此变量适用于 Edge Hub。

然后申请并完成审核+创建流程。 我建议重新启动集线器以更快地查看结果。 它对我有用。