Sdílet prostřednictvím

Získání a nasazení certifikátů pro sítě EAP-TLS

  • Článek

Důležité

Toto je dokumentace k Azure Sphere (starší verze). Azure Sphere (starší verze) se vyřazuje 27. září 2027 a uživatelé musí do této doby migrovat do Azure Sphere (integrované). K zobrazení dokumentace k Azure Sphere (integrované) použijte selektor verzí umístěný nad obsahem.

Aby se zařízení Azure Sphere mohlo připojit k síti EAP-TLS, musí mít klientský certifikát, který může server RADIUS použít k ověření zařízení. Pokud vaše síť vyžaduje vzájemné ověřování, musí mít každé zařízení také certifikát kořenové certifikační autority, aby mohl ověřit server RADIUS.

Způsob získání a nasazení těchto certifikátů závisí na síťových prostředcích dostupných pro vaše zařízení.

  • Pokud je síť EAP-TLS jedinou dostupnou sítí, budete muset certifikáty nasadit ručně.
  • Pokud je k dispozici jiná forma sítí, jako je otevřená síť, můžete použít metodu bootstrap. V rámci metody bootstrapping získá aplikace Azure Sphere vysoké úrovně certifikáty z otevřené sítě a pak je použije k připojení k síti EAP-TLS.

Upozornění

Vzhledem k tomu, že ID certifikátů jsou systémová, příkaz azsphere nebo volání funkce, které přidává nový certifikát, může přepsat certifikát přidaný dřívějším příkazem nebo voláním funkce, což může způsobit selhání síťového připojení. Důrazně doporučujeme vyvinout jasné postupy aktualizace certifikátů a pečlivě zvolit ID certifikátů. Podrobnosti najdete v části ID certifikátů.

Ruční nasazení

Pokud je síť EAP-TLS jedinou sítí dostupnou pro vaše zařízení, budete muset certifikáty nasadit ručně. Ruční nasazení zahrnuje získání certifikátů pomocí síťového počítače nebo počítače s Linuxem a následné načtení certifikátů do každého zařízení Azure Sphere pomocí Rozhraní příkazového řádku Azure Sphere. Tento přístup vyžaduje fyzické připojení mezi počítačem nebo linuxovým počítačem a zařízením Azure Sphere.

Ruční získání certifikátů

Kořenová certifikační autorita a klientské certifikáty musí být v objektu . Formát PEM pro načtení do zařízení Azure Sphere Certifikát kořenové certifikační autority budete muset získat z příslušného serveru spolu s klientským certifikátem a privátním klíčem (a volitelně i heslem pro váš privátní klíč) pro vaše zařízení. Každý certifikát musí být generován a podepsán příslušným serverem v síti EAP-TLS. Správce sítě nebo bezpečnostní tým může zadat podrobnosti, které potřebujete k získání certifikátů.

Uložte certifikáty do souboru . Formát PEM na počítači s POČÍTAČEM nebo Linuxem a pak je pomocí Rozhraní příkazového řádku Azure Sphere uložte na zařízení Azure Sphere.

Uložení certifikátů pomocí rozhraní příkazového řádku

Připojte zařízení Azure Sphere k síťovému počítači nebo počítači s Linuxem a pomocí příkazu azsphere uložte certifikáty do zařízení.

Uložení certifikátu kořenové certifikační autority do zařízení Azure Sphere:

azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Uložení klientského certifikátu do zařízení Azure Sphere:

azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Nasazení bootstrap

Pokud chcete připojit zařízení Azure Sphere ve velkých číslech nebo v mnoha umístěních, zvažte použití metody bootstrap. Pokud chcete použít tuto metodu, musí být vaše zařízení schopná připojit se k síti, přes kterou mají přístup k serveru, který může poskytovat certifikáty. Vaše aplikace Azure Sphere vysoké úrovně se připojí k serveru přes dostupnou síť, vyžádá si certifikáty a uloží je do zařízení.

Následující obrázek shrnuje tento proces.

Tok certifikátu během nasazování bootstrap

  1. Aplikace na zařízení Azure Sphere se připojí k otevřené síti a kontaktuje službu Zabezpečení Azure Sphere, aby získala certifikát DAA. Potom na zařízení nainstaluje certifikát DAA. Zařízení by mělo použít tento certifikát k ověření ve službě vydávající certifikát.

  2. Aplikace se dále připojí ke službě vydávající certifikát, kterou určil správce sítě. Předloží certifikát DAA k ověření identity se serverem a vyžádá si certifikát kořenové certifikační autority pro server RADIUS v síti EAP-TLS spolu s klientským certifikátem a privátním klíčem. Služba může aplikaci předat další informace, jako je identita klienta, a v případě potřeby heslo k privátnímu klíči. Aplikace pak na zařízení nainstaluje klientský certifikát, privátní klíč klienta a certifikát kořenové certifikační autority. Potom se může odpojit od otevřené sítě.

  3. Aplikace nakonfiguruje a povolí síť EAP-TLS. Poskytuje klientský certifikát a privátní klíč k prokázání identity zařízení. Pokud síť podporuje vzájemné ověřování, aplikace také ověří server RADIUS pomocí certifikátu kořenové certifikační autority.

Ověření zařízení a získání klientského certifikátu během spouštění

Zařízení Azure Sphere může k ověření ve službě, která může poskytnout další požadované certifikáty, použít svůj certifikát ověřování a ověření identity (DAA). Certifikát DAA je k dispozici ve službě zabezpečení Azure Sphere.

Získání certifikátu DAA:

  1. V části DeviceAuthentication manifestu aplikace pro aplikaci vysoké úrovně zadejte ID tenanta Azure Sphere.
  2. Zavolejte DeviceAuth_CurlSslFunc z aplikace vysoké úrovně, abyste získali řetěz certifikátů pro aktuálního tenanta Azure Sphere.

Pokud manifest aplikace obsahuje ID tenanta Azure Sphere pro aktuální zařízení, funkce DeviceAuth_CurlSslFunc použije řetěz klientských certifikátů DAA k ověření, pokud cílová služba vyžaduje vzájemné ověřování TLS.

Získání certifikátu kořenové certifikační autority pro server RADIUS

Pokud chcete získat certifikát kořenové certifikační autority pro server RADIUS, aplikace se připojí ke koncovému bodu certifikačního serveru, který je přístupný v síti a může certifikát zadat. Správce sítě by měl být schopný poskytnout informace o tom, jak se připojit ke koncovému bodu a načíst certifikát.

Instalace certifikátů pomocí rozhraní CertStore API

Aplikace používá rozhraní CertStore API k instalaci certifikátů do zařízení. Funkce CertStore_InstallClientCertificate nainstaluje klientský certifikát a CertStore_InstallRootCACertificate nainstaluje certifikát kořenové certifikační autority pro server RADIUS. Správa certifikátů v aplikacích vysoké úrovně poskytuje další informace o používání rozhraní CertStore API pro správu certifikátů.

Ukázková aplikace Certifikáty ukazuje, jak může aplikace tyto funkce používat.