Sdílet prostřednictvím

Použití protokolu EAP-TLS

  • Článek

Azure Sphere podporuje použití protokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) pro připojení k Wi-Fi sítím. Protokol EAP-TLS se nepodporuje přes Ethernet.

EAP-TLS pro Wi-Fi je běžnou metodou ověřování ve scénářích zaměřených na zabezpečení. Poskytuje výrazně vyšší zabezpečení než použití hesla SSID jako globálního tajného kódu, ale vyžaduje další práci, aby bylo zajištěno, že zařízení Azure Sphere a síť jsou správně nakonfigurované a ověřené.

Specifikace protokolu EAP-TLS je podrobně popsána v dokumentu RFC 5216. Operační systém Azure Sphere přímo neimplementuje protokol EAP-TLS. místo toho zahrnuje opensourcovou wpa_supplicant komponentu, která implementuje protokol.

Terminologie

Přístupový bod (AP): Síťové hardwarové zařízení, které umožňuje připojení jiných Wi-Fi zařízení k drátové síti.

Certifikát: Veřejný klíč a další metadata podepsaná certifikační autoritou.

Certifikační autorita (CA): Entita, která podepisuje a vydává digitální certifikáty.

Certifikát certifikační autority: Certifikát kořenové certifikační autority, se kterým se řetězí ověřovací certifikát serveru RADIUS. Tento veřejný klíč může být uložený v zařízení Azure Sphere.

Klientský certifikát: Certifikát a privátní klíč, které se používají k ověření v síti. Klientský certifikát a jeho spárovaný privátní klíč jsou uložené v zařízení Azure Sphere.

Pár klíčů: Kryptograficky vázaná sada klíčů. V mnoha scénářích pár klíčů znamená veřejný klíč a privátní klíč; Ve scénáři Azure Sphere EAP-TLS ale pár klíčů označuje klientský certifikát a jeho privátní klíč.

Privátní klíč: Klíč, který by neměl být zpřístupněn žádné entitě kromě důvěryhodného vlastníka.

Infrastruktura veřejných klíčů (PKI): Sada rolí, zásad, hardwaru, softwaru a postupů, které jsou potřeba k vytváření, správě, distribuci, používání, ukládání a odvolávání digitálních certifikátů a správě šifrování pomocí veřejného klíče.

Protokol RADIUS (Remote Authentication Dial-In User Service): Síťový protokol, který funguje na portu 1812 a poskytuje centralizovanou správu ověřování, autorizace a účtování (AAA nebo Triple A) pro uživatele, kteří se připojují k síťové službě a používají ji. Server RADIUS přijímá ověřovací data od klienta, ověří je a pak povolí přístup k dalším síťovým prostředkům.

Rivest–Shamir–Adleman (RSA): Kryptografický systém s veřejným klíčem, který je založený na RFC 3447).

Prosebná prosebná: Bezdrátový klient. Zařízení Azure Sphere je prosebné.

Přehled ověřování EAP-TLS

Následující diagram shrnuje proces, při kterém zařízení Azure Sphere používá k ověření protokol EAP-TLS.

EAP_TLS ověřování

  1. Když zařízení Azure Sphere vyžaduje přístup k síťovému prostředku, kontaktuje bezdrátový přístupový bod. Po přijetí žádosti přístupový bod požádá o identitu zařízení a pak kontaktuje server RADIUS, aby zahájil proces ověřování. Komunikace mezi přístupovým bodem a zařízením používá protokol EAPOL (EAP encapsulation over LAN).

  2. Přístupový bod překóduje zprávy EAPOL do formátu RADIUS a odešle je na server RADIUS. Server RADIUS poskytuje ověřovací služby pro síť na portu 1812. Zařízení Azure Sphere a server RADIUS provádějí proces ověřování prostřednictvím přístupového bodu, který předává zprávy z jedné do druhé. Po dokončení ověřování odešle server RADIUS do zařízení stavovou zprávu. Pokud je ověření úspěšné, server otevře port pro zařízení Azure Sphere.

  3. Po úspěšném ověření bude mít zařízení Azure Sphere přístup k dalším síťovým a internetovým prostředkům.

Ověřování serveru a Ověřování zařízení popisují proces ověřování podrobněji.

Ověřování serveru

Ověřování serveru je prvním krokem vzájemného ověřování EAP-TLS. Při vzájemném ověřování ověří zařízení nejen server RADIUS, ale i server. Ověřování serveru není nezbytně nutné, ale důrazně doporučujeme nakonfigurovat síť a zařízení tak, aby ho podporovaly. Ověřování serveru pomáhá zajistit, aby podvodný nebo podvodný server nemohl ohrozit zabezpečení sítě.

Pokud chcete povolit ověřování serveru, musí mít server RADIUS certifikát ověřování serveru podepsaný certifikační autoritou. Ověřovací certifikát serveru je list na konci řetězu certifikátů serveru, který může volitelně zahrnovat zprostředkující certifikační autoritu a nakonec skončí v kořenové certifikační autoritě.

Když zařízení požádá o přístup, server do zařízení odešle celý řetěz certifikátů. Azure Sphere nevynucuje kontroly ověření času u ověřovacího certifikátu nebo řetězu serveru, protože zařízení nemůže synchronizovat čas operačního systému s platným zdrojem času, dokud se neověří v síti. Pokud je zařízení nakonfigurované tak, aby důvěřovaly kořenové certifikační autoritě, která odpovídá kořenové certifikační autoritě serveru, ověří identitu serveru. Pokud zařízení nemá odpovídající kořenovou certifikační autoritu, ověření serveru se nezdaří a zařízení nebude mít přístup k síťovým prostředkům. Čas od času musíte být schopni aktualizovat kořenovou certifikační autoritu na zařízení, jak je popsáno v tématu Aktualizace certifikátu kořenové certifikační autority.

Ověřování zařízení

Po dokončení ověřování serveru odešle zařízení svůj klientský certifikát, aby vytvořilo své přihlašovací údaje. Zařízení může také předat ID klienta. ID klienta jsou volitelné informace, které můžou některé sítě vyžadovat pro ověřování.

Konkrétní požadavky na úspěšné ověřování zařízení se můžou lišit v závislosti na tom, jak je vaše konkrétní síť nakonfigurovaná. Správce sítě může vyžadovat další informace k prokázání platnosti vašich zařízení Azure Sphere. Bez ohledu na konfiguraci musíte být schopni čas od času aktualizovat certifikát zařízení, jak je popsáno v tématu Aktualizace klientského certifikátu.

Platforma Azure Sphere EAP-TLS

Platforma Azure Sphere EAP-TLS poskytuje následující možnosti pro konfiguraci a správu sítě:

  • Načtěte . Soubor PEM, který obsahuje klientský certifikát zařízení a privátní klíč pro Wi-Fi připojení EAP-TLS.
  • Nakonfigurujte rozhraní Wi-Fi tak, aby používalo protokol EAP-TLS. Tá. Soubor PEM, který obsahuje klientský certifikát zařízení, musí být na zařízení.
  • Připojte se k existující síti bez protokolu EAP-TLS, získejte certifikát zařízení a privátní klíč, povolte síť EAP-TLS a připojte se k síti EAP-TLS.
  • Umožněte aplikacím používat certifikát daa (device authentication and attestation) používaný pro připojení HTTPS k ověřování v úložišti certifikátů.
  • Rozhraní API WifiConfig pro správu Wi-Fi sítí.
  • Rozhraní API Certstore pro správu certifikátů

Za všechny ostatní síťové komponenty protokolu EAP-TLS zodpovídá správce místní sítě.

Nastavení sítě EAP-TLS

Za nastavení sítě EAP-TLS zodpovídá správce sítě. Správce sítě musí definovat infrastrukturu veřejných klíčů (PKI) a zajistit, aby všechny síťové komponenty odpovídaly jejím zásadám. Nastavení a konfigurace sítě zahrnuje mimo jiné následující úlohy:

  • Nastavte server RADIUS, získejte a nainstalujte jeho certifikát certifikační autority a určete kritéria, podle které zařízení prokáže svou identitu.
  • Nakonfigurujte zařízení Azure Sphere s kořenovou certifikační autoritou serveru RADIUS, aby bylo možné ověřit server.
  • Získejte klientský certifikát a privátní klíč pro každé zařízení a načtěte je do zařízení.

Získání a nasazení certifikátu EAP-TLS popisuje, jak získat a nasadit certifikáty v různých síťových scénářích.

Certifikát a privátní klíč pro ověřování klientů musí být k dispozici ve formátu PEM. Privátní klíč může být k dispozici v syntaxi PKCS1 nebo PKCS8 s heslem symetrického klíče nebo bez soukromého klíče. Certifikát kořenové certifikační autority musí být také k dispozici ve formátu PEM.

Následující tabulka uvádí informace použité při konfiguraci sítě EAP-TLS pro Azure Sphere.

Položky Popis Podrobnosti
Klientský certifikát Podepsaný certifikát certifikační autority, který obsahuje veřejný klíč klientského certifikátu. Požadované. Maximální velikost: 8 kiB
Maximální délka řetězce identifikátoru: 16 znaků
Privátní klíč klienta Privátní klíč, který je spárován s klientským certifikátem. Požadované. Maximální velikost: 8 kibu
Podpora RSA; Klíče ECC se nepodporují.
Heslo privátního klíče klienta Heslo použité k šifrování privátního klíče klienta Volitelné. Minimální velikost: 1 bajt
Maximální velikost: 256 bajtů
Prázdný řetězec a řetězec null se interpretují jako stejný řetězec.
ID klienta Řetězec ASCII, který se předá serveru RADIUS a poskytuje další informace o zařízení. Vyžaduje se u některých sítí EAP-TLS. Maximální velikost: 254 bajtů
Formát: user@domainname.com
Certifikát kořenové certifikační autority Certifikát kořenové certifikační autority ověřovacího certifikátu serveru RADIUS. Musí být nakonfigurované na každém zařízení. Volitelné, ale důrazně doporučeno; obraťte se na správce sítě. Maximální velikost: 8 kiB
Maximální délka řetězce identifikátoru: 16 znaků

Důležité

Za veškeré nastavení pki a serveru RADIUS pro vaši síť, včetně správy vypršení platnosti certifikátu, zodpovídáte vy.