Compartir a través de

Adquisición e implementación de certificados para redes EAP-TLS

  • Artículo

Importante

Esta es la documentación de Azure Sphere (heredado). Azure Sphere (heredado) se retira el 27 de septiembre de 2027 y los usuarios deben migrar a Azure Sphere (integrado) en este momento. Use el selector de versiones situado encima de la TOC para ver la documentación de Azure Sphere (integrado).

Para que un dispositivo Azure Sphere pueda conectarse a una red EAP-TLS, debe tener un certificado de cliente que el servidor RADIUS utilice para autenticar el dispositivo. Si su red requiere autenticación mutua, cada uno de los dispositivos debe tener también un certificado de CA raíz para poder autenticar el servidor RADIUS.

La forma de adquirir e implementar estos certificados dependerá de los recursos de red que estén disponibles para sus dispositivos.

  • Si la red EAP-TLS es la única red disponible, tendrá que implementar los certificados manualmente.
  • Si hay otras redes disponibles (por ejemplo, una red abierta), puede usar un enfoque de "arranque". En el enfoque de arranque, una aplicación de alto nivel de Azure Sphere adquiere los certificados de la red abierta y luego los usa para conectarse a la red EAP-TLS.

Precaución

Dado que los identificadores de certificado tienen como ámbito todo el sistema, un comando azsphere o una llamada de función que agrega un certificado nuevo pueden sobrescribir un certificado agregado por un comando o una llamada de función anteriores, lo que podría producir errores de conexión de red. Se recomienda que desarrolle unos procedimientos de actualización de certificados claros y elija cuidadosamente los identificadores de certificado. Consulte Identificadores de certificado para obtener más información.

Implementación manual

Si la red EAP-TLS es la única que está disponible para sus dispositivos, tendrá que implementar los certificados manualmente. La implementación manual implica adquirir los certificados mediante un equipo con red o una máquina Linux y, a continuación, cargar los certificados en cada dispositivo de Azure Sphere mediante la CLI de Azure Sphere. Este enfoque requiere una conexión física entre su PC o máquina Linux y el dispositivo Azure Sphere.

Adquisición de certificados manualmente

La entidad de certificación raíz y los certificados de cliente deben estar en . Formato PEM para cargarlo en el dispositivo de Azure Sphere. Es necesario adquirir el certificado de CA raíz del servidor adecuado, junto con el certificado de cliente y la clave privada (y, opcionalmente, una contraseña para la clave privada) correspondientes a su dispositivo. Cada certificado lo debe generar y firmar el servidor adecuado de la red EAP-TLS. El administrador de red o el equipo de seguridad pueden proporcionarle los detalles necesarios para obtener los certificados.

Guarde los certificados en . Formato PEM en el equipo o máquina Linux y, a continuación, use la CLI de Azure Sphere para almacenarlos en el dispositivo de Azure Sphere.

Almacenamiento de certificados con la CLI

Conecte el dispositivo Azure Sphere a su PC o máquina Linux en red y use el comando azsphere para almacenar los certificados en el dispositivo.

Para almacenar el certificado de CA raíz en el dispositivo Azure Sphere:

azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Para almacenar el certificado de cliente en el dispositivo Azure Sphere:

azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Implementación de arranque

Para conectar numerosos dispositivos Azure Sphere o conectar los dispositivos en muchas ubicaciones, considere adoptar un enfoque de "arranque". Para usar este método, los dispositivos deben poder conectarse a una red que les permita acceder a un servidor que proporcione los certificados. La aplicación de alto nivel de Azure Sphere se conecta al servidor a través de la red disponible, solicita los certificados y los almacena en el dispositivo.

La siguiente ilustración ofrece un resumen del procedimiento.

Flujo de certificados durante la implementación de arranque

  1. La aplicación en el dispositivo Azure Sphere se conecta a la red abierta y se pone en contacto con el servicio de seguridad de Azure Sphere para obtener su certificado DAA. A continuación, instala el certificado DAA en el dispositivo. El dispositivo debe usar este certificado para autenticarse con el servicio de emisión de certificados.

  2. Seguidamente, la aplicación se conecta al servicio de emisión de certificados que el administrador de red haya designado. Presenta su certificado DAA para validar su identidad con el servidor y solicita el certificado de CA raíz para el servidor RADIUS de la red EAP-TLS, junto con el certificado de cliente y la clave privada. El servicio puede facilitar otra información a la aplicación, como la identidad del cliente y la contraseña de la clave privada, si es necesario. A continuación, la aplicación instala el certificado de cliente, la clave privada de cliente y el certificado de CA raíz en el dispositivo. Después de esto, se puede desconectar de la red abierta.

  3. La aplicación configura y habilita la red EAP-TLS. Proporciona el certificado de cliente y la clave privada para demostrar la identidad del dispositivo. Si la red admite autenticación mutua, la aplicación también autenticará el servidor RADIUS mediante el certificado de CA raíz.

Autenticación del dispositivo y obtención del certificado de cliente durante el arranque

Un dispositivo Azure Sphere puede usar su certificado de autenticación y atestación de dispositivos (DAA) para autenticarse en un servicio que pueda proporcionar los otros certificados necesarios. El certificado DAA está disponible en el servicio de seguridad de Azure Sphere.

Para obtener el certificado DAA:

  1. Especifique el identificador de inquilino de Azure Sphere en la sección DeviceAuthentication del manifiesto de aplicación para la aplicación de alto nivel.
  2. Llame a DeviceAuth_CurlSslFunc desde la aplicación de alto nivel para obtener la cadena de certificados del inquilino actual de Azure Sphere.

Si el manifiesto de aplicación incluye el identificador de inquilino de Azure Sphere para el dispositivo actual, la función DeviceAuth_CurlSslFunc función usará la cadena de certificados DAA de cliente para autenticarse si el servicio de destino requiere la autenticación mutua TLS.

Obtención del certificado de CA raíz para el servidor RADIUS

Con la finalidad de obtener el certificado de CA raíz para el servidor RADIUS, la aplicación se conecta a un punto de conexión del servidor de certificados, que está disponible en su red y puede proporcionar el certificado. El administrador de red debería poder proporcionar información acerca de cómo conectarse al punto de conexión y recuperar el certificado.

Instalación de los certificados mediante CertStore API

La aplicación usa CertStore API para instalar los certificados en el dispositivo. La función CertStore_InstallClientCertificate instala el certificado de cliente, mientras que la función CertStore_InstallRootCACertificate instala el certificado de CA raíz para el servidor RADIUS. En Administración de certificados en aplicaciones de alto nivel, se incluye información adicional sobre el uso de CertStore API con fines de administración de certificados.

En Aplicación de ejemplos de certificados, se muestra de qué manera una aplicación utiliza estas funciones.