Configuración de una red EAP-TLS desde la CLI
Importante
Esta es la documentación de Azure Sphere (heredado). Azure Sphere (heredado) se retira el 27 de septiembre de 2027 y los usuarios deben migrar a Azure Sphere (integrado) en este momento. Use el selector de versiones situado encima de la TOC para ver la documentación de Azure Sphere (integrado).
Para configurar una red EAP-TLS con el comando azsphere, necesitará el certificado de CA raíz para el servidor RADIUS de la red y el certificado de cliente para el dispositivo. Los certificados deben tener el formato .pem, ya sea la sintaxis PKCS1 o PKCS8. Consulte Adquisición e implementación de certificados para redes EAP-TLS para obtener información sobre los certificados y dónde obtenerlos. Puede usar OpenSSL para convertir un archivo PFX al formato .pem en Linux y en el subsistema de Windows para Linux.
Precaución
Dado que los identificadores de certificado tienen como ámbito todo el sistema, un comando azsphere o una llamada de función que agrega un certificado nuevo pueden sobrescribir un certificado agregado por un comando o una llamada de función anteriores, lo que podría producir errores de conexión de red. Se recomienda que desarrolle unos procedimientos de actualización de certificados claros y elija cuidadosamente los identificadores de certificado.
Consulte Identificadores de certificado para más información sobre cómo utiliza Azure Sphere los identificadores de certificado.
Siga estos pasos para configurar la red desde la línea de comandos.
Paso 1. Instalar el certificado de cliente en el dispositivo
Instale la información del certificado de cliente, incluido el certificado público, la clave privada y la contraseña, si es necesario en la red. Use el comando azsphere device certificate add con los parámetros siguientes:
| Parámetro | Tipo | Descripción | Versión admitida |
|---|---|---|---|
| -i, --cert-id | Cadena | Especifica el identificador del certificado de cliente que se va a agregar. Identificador de cadena (hasta 16 caracteres). Los caracteres válidos incluyen letras mayúsculas (A-Z), letras minúsculas (a-z), números (0-9), subrayado (_), punto (.) y guion (-). Este identificador también se usa en configuraciones de Wi-Fi para redes EAP-TLS. | CLI de Azure Sphere |
| --cert-type | Cadena | Especifica el tipo de certificado de cliente que se va a agregar. Escriba "client". | CLI de Azure Sphere |
| --private-key-file | Cadena | Especifica la ruta de acceso a un archivo .pem de certificado de clave privada de cliente. Se requiere cuando se agrega un certificado de tipo "client". Puede proporcionar una ruta de acceso relativa o absoluta. | CLI de Azure Sphere |
| -w, --private-key-password | Cadena | Especifica una contraseña opcional para la clave privada del cliente. La contraseña es necesaria cuando se agrega una clave privada de certificado de cliente que está cifrada. | CLI de Azure Sphere |
Por ejemplo:
azsphere device certificate add --cert-id myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Para agregar un certificado de cliente, se requieren la ruta de acceso del archivo de clave pública y la ruta de acceso del archivo de clave privada en cada red. La contraseña de clave privada solo se necesita si la clave privada está cifrada (consulte al administrador de la red).
Paso 2. Instalar el certificado de CA raíz
Instale el certificado de CA raíz para el servidor RADIUS si la red requiere autenticación mutua. Use el comando azsphere device certificate add con los parámetros siguientes:
| Parámetro | Tipo | Descripción | Versión admitida |
|---|---|---|---|
| -i, --cert-id | Cadena | Especifica el identificador del certificado de entidad de certificación raíz que se va a agregar. Identificador de cadena (hasta 16 caracteres). Los caracteres válidos incluyen letras mayúsculas (A-Z), letras minúsculas (a-z), números (0-9), subrayado (_), punto (.) y guion (-). Este identificador también se usa en configuraciones de Wi-Fi para redes EAP-TLS. | CLI de Azure Sphere |
| --cert-type | Cadena | Especifica el certificado de entidad de certificación raíz que se va a agregar. Escriba "rootca". | CLI de Azure Sphere |
| --private-key-file | Cadena | Especifica la ruta de acceso a un archivo .pem de certificado de clave privada rootca. Puede proporcionar una ruta de acceso relativa o absoluta. | CLI de Azure Sphere |
Por ejemplo:
azsphere device certificate add --cert-id myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Paso 3. Agregar la red Wi-Fi
Después de instalar los certificados, agregue la red EAP-TLS en el dispositivo. Use el comando azsphere device wifi add con los parámetros siguientes:
| Parámetro | Tipo | Descripción | Versión admitida |
|---|---|---|---|
| -s, --ssid | Cadena | Especifica el SSID de la red. Los SSID de red distinguen mayúsculas de minúsculas. | CLI de Azure Sphere |
| --client-cert-id | Cadena | [EAP-TLS] Especifica el identificador (hasta 16 caracteres) que identifica el certificado de cliente (que contiene la clave pública y privada). Se requiere para la instalación de una red EAP-TLS. | CLI de Azure Sphere |
| --client-id <user@domain> | Cadena | [EAP-TLS] Especifica el identificador reconocido para la autenticación por el servidor RADIUS de la red. | CLI de Azure Sphere |
| --config-name | Cadena | Especifica una cadena (hasta 16 caracteres) que especifica el nombre de la configuración de red. | CLI de Azure Sphere |
| --root-ca-cert-id | Cadena | [EAP-tLS] Especifica el identificador (hasta 16 caracteres) que identifica el certificado de CA raíz del servidor para las redes EAP-TLS donde el dispositivo autentica el servidor. | CLI de Azure Sphere |
Por ejemplo:
azsphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Paso 4. Volver a cargar la configuración de red
Después de instalar los certificados y configurar la red EAP-TLS, debe volver a cargar la configuración de red para asegurarse de que usa el contenido más reciente del almacén de certificados. Use el comando azsphere device wifi reload-config.
Por ejemplo:
azsphere device wifi reload-config
Paso 5. Comprobar que la red está conectada
Para asegurarse de que el dispositivo se haya conectado a la red, use el comando azsphere device wifi show-status. Revise el resultado para ver si la red que ha creado aparece en la lista, está habilitada y conectada.
azsphere device wifi show-status
El comando azsphere device wifi show muestra los detalles de una determinada red. Use este comando con el parámetro --id para mostrar el certificado de cliente, el certificado de CA raíz y la identidad del cliente configurados para la red. Por ejemplo:
azsphere device wifi show --id 1
azsphere device wifi show-status
----- ------------------ --------------- ------------- --------- ------- ------------- --------- ------------- -----------------
SSID ConfigurationState ConnectionState SecurityState Frequency Mode KeyManagement WpaState IpAddress MacAddress
================================================================================================================================
<value> enabled connected psk 2412 station WPA2-PSK COMPLETED <value> <value>
----- ------------------ --------------- ------------- --------- ------- ------------- --------- ------------- -----------------