Compartir a través de

Uso de EAP-TLS

  • Artículo

Importante

Esta es la documentación de Azure Sphere (heredado). Azure Sphere (heredado) se retira el 27 de septiembre de 2027 y los usuarios deben migrar a Azure Sphere (integrado) en este momento. Use el selector de versiones situado encima de la TOC para ver la documentación de Azure Sphere (integrado).

Azure Sphere admite el uso del Protocolo de autenticación extensible y la Seguridad de la capa de transporte (EAP-TLS) para la conexión a redes Wi-Fi. EAP-TLS no es compatible a través de Ethernet.

EAP-TLS para Wi-Fi es un método de autenticación común en escenarios centrados en la seguridad. Proporciona una seguridad mucho mayor que si se utiliza la contraseña SSID como secreto global, pero exige más trabajo porque hay que cerciorarse de que el dispositivo Azure Sphere y la red se hayan configurado y autenticado correctamente.

La especificación del protocolo EAP-TLS se describe en RFC 5216. El sistema operativo Azure Sphere no implementa directamente el protocolo EAP-TLS. En lugar de ello, incorpora un componente wpa_supplicant de código abierto que aplica el protocolo.

Terminología

Punto de acceso (AP): un dispositivo de hardware de red que permite que otros dispositivos Wi-Fi se conecten a una red cableada.

Certificado: clave pública y otros metadatos firmados por una ENTIDAD de certificación.

Entidad de certificación (CA): entidad que firma y emite certificados digitales.

Certificado de ENTIDAD de certificación: certificado de entidad de certificación raíz al que se encadena el certificado de autenticación del servidor RADIUS. Esta clave pública se puede almacenar en el dispositivo Azure Sphere.

Certificado de cliente: certificado y clave privada que se usan para autenticarse en la red. El certificado de cliente y la clave privada emparejada se almacenan en el dispositivo Azure Sphere.

Par de claves: un conjunto de claves enlazado criptográficamente. En muchos casos, la expresión "par de claves" hace referencia a una clave pública y una clave privada. Sin embargo, en Azure Sphere con EAP-TLS, un par de claves se refiere al certificado de cliente y su clave privada.

Clave privada: clave que no debe exponerse a ninguna entidad excepto al propietario de confianza.

Infraestructura de clave pública (PKI): conjunto de roles, directivas, hardware, software y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales y administrar el cifrado de clave pública.

Servicio de usuario de acceso telefónico remoto (RADIUS): un protocolo de red que opera en el puerto 1812 y proporciona administración centralizada de autenticación, autorización y contabilidad (AAA o Triple A) para los usuarios que se conectan y usan un servicio de red. Un servidor RADIUS recibe datos de autenticación de un cliente, los valida y, a continuación, habilita el acceso a otros recursos de red.

Rivest–Shamir–Adleman (RSA): un sistema criptográfico de clave pública basado en RFC 3447).

Supplicant: el cliente inalámbrico. El dispositivo Azure Sphere es un suplicante.

Problemas de la autenticación de EAP-TLS

El diagrama siguiente resume el proceso mediante el cual un dispositivo Azure Sphere usa el protocolo EAP-TLS con fines de autenticación.

Autenticación de EAP_TLS

  1. Cuando un dispositivo Azure Sphere requiere acceso a un recurso de red, se pone en contacto con un punto de acceso inalámbrico. Tras recibir la solicitud, el punto de acceso inalámbrico solicita la identidad del dispositivo y, a continuación, se pone en contacto con el servidor RADIUS para iniciar el proceso de autenticación. Las comunicaciones entre el punto de acceso y el dispositivo usan el protocolo de encapsulación EAP a través de LAN (EAPOL).

  2. El punto de acceso recodifica los mensajes de EAPOL en el formato de RADIUS y se los envía al servidor RADIUS. El servidor RADIUS proporciona servicios de autenticación para la red en el puerto 1812. El dispositivo Azure Sphere y el servidor RADIUS llevan a cabo el proceso de autenticación a través del punto de acceso, que retransmite los mensajes entre ambos. Una vez realizada la autenticación, el servidor RADIUS envía un mensaje de estado al dispositivo. Si la autenticación es satisfactoria, el servidor abre el puerto para el dispositivo Azure Sphere.

  3. Una vez que la autenticación se ha realizado correctamente, el dispositivo Azure Sphere puede acceder a otros recursos de red y de Internet.

En Autenticación de servidor y Autenticación de dispositivos, se describe el proceso de autenticación con más detalle.

Autenticación de servidor

La autenticación de servidor es el primer paso de la autenticación mutua de EAP-TLS. En la autenticación mutua, el servidor RADIUS autentica el dispositivo, y el dispositivo autentica el servidor. La autenticación de servidor no es estrictamente necesaria, pero se recomienda que configure su red y sus dispositivos para que la admitan. La autenticación de servidor ayuda a evitar que un servidor no autorizado o impostor pueda poner en peligro la seguridad de la red.

Para habilitar la autenticación de servidor, el servidor RADIUS debe tener un certificado de autenticación de servidor firmado por una CA. El certificado de autenticación de servidor es una "hoja" al final de la cadena de certificados del servidor, que puede incluir opcionalmente una CA intermedia y que finaliza en una CA raíz.

Cuando un dispositivo solicita acceso, el servidor envía toda la cadena de certificados al dispositivo. Azure Sphere no aplica comprobaciones de validación de tiempo en el certificado o la cadena de autenticación del servidor, ya que el dispositivo no puede sincronizar la hora del sistema operativo con un origen de hora válido hasta que se haya autenticado en la red. Si el dispositivo se ha configurado para confiar en una CA raíz que coincide con la CA raíz del servidor, validará la identidad del servidor. Si el dispositivo no tiene una CA raíz que le corresponda, se producirá un error en la autenticación del servidor y el dispositivo no podrá acceder a los recursos de red. Tiene que poder actualizar el certificado de CA raíz en el dispositivo de vez en cuando, tal y como se describe en Actualización de un certificado de CA raíz.

Autenticación de dispositivos

Una vez finalizada la autenticación del servidor, el dispositivo envía su certificado de cliente para establecer sus credenciales. El dispositivo también puede pasar un identificador de cliente. El identificador de cliente ofrece información opcional que algunas redes pueden requerir con fines de autenticación.

Los requisitos específicos para la correcta autenticación de dispositivos pueden variar en función de cómo se haya configurada su red concreta. Es posible que el administrador de red requiera información adicional para demostrar la validez de sus dispositivos Azure Sphere. Independientemente de la configuración, debe poder actualizar el certificado de dispositivo de vez en cuando, tal y como se describe en Actualización de un certificado de cliente.

Plataforma Azure Sphere con EAP-TLS

La plataforma Azure Sphere con EAP-TLS ofrece las siguientes funcionalidades para la configuración y administración de red:

  • Cargar un archivo .PEM que contiene el certificado de cliente y la clave privada del dispositivo para las conexiones EAP-TLS mediante Wi-Fi.
  • Configurar la interfaz Wi-Fi para que utilice EAP-TLS. El archivo .PEM que contiene el certificado de cliente del dispositivo debe estar presente en el dispositivo.
  • Conectarse a una red existente que no sea EAP-TLS para obtener un certificado de dispositivo y una clave privada, habilitar una red EAP-TLS y conectarse a la red EAP-TLS.
  • Permitir que las aplicaciones usen el certificado de autenticación y atestación de dispositivo (DAA) utilizado con las conexiones HTTPS para autenticarse en un almacén de certificados.
  • WifiConfig API para administrar redes Wi-Fi.
  • Certstore API para administrar certificados.

Todos los demás componentes de la red EAP-TLS son responsabilidad del administrador de red local.

Configuración de una red EAP-TLS

La configuración de la red EAP-TLS es responsabilidad del administrador de red. El administrador de red debe definir la infraestructura de clave pública (PKI) y asegurarse de que todos los componentes de red cumplan las directivas. La configuración e instalación de red incluye, entre otras, las siguientes tareas:

  • Configurar el servidor RADIUS, adquirir e instalar su certificado de CA y establecer los criterios para que un dispositivo demuestre su identidad.
  • Configurar sus dispositivos Azure Sphere con la CA raíz del servidor RADIUS para que puedan autenticar el servidor.
  • Adquiera un certificado de cliente y una clave privada para cada dispositivo y cárgelos en el dispositivo.

En Adquisición e implementación de certificados para redes EAP-TLS, se describe cómo adquirir e implementar certificados en diferentes escenarios de redes.

El certificado y la clave privada para la autenticación del cliente deben proporcionarse en formato PEM. La clave privada se puede proporcionar con la sintaxis PKCS1 o PKCS8, con o sin una contraseña de clave simétrica para la clave privada. El certificado de CA raíz también debe proporcionarse en formato PEM.

La tabla siguiente muestra la información utilizada para configurar una red EAP-TLS para Azure Sphere.

Elemento Descripción Detalles
Certificado de cliente Certificado de CA firmado que contiene la clave pública para el certificado de cliente. Necesario. Tamaño máximo: 8 KiB
Longitud máxima de la cadena de identificador: 16 caracteres
Clave privada de cliente La clave privada que está emparejada con el certificado de cliente. Necesario. Tamaño máximo: 8 Kib
Compatible con RSA; no se admiten claves ECC
Contraseña de clave privada de cliente La contraseña usada para cifrar la clave privada. Opcional. Tamaño mínimo: 1 byte
Tamaño máximo: 256 bytes
Una cadena vacía y una cadena nula se interpretan del mismo modo
Id. de cliente Una cadena ASCII que se pasa al servidor RADIUS y proporciona información adicional sobre el dispositivo. Es un requisito de algunas redes EAP-TLS. Tamaño máximo: 254 bytes
Formato: user@domainname.com
Certificado de entidad de certificación raíz El certificado de CA raíz al que se vincula el certificado de autenticación del servidor RADIUS. Se debe configurar en cada dispositivo. Opcional, pero muy recomendable; consulte con el administrador de red. Tamaño máximo: 8 KiB
Longitud máxima de la cadena de identificador: 16 caracteres

Importante

La configuración de PKI y del servidor RADIUS en relación con su red, lo cual incluye administrar la expiración del certificado, es responsabilidad suya.