Udostępnij za pośrednictwem

Uzyskiwanie i wdrażanie certyfikatów dla sieci EAP-TLS

  • Artykuł

Ważne

Jest to dokumentacja usługi Azure Sphere (starsza wersja). Usługa Azure Sphere (starsza wersja) zostanie wycofana 27 września 2027 r., a użytkownicy muszą przeprowadzić migrację do usługi Azure Sphere (zintegrowanej) do tej pory. Użyj selektora wersji znajdującego się powyżej spisu treści, aby wyświetlić dokumentację usługi Azure Sphere (zintegrowaną).

Aby urządzenie usługi Azure Sphere mogło nawiązać połączenie z siecią protokołu EAP-TLS, musi mieć certyfikat klienta, którego serwer RADIUS może używać do uwierzytelniania urządzenia. Jeśli sieć wymaga wzajemnego uwierzytelniania, każde urządzenie musi mieć również certyfikat głównego urzędu certyfikacji, aby mógł uwierzytelnić serwer RADIUS.

Sposób uzyskiwania i wdrażania tych certyfikatów zależy od zasobów sieciowych dostępnych dla urządzeń.

  • Jeśli sieć EAP-TLS jest jedyną dostępną siecią, musisz ręcznie wdrożyć certyfikaty.
  • Jeśli dostępna jest inna forma sieci, taka jak otwarta sieć, można użyć podejścia "bootstrap". W podejściu bootstrapping aplikacja wysokiego poziomu usługi Azure Sphere uzyskuje certyfikaty z otwartej sieci, a następnie używa ich do nawiązywania połączenia z siecią EAP-TLS.

Uwaga

Ponieważ identyfikatory certyfikatów są w całym systemie, polecenie azsphere lub wywołanie funkcji, które dodaje nowy certyfikat, może zastąpić certyfikat, który został dodany przez wcześniejsze polecenie lub wywołanie funkcji, potencjalnie powodując błędy połączenia sieciowego. Zdecydowanie zalecamy opracowanie przejrzystych procedur aktualizacji certyfikatów i dokładne wybranie identyfikatorów certyfikatów. Aby uzyskać szczegółowe informacje, zobacz Identyfikatory certyfikatów .

Wdrażanie ręczne

Jeśli sieć protokołu EAP-TLS jest jedyną siecią dostępną dla Twoich urządzeń, musisz ręcznie wdrożyć certyfikaty. Wdrożenie ręczne obejmuje uzyskanie certyfikatów przy użyciu komputera sieciowego lub komputera z systemem Linux, a następnie załadowania certyfikatów na każde urządzenie usługi Azure Sphere przy użyciu interfejsu wiersza polecenia usługi Azure Sphere. Takie podejście wymaga fizycznego połączenia między komputerem PC lub Linux a urządzeniem usługi Azure Sphere.

Ręczne uzyskiwanie certyfikatów

Certyfikaty głównego urzędu certyfikacji i klienta muszą znajdować się w katalogu . Format PEM do załadowania na urządzenie usługi Azure Sphere. Należy uzyskać certyfikat głównego urzędu certyfikacji z odpowiedniego serwera wraz z certyfikatem klienta i kluczem prywatnym (oraz opcjonalnie hasłem klucza prywatnego) dla urządzenia. Każdy certyfikat musi być generowany i podpisany przez odpowiedni serwer w sieci protokołu EAP-TLS. Administrator sieci lub zespół ds. zabezpieczeń może podać szczegółowe informacje potrzebne do uzyskania certyfikatów.

Zapisz certyfikaty w pliku . Format PEM na komputerze lub komputerze z systemem Linux, a następnie użyj interfejsu wiersza polecenia usługi Azure Sphere do przechowywania ich na urządzeniu usługi Azure Sphere.

Przechowywanie certyfikatów przy użyciu interfejsu wiersza polecenia

Dołącz urządzenie usługi Azure Sphere do komputera sieciowego lub komputera z systemem Linux i użyj polecenia azsphere do przechowywania certyfikatów na urządzeniu.

Aby zapisać certyfikat głównego urzędu certyfikacji na urządzeniu usługi Azure Sphere:

azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Aby zapisać certyfikat klienta na urządzeniu usługi Azure Sphere:

azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Wdrażanie programu Bootstrap

Aby połączyć urządzenia usługi Azure Sphere w dużej liczbie lub w wielu lokalizacjach, rozważ użycie podejścia "bootstrap". Aby użyć tej metody, urządzenia muszą mieć możliwość nawiązania połączenia z siecią, za pośrednictwem której mogą uzyskiwać dostęp do serwera, który może dostarczyć certyfikaty. Aplikacja usługi Azure Sphere wysokiego poziomu łączy się z serwerem za pośrednictwem dostępnej sieci, żąda certyfikatów i przechowuje je na urządzeniu.

Na poniższej ilustracji przedstawiono podsumowanie tego procesu.

Przepływ certyfikatu podczas wdrażania uruchamiania

  1. Aplikacja na urządzeniu Azure Sphere łączy się z otwartą siecią i kontaktuje się z usługą zabezpieczeń Azure Sphere w celu uzyskania certyfikatu DAA. Następnie instaluje certyfikat DAA na urządzeniu. Urządzenie powinno używać tego certyfikatu do uwierzytelniania za pomocą usługi wystawiającej certyfikaty.

  2. Następnie aplikacja łączy się z usługą wystawiającą certyfikaty wyznaczoną przez administratora sieci. Przedstawia certyfikat DAA, aby zweryfikować swoją tożsamość z serwerem i żąda certyfikatu głównego urzędu certyfikacji dla serwera RADIUS w sieci protokołu EAP-TLS, wraz z certyfikatem klienta i kluczem prywatnym. Usługa może przekazać inne informacje do aplikacji, takie jak tożsamość klienta i hasło klucza prywatnego, jeśli jest to wymagane. Następnie aplikacja instaluje certyfikat klienta, klucz prywatny klienta i certyfikat głównego urzędu certyfikacji na urządzeniu. Następnie może odłączyć się od otwartej sieci.

  3. Aplikacja konfiguruje i włącza sieć protokołu EAP-TLS. Dostarcza certyfikat klienta i klucz prywatny w celu potwierdzenia tożsamości urządzenia. Jeśli sieć obsługuje wzajemne uwierzytelnianie, aplikacja uwierzytelnia również serwer RADIUS przy użyciu certyfikatu głównego urzędu certyfikacji.

Uwierzytelnianie urządzenia i uzyskiwanie certyfikatu klienta podczas uruchamiania aplikacji

Urządzenie usługi Azure Sphere może używać certyfikatu uwierzytelniania urządzenia i zaświadczania (DAA) do uwierzytelniania w usłudze, która może dostarczyć inne wymagane certyfikaty. Certyfikat DAA jest dostępny w usłudze zabezpieczeń Azure Sphere.

Aby uzyskać certyfikat DAA:

  1. Określ identyfikator dzierżawy usługi Azure Sphere w sekcji DeviceAuthentication manifestu aplikacji dla aplikacji wysokiego poziomu.
  2. Wywołaj DeviceAuth_CurlSslFunc z aplikacji wysokiego poziomu, aby pobrać łańcuch certyfikatów dla bieżącej dzierżawy usługi Azure Sphere.

Jeśli manifest aplikacji zawiera identyfikator dzierżawy usługi Azure Sphere dla bieżącego urządzenia, funkcja DeviceAuth_CurlSslFunc będzie używać łańcucha certyfikatów klienta DAA do uwierzytelniania, jeśli usługa docelowa wymaga wzajemnego uwierzytelniania TLS.

Pobieranie certyfikatu głównego urzędu certyfikacji dla serwera RADIUS

Aby uzyskać certyfikat głównego urzędu certyfikacji dla serwera RADIUS, aplikacja łączy się z punktem końcowym serwera certyfikatów dostępnym w sieci i może dostarczyć certyfikat. Administrator sieci powinien mieć możliwość podania informacji na temat nawiązywania połączenia z punktem końcowym i pobierania certyfikatu.

Instalowanie certyfikatów przy użyciu interfejsu API magazynu certyfikatów

Aplikacja używa interfejsu API CertStore do zainstalowania certyfikatów na urządzeniu. Funkcja CertStore_InstallClientCertificate instaluje certyfikat klienta i CertStore_InstallRootCACertificate instaluje certyfikat głównego urzędu certyfikacji dla serwera RADIUS. Zarządzanie certyfikatami w aplikacjach wysokiego poziomu zawiera dodatkowe informacje o korzystaniu z interfejsu API CertStore na potrzeby zarządzania certyfikatami.

Przykładowa aplikacja Certificates pokazuje, jak aplikacja może korzystać z tych funkcji.