Настройка сети EAP-TLS из CLI
Внимание
Это документация по Azure Sphere (устаревшая версия). Служба Azure Sphere (устаревшая версия) выходит на пенсию 27 сентября 2027 г., и к этому времени пользователи должны перейти в Azure Sphere (интегрированная). Используйте селектор версий, расположенный над toC, чтобы просмотреть документацию по Azure Sphere (интегрированная).
Чтобы настроить сеть EAP-TLS с помощью команды azsphere, вам потребуется сертификат корневого ЦС сервера RADIUS сети и сертификат клиента для устройства. Сертификаты должны быть в формате PEM в синтаксисе PKCS1 или PKCS8. Дополнительные сведения о сертификатах и их получении см. в статье Получение и развертывание сертификатов для сетей EAP-TLS. С помощью OpenSSL можно преобразовать PFX-файл в формат PEM в Linux и в подсистеме Windows для Linux.
Внимание
Так как идентификаторы сертификатов используются во всей системе, команда azsphere или вызов функции, который добавляет новый сертификат, могут перезаписать сертификат, который был добавлен более ранней командой или вызовом функции. Это может привести к сбоям сетевого подключения. Настоятельно рекомендуется разрабатывать четкие процедуры обновления сертификатов и тщательно выбирать идентификаторы сертификатов.
Дополнительные сведения о том, как Azure Sphere использует идентификаторы сертификатов, см. в этом разделе.
Выполните указанные ниже действия, чтобы настроить сеть из командной строки.
Шаг 1. Установка сертификата клиента на устройстве
Укажите информацию для установки сертификата клиента, в том числе открытый сертификат, закрытый ключ и пароль, если они необходимы в сети. Выполните команду azsphere device certificate add со следующими параметрами:
| Параметр | Тип | Описание | Поддерживаемая версия |
|---|---|---|---|
| -i, --cert-id | Строка | Указывает идентификатор добавляемого сертификата клиента. Строковый идентификатор (до 16 символов). Допустимые символы включают прописные буквы (A-Z), строчные буквы (a-z), цифры (0-9), подчеркивание (_), период (.) и дефис (-). Этот идентификатор также используется в конфигурациях Wi-Fi для сетей с поддержкой EAP-TLS. | CLI Azure Sphere |
| --cert-type | Строка | Указывает тип добавляемого сертификата клиента. Введите "клиент". | CLI Azure Sphere |
| --private-key-file | Строка | Указывает путь к pem-файлу сертификата закрытого ключа клиента. Требуется при добавлении сертификата клиентского типа. Вы можете указать относительный или абсолютный путь. | CLI Azure Sphere |
| -w, --private-key-password | Строка | Указывает необязательный пароль для закрытого ключа клиента. При добавлении зашифрованного закрытого ключа клиентского сертификата необходим пароль. | CLI Azure Sphere |
Например:
azsphere device certificate add --cert-id myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Чтобы добавить сертификат клиента, требуется как путь к файлу открытого ключа, так и путь к файлу закрытого ключа в каждой сети. Пароль закрытого ключа необходим только в том случае, если закрытый ключ зашифрован. Обратитесь к администратору сети.
Шаг 2. Установка сертификата корневого ЦС
Установите сертификат корневого ЦС для сервера RADIUS, если для сети требуется взаимная проверка подлинности. Выполните команду azsphere device certificate add со следующими параметрами:
| Параметр | Тип | Описание | Поддерживаемая версия |
|---|---|---|---|
| -i, --cert-id | Строка | Указывает идентификатор добавляемого корневого сертификата ЦС. Строковый идентификатор (до 16 символов). Допустимые символы включают прописные буквы (A-Z), строчные буквы (a-z), цифры (0-9), подчеркивание (_), период (.) и дефис (-). Этот идентификатор также используется в конфигурациях Wi-Fi для сетей с поддержкой EAP-TLS. | CLI Azure Sphere |
| --cert-type | Строка | Указывает добавляемый корневой сертификат ЦС. Введите rootca. | CLI Azure Sphere |
| --private-key-file | Строка | Указывает путь к pem-файлу сертификата закрытого ключа rootca. Вы можете указать относительный или абсолютный путь. | CLI Azure Sphere |
Например:
azsphere device certificate add --cert-id myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Шаг 3. Добавление сети Wi-Fi
После установки сертификатов добавьте на устройство сеть EAP-TLS. Выполните команду azsphere device wifi add со следующими параметрами:
| Параметр | Тип | Описание | Поддерживаемая версия |
|---|---|---|---|
| -s, --ssid | Строка | Указывает идентификатор SSID сети. Идентификаторы SSID сети учитывают регистр. | CLI Azure Sphere |
| --client-cert-id | Строка | [EAP-TLS] Указывает идентификатор (до 16 символов), определяющий сертификат клиента (содержащий открытый и закрытый ключ). Требуется для настройки сети с поддержкой EAP-TLS. | CLI Azure Sphere |
| --client-id <user@domain> | Строка | [EAP-TLS] Указывает идентификатор, распознанный для проверки подлинности сервером RADIUS сети. | CLI Azure Sphere |
| --config-name | Строка | Задает строку (до 16 символов), указывающую имя конфигурации сети. | CLI Azure Sphere |
| --root-ca-cert-id | Строка | [EAP-tLS] Указывает идентификатор (до 16 символов), определяющий корневой сертификат ЦС сервера для сетей EAP-TLS, где устройство выполняет проверку подлинности сервера. | CLI Azure Sphere |
Например:
azsphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Шаг 4. Перезагрузка конфигурации сети
После установки сертификатов и настройки сети EAP-TLS необходимо перезагрузить конфигурацию сети, чтобы убедиться в том, что в ней используется новейшее содержимое хранилища сертификатов. Выполните команду azsphere device wifi reload-config.
Например:
azsphere device wifi reload-config
Шаг 5. Проверка подключения сети
Чтобы убедиться в том, что ваше устройство подключено к сети, выполните команду azsphere device wifi show-status. Проверьте выходные данные, чтобы убедиться, что созданная сеть есть в списке, активирована и подключена.
azsphere device wifi show-status
Чтобы отобразить сведения о конкретной сети, выполните команду azsphere device wifi show. Выполните эту команду с параметром --id, чтобы просмотреть сертификат клиента, сертификата корневого ЦС и удостоверения клиента, настроенных для сети. Например:
azsphere device wifi show --id 1