Hämta och distribuera certifikat för EAP-TLS-nätverk

Viktigt!

Det här är dokumentationen om Azure Sphere (Legacy). Azure Sphere (Legacy) upphör den 27 september 2027 och användarna måste migrera till Azure Sphere (integrerad) vid den här tiden. Använd versionsväljaren ovanför TOC för att visa dokumentationen om Azure Sphere (integrerad).

Innan en Azure Sphere-enhet kan ansluta till ett EAP-TLS-nätverk måste den ha ett klientcertifikat som RADIUS-servern kan använda för att autentisera enheten. Om nätverket kräver ömsesidig autentisering måste varje enhet också ha ett rotcertifikatutfärdarcertifikat så att den kan autentisera RADIUS-servern.

Hur du hämtar och distribuerar dessa certifikat beror på vilka nätverksresurser som är tillgängliga för dina enheter.

• Om EAP-TLS-nätverket är det enda tillgängliga nätverket måste du distribuera certifikaten manuellt.
• Om det finns en annan form av nätverk, till exempel ett öppet nätverk, kan du använda en "bootstrap"-metod. I bootstrapping-metoden hämtar ett Azure Sphere-högnivåprogram certifikaten från det öppna nätverket och använder dem sedan för att ansluta till EAP-TLS-nätverket.

Varning

Eftersom certifikat-ID:n är systemomfattande kan ett azsphere-kommando eller ett funktionsanrop som lägger till ett nytt certifikat skriva över ett certifikat som lades till av ett tidigare kommando- eller funktionsanrop, vilket kan orsaka nätverksanslutningsfel. Vi rekommenderar starkt att du utvecklar tydliga procedurer för certifikatuppdatering och väljer certifikat-ID:t noggrant. Mer information finns i Certifikat-ID :t.

Manuell distribution

Om EAP-TLS-nätverket är det enda nätverket som är tillgängligt för dina enheter måste du distribuera certifikaten manuellt. Manuell distribution innebär att hämta certifikaten med hjälp av en nätverksansluten dator eller Linux-dator och sedan läsa in certifikaten på varje Azure Sphere-enhet med hjälp av Azure Sphere CLI. Den här metoden kräver en fysisk anslutning mellan datorn eller Linux-datorn och Azure Sphere-enheten.

Hämta certifikaten manuellt

Rotcertifikatutfärdare och klientcertifikat måste finnas i . PEM-format som ska läsas in på Azure Sphere-enheten. Du måste hämta rotcertifikatutfärdarcertifikatet från rätt server, tillsammans med klientcertifikatet och den privata nyckeln (och eventuellt ett lösenord för din privata nyckel) för enheten. Varje certifikat måste genereras och signeras av lämplig server i ditt EAP-TLS-nätverk. Nätverksadministratören eller säkerhetsteamet kan ange den information du behöver för att hämta certifikaten.

Spara certifikaten i . PEM-format på datorn eller Linux-datorn och använd sedan Azure Sphere CLI för att lagra dem på Azure Sphere-enheten.

Lagra certifikaten med hjälp av CLI

Anslut Azure Sphere-enheten till den nätverkskopplade datorn eller Linux-datorn och använd kommandot azsphere för att lagra certifikaten på enheten.

Så här lagrar du rotcertifikatutfärdarcertifikatet på Azure Sphere-enheten:

Azure Sphere CLI

azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Klassiska Azure Sphere CLI

azsphere device certificate add --certid "server-key-xyz" --certtype rootca --publickeyfilepath <filepath_to_server_ca_public.pem>

Kommentar

Den klassiska Azure Sphere CLI drar sig tillbaka. Vi rekommenderar att du använder Azure Sphere (integrerad).

Så här lagrar du klientcertifikatet på Azure Sphere-enheten:

Azure Sphere CLI

azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Klassiska Azure Sphere CLI

azsphere device certificate add --certid "client-key-abc" --certtype client --publickeyfilepath <filepath_to_client_public.pem> --privatekeyfilepath <filepath_to_client_private.pem> --privatekeypassword "_password_"

Kommentar

Den klassiska Azure Sphere CLI drar sig tillbaka. Vi rekommenderar att du använder Azure Sphere (integrerad).

Bootstrap-distribution

Om du vill ansluta Azure Sphere-enheter i stort antal eller på många platser bör du överväga att använda en "bootstrap"-metod. Om du vill använda den här metoden måste dina enheter kunna ansluta till ett nätverk genom vilket de kan komma åt en server som kan tillhandahålla certifikaten. Ditt Azure Sphere-program på hög nivå ansluter till servern via det tillgängliga nätverket, begär certifikaten och lagrar dem på enheten.

Följande bild sammanfattar den här processen.

1. Programmet på Azure Sphere-enheten ansluter till det öppna nätverket och kontaktar Azure Sphere Security Service för att hämta sitt DAA-certifikat. Därefter installeras DAA-certifikatet på enheten. Enheten bör använda det här certifikatet för att autentisera med den certifikatutfärdande tjänsten.

2. Programmet ansluter sedan till certifikatet som utfärdar tjänsten som nätverksadministratören har angett. Den visar sitt DAA-certifikat för att verifiera sin identitet med servern och begär rotcertifikatutfärdarcertifikatet för RADIUS-servern i EAP-TLS-nätverket, tillsammans med klientcertifikatet och den privata nyckeln. Tjänsten kan skicka annan information till programmet, till exempel klientidentiteten och lösenordet för den privata nyckeln om det behövs. Programmet installerar sedan klientcertifikatet, klientens privata nyckel och rotcertifikatutfärdarcertifikatet på enheten. Den kan sedan koppla från det öppna nätverket.

3. Programmet konfigurerar och aktiverar EAP-TLS-nätverket. Den tillhandahåller klientcertifikatet och den privata nyckeln för att bevisa enhetens identitet. Om nätverket stöder ömsesidig autentisering autentiserar programmet även RADIUS-servern med hjälp av rotcertifikatutfärdarcertifikatet.

Autentisera enheten och hämta klientcertifikatet under start

En Azure Sphere-enhet kan använda sitt DAA-certifikat (enhetsautentisering och attestering) för att autentisera till en tjänst som kan tillhandahålla de andra nödvändiga certifikaten. DAA-certifikatet är tillgängligt från Azure Sphere Security Service.

Hämta DAA-certifikatet:

1. Ange Klient-ID:t för Azure Sphere i avsnittet DeviceAuthentication i programmanifestet för högnivåprogrammet.
2. Anropa DeviceAuth_CurlSslFunc från högnivåprogrammet för att hämta certifikatkedjan för den aktuella Azure Sphere-klientorganisationen.

Om programmanifestet innehåller Azure Sphere-klient-ID:t för den aktuella enheten använder funktionen DeviceAuth_CurlSslFunc DAA-klientcertifikatkedjan för att autentisera, om måltjänsten kräver ömsesidig TLS-autentisering.

Hämta rotcertifikatutfärdarcertifikatet för RADIUS-servern

För att hämta rotcertifikatutfärdarcertifikatet för RADIUS-servern ansluter programmet till en certifikatserverslutpunkt som är tillgänglig i nätverket och kan ange certifikatet. Nätverksadministratören bör kunna ange information om hur du ansluter till slutpunkten och hämtar certifikatet.

Installera certifikaten med certStore-API:et

Programmet använder CertStore-API:et för att installera certifikaten på enheten. Funktionen CertStore_InstallClientCertificate installerar klientcertifikatet och CertStore_InstallRootCACertificate installerar rotcertifikatutfärdarcertifikatet för RADIUS-servern. Hantera certifikat i program på hög nivå ger ytterligare information om hur du använder CertStore-API:et för certifikathantering.

Exempelprogrammet Certifikat visar hur ett program kan använda dessa funktioner.