Konfigurera EAP-TLS-nätverk från CLI
Om du vill konfigurera ett EAP-TLS-nätverk med kommandot az sphere behöver du rotcertifikatutfärdaren för nätverkets RADIUS-server och klientcertifikatet för enheten. Certifikaten måste ha PEM-format antingen i PKCS1- eller PKCS8-syntax. Mer information om certifikat och var du hämtar dem finns i Hämta och distribuera certifikat för EAP-TLS-nätverk . Du kan använda OpenSSL för att konvertera en PFX-fil till .pem-format på Linux och i Windows-undersystemet för Linux.
Försiktighet
Eftersom certifikat-ID:t är systemomfattande kan ett az-sfärkommando eller ett funktionsanrop som lägger till ett nytt certifikat skriva över ett certifikat som har lagts till av ett tidigare kommando- eller funktionsanrop, vilket kan orsaka fel i nätverksanslutningen. Vi rekommenderar starkt att du utvecklar tydliga procedurer för certifikatuppdatering och väljer certifikat-ID:er noggrant.
Mer information om hur Azure Sphere använder certifikat-ID finns i Certifikat-ID :er.
Följ de här anvisningarna för att konfigurera nätverket från kommandoraden.
Steg 1. Installera klientcertifikatet på enheten
Installera information om klientcertifikatet, inklusive det offentliga certifikatet och den privata nyckeln och lösenordet, om de behövs i nätverket. Använd kommandot az sphere device certificate add med följande parametrar:
| Parametern | Typ | Beskrivning | Version som stöds |
|---|---|---|---|
| -c, --certificate | Sträng | Anger identifieraren för det klientcertifikat som ska läggas till. En strängidentifierare (upp till 16 tecken). Giltiga tecken är versaler (A-Z), gemener (a-z), siffror (0–9), understreck (_), punkt (.) och bindestreck (-). Identifieraren används också i Wi-Fi konfigurationer för EAP-TLS-nätverk. | Azure Sphere CLI |
| --cert-type | Sträng | Anger vilken typ av klientcertifikat som ska läggas till. Ange "klient". | Azure Sphere CLI |
| --private-key-file | Sträng | Anger sökvägen till en .pem-fil för klientcertifikat med privat nyckel. Obligatoriskt när du lägger till ett certifikat av typen "klient". Du kan ange en relativ eller absolut sökväg. | Azure Sphere CLI |
| -w, --private-key-password | Sträng | Anger ett valfritt lösenord för klientens privata nyckel. Lösenordet krävs när du lägger till en privat nyckel för klientcertifikat som är krypterad. | Azure Sphere CLI |
Till exempel:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Om du vill lägga till ett klientcertifikat krävs både filsökvägen för den offentliga nyckeln och sökvägen till den privata nyckeln i alla nätverk. Du behöver bara lösenordet för den privata nyckeln om den privata nyckeln är krypterad. kontakta nätverksadministratören.
Steg 2. Installera rotcertifikatutfärdarcertifikatet
Installera rotcertifikatutfärdarcertifikatet för RADIUS-servern om nätverket kräver ömsesidig autentisering. Använd kommandot az sphere device certificate add med följande parametrar:
| Parametern | Typ | Beskrivning | Version som stöds |
|---|---|---|---|
| -c, --certificate | Sträng | Anger identifieraren för det rotcertifikat för certifikatutfärdare som ska läggas till. En strängidentifierare (upp till 16 tecken). Giltiga tecken är versaler (A-Z), gemener (a-z), siffror (0–9), understreck (_), punkt (.) och bindestreck (-). Identifieraren används också i Wi-Fi konfigurationer för EAP-TLS-nätverk. | Azure Sphere CLI |
| --cert-type | Sträng | Anger det rotcertifikat för certifikatutfärdare som ska läggas till. Ange "rootca". | Azure Sphere CLI |
| --private-key-file | Sträng | Anger sökvägen till en rootca-fil med private key certificate .pem. Du kan ange en relativ eller absolut sökväg. | Azure Sphere CLI |
Till exempel:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Steg 3. Lägga till det Wi-Fi nätverket
När du har installerat certifikaten lägger du till EAP-TLS-nätverket på enheten. Använd wifi-kommandot az sphere device med följande parametrar:
| Parametern | Typ | Beskrivning | Version som stöds |
|---|---|---|---|
| -s, --ssid | Sträng | Anger nätverkets SSID. Nätverks-SSD:n är skiftlägeskänsliga. | Azure Sphere CLI |
| --client-cert-id | Sträng | [EAP-TLS] Anger identifieraren (upp till 16 tecken) som identifierar klientcertifikatet (som innehåller både den offentliga och den privata nyckeln). Krävs för att konfigurera ett EAP-TLS-nätverk. | Azure Sphere CLI |
| --klient-id <user@domain> | Sträng | [EAP-TLS] Anger det ID som kan identifieras för autentisering av nätverkets RADIUS-server. | Azure Sphere CLI |
| --config-name | Sträng | Anger en sträng (upp till 16 tecken) som anger namnet på nätverkskonfigurationen. | Azure Sphere CLI |
| --root-ca-cert-id | Sträng | [EAP-tLS] Anger identifieraren (upp till 16 tecken) som identifierar serverns rotcertifikat för certifikatutfärdare för EAP-TLS-nätverk där enheten autentiserar servern. | Azure Sphere CLI |
Till exempel:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Steg 4. Läs in nätverkskonfigurationen igen
När du har installerat certifikaten och konfigurerat EAP-TLS-nätverket måste du läsa in nätverkskonfigurationen igen för att säkerställa att den använder det senaste innehållet i certifikatarkivet. Använd kommandot az sphere device wifi reload-config .
Till exempel:
az sphere device wifi reload-config
Steg 5. Kontrollera att nätverket är anslutet
Om du vill kontrollera att enheten är ansluten till nätverket använder du kommandot wifi-status för az sphere-enhet . Kontrollera utdata för att se att nätverket du skapade visas, är aktiverat och anslutet.
az sphere device wifi show-status
Kommandot wifi för az-sfärenhet visar information om ett visst nätverk. Använd det här kommandot med parametern --id för att lista det klientcertifikat, rotcertifikat för certifikatutfärdare och klientidentitet som har konfigurerats för nätverket. Till exempel:
az sphere device wifi show --id 1