Dela via

Använda EAP-TLS

  • Artikel

Viktigt!

Det här är dokumentationen om Azure Sphere (Legacy). Azure Sphere (Legacy) upphör den 27 september 2027 och användarna måste migrera till Azure Sphere (integrerad) vid den här tiden. Använd versionsväljaren ovanför TOC för att visa dokumentationen om Azure Sphere (integrerad).

Azure Sphere stöder användning av Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) för att ansluta till Wi-Fi-nätverk. EAP-TLS stöds inte via Ethernet.

EAP-TLS för Wi-Fi är en vanlig autentiseringsmetod i säkerhetsfokuserade scenarier. Det ger betydligt större säkerhet än att använda SSID-lösenordet som en global hemlighet, men kräver ytterligare arbete för att säkerställa att Azure Sphere-enheten och nätverket är korrekt konfigurerade och autentiserade.

EAP-TLS-protokollspecifikationen beskrivs i RFC 5216. Azure Sphere OS implementerar inte EAP-TLS-protokollet direkt. I stället innehåller den en wpa_supplicant komponent med öppen källkod som implementerar protokollet.

Terminologi

Åtkomstpunkt (AP): En nätverksmaskinvara som gör att andra Wi-Fi-enheter kan ansluta till ett kabelanslutet nätverk.

Certifikat: En offentlig nyckel och andra metadata som är signerade av en certifikatutfärdare.

Certifikatutfärdare (CA): En entitet som signerar och utfärdar digitala certifikat.

CA-certifikat: Rotcertifikatutfärdarcertifikatet som RADIUS-serverns autentiseringscertifikat kedjar till. Den här offentliga nyckeln kan lagras på Azure Sphere-enheten.

Klientcertifikat: Certifikatet och den privata nyckeln som används för att autentisera till nätverket. Klientcertifikatet och dess kopplade privata nyckel lagras på Azure Sphere-enheten.

Nyckelpar: En kryptografiskt bunden uppsättning nycklar. I många scenarier innebär ett nyckelpar en offentlig nyckel och en privat nyckel. I Azure Sphere EAP-TLS-scenariot anger nyckelparet dock klientcertifikatet och dess privata nyckel.

Privat nyckel: En nyckel som inte ska exponeras för någon entitet förutom den betrodda ägaren.

Infrastruktur för offentlig nyckel (PKI): Den uppsättning roller, principer, maskinvara, programvara och procedurer som behövs för att skapa, hantera, distribuera, använda, lagra och återkalla digitala certifikat och hantera kryptering med offentliga nycklar.

Radius (Remote Authentication Dial-In User Service): Ett nätverksprotokoll som fungerar på port 1812 och som tillhandahåller centraliserad hantering av autentisering, auktorisering och redovisning (AAA eller Trippel A) för användare som ansluter till och använder en nätverkstjänst. En RADIUS-server tar emot autentiseringsdata från en klient, validerar dem och aktiverar sedan åtkomst till andra nätverksresurser.

Rivest–Shamir–Adleman (RSA): Ett kryptosystem med offentlig nyckel som baseras på RFC 3447).

Supplicant: Den trådlösa klienten. Azure Sphere-enheten är en supplicant.

Översikt över EAP-TLS-autentisering

Följande diagram sammanfattar processen med vilken en Azure Sphere-enhet använder EAP-TLS-protokollet för att autentisera.

EAP_TLS autentisering

  1. När en Azure Sphere-enhet kräver åtkomst till en nätverksresurs kontaktar den en trådlös åtkomstpunkt (AP). När du tar emot begäran ber AP om enhetens identitet och kontaktar sedan RADIUS-servern för att initiera autentiseringsprocessen. Kommunikation mellan åtkomstpunkten och enheten använder EAP-inkapsling via LAN-protokollet (EAPOL).

  2. Åtkomstpunkten kodar om EAPOL-meddelandena till RADIUS-format och skickar dem till RADIUS-servern. RADIUS-servern tillhandahåller autentiseringstjänster för nätverket på port 1812. Azure Sphere-enheten och RADIUS-servern utför autentiseringsprocessen via åtkomstpunkten, som vidarebefordrar meddelandena från en till en annan. När autentiseringen är klar skickar RADIUS-servern ett statusmeddelande till enheten. Om autentiseringen lyckas öppnar servern porten för Azure Sphere-enheten.

  3. Efter lyckad autentisering kan Azure Sphere-enheten komma åt andra nätverks- och Internetresurser.

Serverautentisering och Enhetsautentisering beskriver autentiseringsprocessen mer detaljerat.

Serverautentisering

Serverautentisering är det första steget i ömsesidig EAP-TLS-autentisering. Vid ömsesidig autentisering autentiserar RADIUS-servern inte bara enheten, utan enheten autentiserar servern. Serverautentisering krävs inte strikt, men vi rekommenderar starkt att du konfigurerar nätverket och enheterna så att de stöder det. Serverautentisering hjälper till att säkerställa att en falsk server eller en förstoringsserver inte kan äventyra nätverkets säkerhet.

Om du vill aktivera serverautentisering måste RADIUS-servern ha ett certifikat för serverautentisering som är signerat av en certifikatutfärdare. Certifikatet för serverautentisering är ett "löv" i slutet av serverns certifikatkedja, som eventuellt kan innehålla en mellanliggande certifikatutfärdare och slutligen avslutas i en rotcertifikatutfärdare.

När en enhet begär åtkomst skickar servern hela certifikatkedjan till enheten. Azure Sphere tillämpar inte tidsverifieringskontroller på certifikatet eller kedjan för serverautentisering eftersom enheten inte kan synkronisera operativsystemets tid till en giltig tidskälla förrän den har autentiserats till nätverket. Om enheten är konfigurerad för att lita på en rotcertifikatutfärdare som matchar serverns rotcertifikatutfärdare verifierar den serverns identitet. Om enheten inte har någon matchande rotcertifikatutfärdare misslyckas serverautentiseringen och enheten kommer inte att kunna komma åt nätverksresurser. Du måste kunna uppdatera RootCA på enheten då och då, enligt beskrivningen i Uppdatera ett rotcertifikatutfärdarcertifikat.

Enhetsautentisering

När serverautentiseringen är klar skickar enheten sitt klientcertifikat för att upprätta sina autentiseringsuppgifter. Enheten kan också skicka ett klient-ID. Klient-ID:t är valfri information som vissa nätverk kan kräva för autentisering.

De specifika kraven för lyckad enhetsautentisering kan variera beroende på hur ditt specifika nätverk har konfigurerats. Nätverksadministratören kan behöva ytterligare information för att bevisa giltigheten för dina Azure Sphere-enheter. Oavsett konfiguration måste du kunna uppdatera enhetscertifikatet då och då, enligt beskrivningen i Uppdatera ett klientcertifikat.

Azure Sphere EAP-TLS-plattform

Azure Sphere EAP-TLS-plattformen innehåller följande funktioner för nätverkskonfiguration och hantering:

  • Läs in en . PEM-fil som innehåller enhetens klientcertifikat och privata nyckel för Wi-Fi EAP-TLS-anslutningar.
  • Konfigurera Wi-Fi-gränssnittet så att det använder EAP-TLS. Den. PEM-filen som innehåller enhetens klientcertifikat måste finnas på enheten.
  • Anslut till ett befintligt icke-EAP-TLS-nätverk för att hämta ett enhetscertifikat och en privat nyckel, aktivera ett EAP-TLS-nätverk och anslut till EAP-TLS-nätverket.
  • Gör det möjligt för program att använda certifikatet för enhetsautentisering och attestering (DAA) som används för HTTPS-anslutningar för att autentisera till ett certifikatarkiv.
  • WifiConfig API för att hantera Wi-Fi-nätverk.
  • Certstore-API för att hantera certifikat.

Alla andra EAP-TLS-nätverkskomponenter ansvarar för den lokala nätverksadministratören.

Konfiguration av EAP-TLS-nätverk

Konfigurationen av EAP-TLS-nätverket är nätverksadministratörens ansvar. Nätverksadministratören måste definiera den offentliga infrastrukturen (PKI) och se till att alla nätverkskomponenter följer dess principer. Nätverkskonfigurationen och konfigurationen omfattar, men är inte begränsat till, följande uppgifter:

  • Konfigurera RADIUS-servern, hämta och installera certifikatutfärdarcertifikatet och upprätta kriterier för en enhet för att bevisa dess identitet.
  • Konfigurera dina Azure Sphere-enheter med ROT-CA:en för RADIUS-servern så att de kan autentisera servern.
  • Skaffa ett klientcertifikat och en privat nyckel för varje enhet och läs in dem på enheten.

Anskaffning och distribution av EAP-TLS-certifikat beskriver hur du hämtar och distribuerar certifikat i olika nätverksscenarier.

Certifikatet och den privata nyckeln för klientautentisering måste anges i PEM-format. Den privata nyckeln kan anges i PKCS1- eller PKCS8-syntaxen, med eller utan ett symmetriskt nyckellösenord för den privata nyckeln. Rotcertifikatutfärdarcertifikatet måste också anges i PEM-format.

I följande tabell visas den information som används för att konfigurera ett EAP-TLS-nätverk för Azure Sphere.

Objekt beskrivning Detaljer
Klientcertifikat Signerat CA-certifikat som innehåller den offentliga nyckeln för klientcertifikatet. Obligatoriskt. Maximal storlek: 8 KiB
Maximal längd på identifierarsträng: 16 tecken
Privat klientnyckel Privat nyckel som är kopplad till klientcertifikatet. Obligatoriskt. Maximal storlek: 8 Kib
RSA stöds; ECC-nycklar stöds inte
Lösenord för privat klientnyckel Lösenord som används för att kryptera klientens privata nyckel. Valfritt. Minsta storlek: 1 byte
Maximal storlek: 256 byte
Tom sträng och nullsträng tolkas som samma
Client ID ASCII-sträng som skickas till RADIUS-servern och ger ytterligare information om enheten. Krävs av vissa EAP-TLS-nätverk. Maximal storlek: 254 byte
Format: user@domainname.com
Rotcertifikatutfärdarcertifikat Rotcertifikatutfärdarcertifikat för RADIUS-serverns autentiseringscertifikat. Måste konfigureras på varje enhet. Valfritt men starkt rekommenderat; kontakta nätverksadministratören. Maximal storlek: 8 KiB
Maximal längd på identifierarsträng: 16 tecken

Viktigt!

Allt PKI- och RADIUS-serverkonfiguration för nätverket, inklusive att hantera certifikatets upphörande, är ditt ansvar.