共用方式為

取得及部署 EAP-TLS 網路的憑證

  • 發行項

重要

這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。

在 Azure Sphere 裝置可以連線到 EAP-TLS 網路之前,它必須具有 RADIUS 伺服器可用來驗證裝置的用戶端憑證。 如果您的網路需要相互驗證,則每個裝置也必須有根 CA 憑證,才能驗證 RADIUS 伺服器。

取得和部署這些憑證的方式取決於您裝置可用的網路資源。

  • 如果 EAP-TLS 網路是唯一可用的網路,您必須 手動部署憑證。
  • 如果有另一種形式的網路功能,例如開放式網路,可以使用 「啟動程式」方法。 在啟動載入方法中,Azure Sphere 高階應用程式會從開啟的網路取得憑證,然後使用它們來連線到 EAP-TLS 網路。

警告

因為憑證標識碼是全系統,因此新增憑證的 azsphere 命令或函式呼叫可能會覆寫先前命令或函數調用所新增的憑證,可能會導致網路連線失敗。 強烈建議您開發明確的憑證更新程式,並仔細選擇憑證標識碼。 如需詳細資訊,請參閱 憑證標識符

手動部署

如果 EAP-TLS 網路是您裝置唯一可用的網路,您必須手動部署憑證。 手動部署牽涉到使用網路電腦或Linux電腦取得憑證,然後使用 Azure Sphere CLI 將憑證載入至每個 Azure Sphere 裝置。 此方法需要電腦或Linux電腦與 Azure Sphere 裝置之間的實體連線。

手動取得憑證

根 CA 和用戶端憑證必須位於 中。要載入至 Azure Sphere 裝置的 PEM 格式。 您必須從適當的伺服器取得根 CA 憑證,以及裝置的用戶端憑證和私鑰(以及選擇性的私鑰密碼)。 每個憑證都必須由EAP-TLS網路中的適當伺服器產生並簽署。 您的網路管理員或安全性小組可以提供取得憑證所需的詳細數據。

將憑證儲存在 中。在您的電腦或 Linux 計算機上使用 PEM 格式,然後使用 Azure Sphere CLI 將它們儲存在 Azure Sphere 裝置上。

使用 CLI 儲存憑證

將 Azure Sphere 裝置連結至您的網路電腦或 Linux 電腦,並使用 azsphere 命令將憑證儲存在裝置上。

若要將根 CA 憑證儲存至 Azure Sphere 裝置:

azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

若要將用戶端憑證儲存至 Azure Sphere 裝置:

azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

啟動程式部署

若要將 Azure Sphere 裝置連線到大量或許多位置,請考慮使用「啟動程式」方法。 若要使用此方法,您的裝置必須能夠連線到網路,才能存取可以提供憑證的伺服器。 您的高階 Azure Sphere 應用程式會透過可用的網路連線到伺服器、要求憑證,並將其儲存在裝置上。

下圖摘要說明此程式。

啟動程式部署期間的憑證流程

  1. Azure Sphere 裝置上的應用程式會連線到開啟的網路,並連絡 Azure Sphere 安全性服務以取得其 DAA 憑證。 然後它會在裝置上安裝 DAA 憑證。 裝置應該使用此憑證向憑證發行服務進行驗證。

  2. 應用程式接著會連線到網路管理員所指定的憑證發行服務。 它會呈現其 DAA 憑證,以向伺服器驗證其身分識別,並要求 EAP-TLS 網路上 RADIUS 伺服器的根 CA 憑證,以及用戶端憑證和私鑰。 服務可能會將其他資訊傳遞至應用程式,例如用戶端身分識別,並視需要傳遞私鑰密碼。 接著,應用程式會在裝置上安裝用戶端憑證、用戶端私鑰和根 CA 憑證。 然後,它可以與開啟的網路中斷連線。

  3. 應用程式會設定並啟用EAP-TLS 網路。 它會提供客戶端憑證和私鑰,以證明裝置的身分識別。 如果網路支援相互驗證,應用程式也會使用根 CA 憑證來驗證 RADIUS 伺服器。

在啟動載入期間驗證裝置並取得客戶端憑證

Azure Sphere 裝置可以使用其裝置驗證和證明 (DAA) 憑證向可提供其他必要憑證的服務進行驗證。 DAA 憑證可從 Azure Sphere 安全性服務取得。

若要取得 DAA 憑證:

  1. 在高階應用程式的應用程式指令清單的DeviceAuthentication區段中指定 Azure Sphere 租使用者識別碼。
  2. 從高階應用程式呼叫 DeviceAuth_CurlSslFunc ,以取得目前 Azure Sphere 租使用者的憑證鏈結。

如果應用程式指令清單包含目前裝置的 Azure Sphere 租使用者標識碼,則如果目標服務需要 TLS 相互驗證, 則DeviceAuth_CurlSslFunc 函式會使用 DAA 用戶端憑證鏈結進行驗證。

取得RADIUS伺服器的根CA憑證

若要取得RADIUS伺服器的根CA憑證,應用程式會連線到可在其網路上存取的憑證伺服器端點,並提供憑證。 您的網路管理員應該能夠提供有關如何連線到端點及擷取憑證的資訊。

使用 CertStore API 安裝憑證

應用程式會使用 CertStore API 將憑證安裝到裝置上。 CertStore_InstallClientCertificate函式會安裝用戶端憑證,CertStore_InstallRootCACertificate安裝 RADIUS 伺服器的根 CA 憑證。 在高階應用程式中 管理憑證,提供有關使用 CertStore API 進行憑證管理的其他資訊。

憑證 範例應用程式 會顯示應用程式如何使用這些函式。