從 CLI 設定 EAP-TLS 網路
若要使用 az 球域命令設定 EAP-TLS 網路,您需要網路 RADIUS 伺服器的 Root CA 憑證和裝置的用戶端憑證。 憑證必須是 PKCS1 或 PKCS8 語法中的 .pem 格式。 請參閱 取得及部署 EAP-TLS 網路的憑 證,以瞭解憑證以及可從何處取得憑證。 您可以在 Linux 和適用于 Linux 的 Windows 子系統上,使用 OpenSSL 將 PFX 檔案轉換為 .pem 格式。
謹慎
由於憑證識別碼是全系統,Az 球形命令或新增新憑證的函數呼叫可能會覆寫先前命令或函數呼叫所新增的憑證,而可能導致網路連線失敗。 我們強烈建議您開發清楚的憑證更新程式,並謹慎選擇憑證識別碼。
如需Azure 球體如何使用憑證識別碼的詳細資訊,請參閱憑證識別碼。
請依照下列步驟,從命令列設定網路。
步驟 1. 在裝置上安裝用戶端憑證
如果您的網路需要,請安裝用戶端憑證資訊,包括公用憑證、私密金鑰和密碼。 使用 az 球形裝置憑證新增 命令搭配下列參數:
| 參數 | 類型 | 描述 | 支援的版本 |
|---|---|---|---|
| -c,--憑證 | 字串 | 指定要新增之用戶端憑證的識別碼。 字串識別碼 (最多 16 個字元) 。 有效的字元包括 A-Z) (大寫字母、小寫字母 (a-z) 、數位 (0-9) 、底線 (_) 、句號 (.) ,以及連字號 (-) 。 此識別碼也用於 EAP-TLS 網路的 Wi-Fi 組態。 | Azure 球體 CLI |
| --cert-type | 字串 | 指定要新增的用戶端憑證類型。 輸入「用戶端」。 | Azure 球體 CLI |
| --private-key-file | 字串 | 指定用戶端私密金鑰憑證 .pem 檔案的路徑。 新增類型為「用戶端」的憑證時是必要的。 您可以提供相對或絕對路徑。 | Azure 球體 CLI |
| -w, --private-key-password | 字串 | 指定用戶端私密金鑰的選擇性密碼。 新增加密的用戶端憑證私密金鑰時,需要密碼。 | Azure 球體 CLI |
例如:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
若要新增用戶端憑證,每個網路都必須有公開金鑰檔案路徑和私密金鑰檔案路徑。 只有在私密金鑰加密時,您才需要私密金鑰密碼;請洽詢您的網路系統管理員。
步驟 2. 安裝 Root CA 憑證
如果您的網路需要共同驗證,請為您的 RADIUS 伺服器安裝 Root CA 憑證。 使用 az 球形裝置憑證新增 命令搭配下列參數:
| 參數 | 類型 | 描述 | 支援的版本 |
|---|---|---|---|
| -c,--憑證 | 字串 | 指定要新增之根 CA 憑證的識別碼。 字串識別碼 (最多 16 個字元) 。 有效的字元包括 A-Z) (大寫字母、小寫字母 (a-z) 、數位 (0-9) 、底線 (_) 、句號 (.) ,以及連字號 (-) 。 此識別碼也用於 EAP-TLS 網路的 Wi-Fi 組態。 | Azure 球體 CLI |
| --cert-type | 字串 | 指定要新增的根 CA 憑證。 輸入 「rootca」。 | Azure 球體 CLI |
| --private-key-file | 字串 | 指定 Rootca 私密金鑰憑證 .pem 檔案的路徑。 您可以提供相對或絕對路徑。 | Azure 球體 CLI |
例如:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
步驟 3. 新增 Wi-Fi 網路
安裝憑證之後,請在裝置上新增 EAP-TLS 網路。 使用 az 球形裝置 wifi 新增 命令搭配下列參數:
| 參數 | 類型 | 描述 | 支援的版本 |
|---|---|---|---|
| -s,--ssid | 字串 | 指定網路的 SSID。 網路 SSID 會區分大小寫。 | Azure 球體 CLI |
| --client-cert-id | 字串 | [EAP-TLS]指定識別碼 (最多 16 個字元,) 可識別包含公用和私密金鑰) 的用戶端憑證 (。 需要設定 EAP-TLS 網路。 | Azure 球體 CLI |
| --client-id < user@domain> | 字串 | [EAP-TLS]指定網路的 RADIUS 伺服器可辨識驗證的識別碼。 | Azure 球體 CLI |
| --config-name | 字串 | 指定最多 16 個字元 (字串,) 指定網路設定的名稱。 | Azure 球體 CLI |
| --root-ca-cert-id | 字串 | [EAP-tLS]指定識別碼 (最多 16 個字元) 可識別裝置驗證服務器之 EAP-TLS 網路的伺服器根 CA 憑證。 | Azure 球體 CLI |
例如:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
步驟 4. 重載網路設定
安裝憑證並設定 EAP-TLS 網路之後,您必須重載網路設定,以確保它使用憑證存放區的最新內容。 使用 az 球形裝置 wifi 重載設定 命令。
例如:
az sphere device wifi reload-config
步驟 5. 確認網路已連線
若要確認您的裝置已連線到網路,請使用 az 球形裝置 wifi 顯示狀態 命令。 檢查輸出結果,以查看您建立的網路已列出、已啟用和連線。
az sphere device wifi show-status
az 球形裝置 wifi 顯示命令會顯示特定網路的詳細資料。 使用此命令搭配 --id 參數列出為網路設定的用戶端憑證、根 CA 憑證和用戶端身分識別。 例如:
az sphere device wifi show --id 1