從 CLI 設定 EAP-TLS 網路
重要
這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。
若要使用 azsphere 命令來設定 EAP-TLS 網路,您需要網路的 RADIUS 伺服器跟證書和裝置的用戶端憑證。 憑證必須採用 PKCS1 或 PKCS8 語法的 .pem 格式。 請參閱 取得和部署 EAP-TLS 網路的 憑證,以了解憑證及其取得位置。 您可以使用 OpenSSL,將 PFX 檔案轉換成 Linux 和適用於 Linux 的 Windows 子系統上的 .pem 格式。
警告
因為憑證標識碼是全系統,因此新增憑證的 azsphere 命令或函式呼叫可能會覆寫先前命令或函數調用所新增的憑證,可能會導致網路連線失敗。 強烈建議您開發明確的憑證更新程式,並仔細選擇憑證標識碼。
如需 Azure Sphere 如何使用憑證標識碼的詳細資訊,請參閱 憑證 標識碼。
請遵循下列步驟,從命令行設定網路。
步驟 1: 在裝置上安裝客戶端憑證
如果您的網路上需要,請安裝客戶端憑證資訊,包括公開憑證和私鑰和密碼。 使用 azsphere device certificate add 命令搭配下列參數:
| 參數 | 類型 | 描述 | 支援的版本 |
|---|---|---|---|
| -i, --cert-id | String | 指定要新增之客戶端憑證的識別碼。 字串標識碼(最多 16 個字元)。 有效字元包括大寫字母(A-Z)、小寫字母(a-z)、數位(0-9)、底線(_)、句號(.)和連字元(-)。 此標識碼也會用於 EAP-TLS 網路的 Wi-Fi 設定中。 | Azure Sphere CLI |
| --cert-type | String | 指定要新增的客戶端憑證類型。 輸入 「client」。 | Azure Sphere CLI |
| --private-key-file | String | 指定客戶端私鑰憑證 .pem 檔案的路徑。 新增類型為 「client」 的憑證時,為必要專案。 您可以提供相對或絕對路徑。 | Azure Sphere CLI |
| -w, --private-key-password | String | 指定客戶端私密的選擇性密碼。 新增加密的用戶端憑證私鑰時,需要密碼。 | Azure Sphere CLI |
例如:
azsphere device certificate add --cert-id myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
若要新增客戶端憑證,每個網路上都需要公鑰檔案路徑和私鑰檔案路徑。 只有在私鑰已加密時,才需要私鑰密碼;請洽詢您的網路管理員。
步驟 2。 安裝根 CA 憑證
如果您的網路需要相互驗證,請安裝RADIUS伺服器的根CA憑證。 使用 azsphere device certificate add 命令搭配下列參數:
| 參數 | 類型 | 描述 | 支援的版本 |
|---|---|---|---|
| -i, --cert-id | String | 指定要新增之根 CA 憑證的標識碼。 字串標識碼(最多 16 個字元)。 有效字元包括大寫字母(A-Z)、小寫字母(a-z)、數位(0-9)、底線(_)、句號(.)和連字元(-)。 此標識碼也會用於 EAP-TLS 網路的 Wi-Fi 設定中。 | Azure Sphere CLI |
| --cert-type | String | 指定要新增的根 CA 憑證。 輸入 「rootca」。 | Azure Sphere CLI |
| --private-key-file | String | 指定 rootca 私鑰憑證 .pem 檔案的路徑。 您可以提供相對或絕對路徑。 | Azure Sphere CLI |
例如:
azsphere device certificate add --cert-id myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
步驟 3: 新增Wi-Fi網路
安裝憑證之後,請在裝置上新增EAP-TLS 網路。 使用 azsphere device wifi add 命令搭配下列參數:
| 參數 | 類型 | 描述 | 支援的版本 |
|---|---|---|---|
| -s、-ssid | String | 指定網路的 SSID。 網路 SSD 會區分大小寫。 | Azure Sphere CLI |
| --client-cert-id | String | [EAP-TLS]指定識別客戶端憑證的識別碼 (最多 16 個字元)(包含公開和私鑰)。 設定 EAP-TLS 網路的必要專案。 | Azure Sphere CLI |
| --client-id <user@domain> | String | [EAP-TLS]指定由網路RADIUS伺服器辨識用於驗證的識別碼。 | Azure Sphere CLI |
| --config-name | String | 指定指定網路組態名稱的字串(最多 16 個字元)。 | Azure Sphere CLI |
| --root-ca-cert-id | String | [EAP-tLS]指定標識元(最多 16 個字元),以識別裝置驗證伺服器之 EAP-TLS 網路的根 CA 憑證。 | Azure Sphere CLI |
例如:
azsphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
步驟 4. 重載網路設定
安裝憑證並設定 EAP-TLS 網路之後,您必須重載網路組態,以確保其使用證書存儲的最新內容。 使用 azsphere device wifi reload-config 命令。
例如:
azsphere device wifi reload-config
步驟 5: 確認網路已連線
若要確認您的裝置已連線到網路,請使用 azsphere device wifi show-status 命令。 檢查輸出,以查看您所建立的網路已列出、啟用和連線。
azsphere device wifi show-status
azsphere device wifi show 命令會顯示特定網路的詳細數據。 使用此命令搭配 --id 參數來列出針對網路設定的客戶端憑證、跟證書和用戶端身分識別。 例如:
azsphere device wifi show --id 1
azsphere device wifi show-status
----- ------------------ --------------- ------------- --------- ------- ------------- --------- ------------- -----------------
SSID ConfigurationState ConnectionState SecurityState Frequency Mode KeyManagement WpaState IpAddress MacAddress
================================================================================================================================
<value> enabled connected psk 2412 station WPA2-PSK COMPLETED <value> <value>
----- ------------------ --------------- ------------- --------- ------- ------------- --------- ------------- -----------------