使用 EAP-TLS
Azure 球體支援使用可擴展驗證 Protocol-Transport 層安全性 (EAP-TLS) 來連線至 Wi-Fi 網路。 乙太網路不支援 EAP-TLS。
適用于 Wi-Fi 的 EAP-TLS 是安全性案例中常見的驗證方法。 它提供的安全性遠比將 SSID 密碼當做全域機密更安全,但還需要做額外的工作,以確保 Azure 球體裝置和網路已正確設定和驗證。
EAP-TLS 通訊協定規格詳述于 RFC 5216。 Azure 球體 OS 不會直接實作 EAP-TLS 通訊協定;而是納入實作通訊協定的開放原始碼wpa_supplicant元件。
術語
存取點 (AP) : 可讓其他 Wi-Fi 裝置連線到有線網路的網路硬體裝置。
證書: 公開金鑰和其他由 CA 簽署的中繼資料。
憑證授權單位單位 (CA) : 簽署及發行數位憑證的實體。
CA 憑證: 這是 RADIUS 伺服器驗證憑證鏈結的根 CA 憑證。 此公開金鑰可能儲存在 Azure 球體裝置上。
用戶端憑證: 用來驗證網路的憑證和私密金鑰。 用戶端憑證及其配對的私人金鑰會儲存在 Azure 球體裝置上。
按鍵配對: 一組以密碼編譯方式系結的金鑰。 在許多情況下,按鍵組合代表公開金鑰和私密金鑰;不過,在 Azure 球體 EAP-TLS 案例中, 金鑰組 會指出用戶端憑證及其私密金鑰。
私密金鑰: 不可公開至任何實體的金鑰,但受信任的擁有者除外。
公開金鑰基礎結構 (PKI) : 建立、管理、發佈、使用、儲存及撤銷數位憑證及管理公開金鑰加密所需的角色、原則、硬體、軟體和程式集。
REMOTE Authentication Dial-in User Service (RADIUS) : 在埠 1812 上運作的網路通訊協定,為連線並使用網路服務的使用者提供集中式驗證、授權和會計 (AAA 或 Triple A) 管理。 RADIUS 伺服器會從用戶端接收驗證資料、進行驗證,然後啟用其他網路資源的存取權。
Rivest–Shamir-Adleman (RSA) : 以 RFC 3447) 為基礎的公開金鑰加密系統。
Supplicant: 無線用戶端。 Azure 球體裝置是油取物。
EAP-TLS 驗證概觀
下圖摘要說明 Azure 球體裝置使用 EAP-TLS 通訊協定進行驗證的程式。
當 Azure 球體裝置需要存取網路資源時,它會連絡無線存取點 (AP) 。 收到要求時,AP 會要求裝置的身分識別,然後連絡 RADIUS 伺服器以啟動驗證程式。 存取點與裝置之間的通訊使用 EAP 封裝在 LAN (EAPOL) 通訊協定。
存取點會將 EAPOL 郵件重新編碼為 RADIUS 格式,並將它們傳送到 RADIUS 伺服器。 RADIUS 伺服器在埠 1812 上提供網路的驗證服務。 Azure 球體裝置和 RADIUS 伺服器會透過存取點執行驗證程式,將郵件轉送到另一個存取點。 驗證完成時,RADIUS 伺服器會傳送狀態訊息給裝置。 如果驗證成功,伺服器會開啟 Azure 球體裝置的埠。
成功驗證之後,Azure 球體裝置就可以存取其他網路和網際網路資源。
伺服器驗證
伺服器驗證是共同 EAP-TLS 驗證的第一個步驟。 在共同驗證中,不僅 RADIUS 伺服器會驗證裝置,而且裝置會驗證服務器。 伺服器驗證並非嚴格要求,但我們強烈建議您設定網路和裝置以進行支援。 伺服器驗證有助於確保虛設或冒名頂端伺服器無法危害網路安全性。
若要啟用伺服器驗證,您的 RADIUS 伺服器必須具備由 CA 簽署的伺服器驗證憑證。 伺服器驗證憑證是伺服器憑證鏈結末端的「葉子」,其中可能包含中繼 CA,最後會在 Root CA 中終止。
當裝置要求存取時,伺服器會將整個憑證鏈鏈傳送至裝置。 Azure 球體不會在伺服器驗證憑證或鏈鏈上強制執行時間驗證檢查,因為裝置必須經過網路驗證後,才能將作業系統時間同步處理至有效的時間來源。 如果裝置設定為信任符合伺服器 Root CA 的 Root CA,則會驗證服務器的身分識別。 如果裝置沒有相符的 Root CA,伺服器驗證會失敗,且裝置將無法存取網路資源。 您必須能如更新 Root CA 憑證中所述,不時更新裝置上的 RootCA。
裝置驗證
伺服器驗證完成後,裝置會傳送其用戶端憑證以建立其認證。 裝置也可能通過用戶端識別碼。 用戶端識別碼是某些網路在驗證時可能需要的選擇性資訊。
根據您特定網路的設定方式,成功裝置驗證的特定需求可能會有所不同。 網路系統管理員可能需要其他資訊,以證明您的 Azure 球體裝置是否有效。 無論設定為何,您都必須能夠如更新用戶端憑證中所述,不時更新裝置 憑證。
Azure 球體 EAP-TLS 平臺
Azure 球體 EAP-TLS 平臺提供下列網路設定和管理功能:
- 載入 。包含裝置用戶端憑證和 Wi-Fi EAP-TLS 連線專用私密金鑰的 PEM 檔案。
- 將 Wi-Fi 介面設定為使用 EAP-TLS。 ..包含裝置用戶端憑證的 PEM 檔案必須在裝置上顯示。
- 連線到現有的非 EAP-TLS 網路以取得裝置憑證和私密金鑰、啟用 EAP-TLS 網路,以及連線到 EAP-TLS 網路。
- 讓應用程式使用裝置驗證和證明 (DAA) 憑證用於 HTTPS 聯 機以驗證至憑證存放區。
- WifiConfig API 以管理 Wi-Fi 網路。
- 認證 API 以管理憑證。
所有其他 EAP-TLS 網路元件由本機網路系統管理員負責。
EAP-TLS 網路設定
EAP-TLS 網路的設定是由您的網路系統管理員負責。 網路系統管理員必須定義 PKI () 的公開金鑰基礎結構,並確保所有網路元件都符合其原則。 網路設定和設定包含但不限於下列工作:
- 設定 RADIUS 伺服器、取得並安裝其 CA 憑證,以及建立裝置的準則以證明其身分識別。
- 使用 RADIUS 伺服器的根 CA 來設定 Azure 球體裝置,以便驗證服務器。
- 取得每個裝置的用戶端憑證和私密金鑰,並將它們載入到裝置上。
EAP-TLS 憑證取得與部署 說明如何在各種網路案例中取得及部署憑證。
用戶端驗證的憑證和私密金鑰必須以 PEM 格式提供。 私密金鑰可在 PKCS1 或 PKCS8 語法中提供,或不含私密金鑰的對稱金鑰密碼。 根 CA 憑證也必須以 PEM 格式提供。
下表列出為 Azure 球體設定 EAP-TLS 網路所用的資訊。
| 專案 | 描述 | 細節 |
|---|---|---|
| 用戶端憑證 | 包含用戶端憑證公開金鑰的已簽署 CA 憑證。 必填。 | 大小上限:8 KiB 識別碼字串的長度上限:16 個字元 |
| 用戶端私密金鑰 | 與用戶端憑證配對的私人金鑰。 必填。 | 大小上限:8 Kib RSA 受支援;不支援 ECC 金鑰 |
| 用戶端私密金鑰密碼 | 用來加密用戶端私密金鑰的密碼。 選。 | 最小大小:1 位元組 大小上限:256 位元組 空字串和 Null 字串會解譯為相同 |
| 用戶端識別碼 | 傳遞至 RADIUS 伺服器的 ASCII 字串,並提供裝置的其他相關資訊。 某些 EAP-TLS 網路需要。 | 大小上限:254 位元組 格式: user@domainname.com |
| 根 CA 憑證 | RADIUS 伺服器驗證憑證的根 CA 憑證。 必須在每個裝置上設定。 選擇性但強烈建議;請洽詢您的網路系統管理員。 | 大小上限:8 KiB 識別碼字串的長度上限:16 個字元 |
重要
您負責所有網路的 PKI 和 RADIUS 伺服器設定,包括管理憑證到期日。