Sdílet prostřednictvím

Získání a nasazení certifikátů pro sítě EAP-TLS

  • Článek

Aby se zařízení Azure Sphere mohlo připojit k síti EAP-TLS, musí mít klientský certifikát, který může server RADIUS použít k ověření zařízení. Pokud vaše síť vyžaduje vzájemné ověřování, každé zařízení musí mít také certifikát kořenové certifikační autority, aby bylo možné ověřit server RADIUS.

Způsob získání a nasazení těchto certifikátů závisí na síťových prostředcích, které jsou dostupné pro vaše zařízení.

  • Pokud je jediná dostupná síť EAP-TLS, budete muset certifikáty nasadit ručně.
  • Pokud je k dispozici jiná forma sítě, například otevřená síť, můžete použít metodu bootstrap. Při zaváděcím přístupu aplikace Azure Sphere vysoké úrovně získá certifikáty z otevřené sítě a pak je použije k připojení k síti EAP-TLS.

Pozor

Vzhledem k tomu, že ID certifikátů jsou pro celý systém, příkaz az sphere nebo volání funkce, které přidává nový certifikát, může přepsat certifikát přidaný dřívějším příkazem nebo voláním funkce, což může způsobit selhání síťového připojení. Důrazně doporučujeme vyvinout jasné postupy aktualizace certifikátů a pečlivě zvolit ID certifikátů. Podrobnosti najdete v tématu ID certifikátů .

Ruční nasazení

Pokud je síť EAP-TLS jedinou dostupnou sítí pro vaše zařízení, budete muset certifikáty nasadit ručně. Ruční nasazení zahrnuje získání certifikátů pomocí síťového počítače pc nebo počítače s Linuxem a následné načtení certifikátů do každého zařízení Azure Sphere pomocí Rozhraní příkazového řádku Azure Sphere. Tento přístup vyžaduje fyzické připojení mezi počítačem nebo linuxovým počítačem a zařízením Azure Sphere.

Ruční získání certifikátů

Kořenová certifikační autorita a klientské certifikáty musí být v objektu . Formát PEM, který se má načíst do zařízení Azure Sphere. Budete muset získat certifikát kořenové certifikační autority od příslušného serveru spolu s klientským certifikátem a privátním klíčem (a volitelně i heslem pro privátní klíč) pro vaše zařízení. Každý certifikát musí být vygenerován a podepsán příslušným serverem ve vaší síti EAP-TLS. Podrobnosti, které potřebujete k získání certifikátů, vám může poskytnout správce sítě nebo tým zabezpečení.

Uložte certifikáty do . Formát PEM na počítači nebo počítači s Linuxem a pak ho pomocí Rozhraní příkazového řádku Azure Sphere uložte na zařízení Azure Sphere.

Uložení certifikátů pomocí rozhraní příkazového řádku

Připojte zařízení Azure Sphere k počítači se sítí nebo počítači s Linuxem a pomocí příkazu az sphere uložte certifikáty na zařízení.

Uložení certifikátu kořenové certifikační autority do zařízení Azure Sphere:

az sphere device certificate add --certificate "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Uložení klientského certifikátu do zařízení Azure Sphere:

az sphere device certificate add --certificate "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Nasazení bootstrap

Pokud chcete zařízení Azure Sphere připojit ve velkém počtu nebo na mnoha místech, zvažte použití metody bootstrap. Pokud chcete použít tuto metodu, musí být zařízení schopná se připojit k síti, přes kterou mají přístup k serveru, který může certifikáty poskytovat. Vaše aplikace Azure Sphere vysoké úrovně se připojí k serveru přes dostupnou síť, vyžádá si certifikáty a uloží je na zařízení.

Následující obrázek shrnuje tento proces.

Tok certifikátu během nasazení bootstrap

  1. Aplikace na zařízení Azure Sphere se připojí k otevřené síti a kontaktuje službu zabezpečení Azure Sphere, aby získala certifikát DAA. Potom na zařízení nainstaluje certifikát DAA. Zařízení by mělo tento certifikát používat k ověření ve službě vydávající certifikát.

  2. Aplikace se dále připojí ke službě vydávající certifikát, kterou určil správce sítě. Předloží certifikát DAA, aby ověřil svou identitu na serveru, a vyžádá si certifikát kořenové certifikační autority pro server RADIUS v síti EAP-TLS spolu s klientským certifikátem a privátním klíčem. Služba může aplikaci předat další informace, jako je identita klienta a v případě potřeby heslo privátního klíče. Aplikace pak na zařízení nainstaluje klientský certifikát, privátní klíč klienta a certifikát kořenové certifikační autority. Pak se může odpojit od otevřené sítě.

  3. Aplikace nakonfiguruje a povolí síť EAP-TLS. Poskytne klientský certifikát a privátní klíč k prokázání identity zařízení. Pokud síť podporuje vzájemné ověřování, aplikace ověří server RADIUS také pomocí certifikátu kořenové certifikační autority.

Ověření zařízení a získání klientského certifikátu během spouštění

Zařízení Azure Sphere se může pomocí certifikátu DAA (Device Authentication and Attestation) ověřovat ve službě, která může poskytovat další požadované certifikáty. Certifikát DAA je k dispozici ve službě zabezpečení Azure Sphere.

Získání certifikátu DAA:

  1. Zadejte ID tenanta Azure Sphere (starší verze) v části DeviceAuthentication manifestu aplikace pro aplikaci vysoké úrovně.
  2. Zavolejte DeviceAuth_CurlSslFunc z aplikace vysoké úrovně a získejte řetěz certifikátů pro aktuální katalog Azure Sphere.

Pokud manifest aplikace obsahuje ID tenanta Azure Sphere (starší verze) pro aktuální zařízení, funkce DeviceAuth_CurlSslFunc použije k ověření řetěz certifikátů klienta DAA, pokud cílová služba vyžaduje vzájemné ověřování TLS.

Získání certifikátu kořenové certifikační autority pro server RADIUS

Aby aplikace získala certifikát kořenové certifikační autority pro server RADIUS, připojí se ke koncovému bodu certifikačního serveru, který je přístupný v jeho síti a může certifikát poskytnout. Správce sítě by měl být schopný poskytnout informace o tom, jak se připojit ke koncovému bodu a načíst certifikát.

Instalace certifikátů pomocí rozhraní API CertStore

Aplikace používá k instalaci certifikátů do zařízení rozhraní API CertStore . Funkce CertStore_InstallClientCertificate nainstaluje klientský certifikát a CertStore_InstallRootCACertificate nainstaluje certifikát kořenové certifikační autority pro server RADIUS. Správa certifikátů v aplikacích vysoké úrovně poskytuje další informace o použití rozhraní API CertStore pro správu certifikátů.

Ukázková aplikace Certifikáty ukazuje, jak může aplikace tyto funkce používat.