Utiliser EAP-TLS
Azure Sphere prend en charge l’utilisation d’EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) pour se connecter à des réseaux Wi-Fi. EAP-TLS n’est pas pris en charge sur Ethernet.
EAP-TLS pour Wi-Fi est une méthode d’authentification courante dans les scénarios axés sur la sécurité. Il offre une sécurité nettement plus grande que l’utilisation du mot de passe SSID comme secret global, mais nécessite un travail supplémentaire pour s’assurer que l’appareil Azure Sphere et le réseau sont correctement configurés et authentifiés.
La spécification du protocole EAP-TLS est détaillée dans RFC 5216. Le système d’exploitation Azure Sphere n’implémente pas directement le protocole EAP-TLS ; au lieu de cela, il incorpore un composant wpa_supplicant open source qui implémente le protocole.
Terminologie
Point d’accès (AP) : Appareil de mise en réseau qui permet à d’autres appareils Wi-Fi de se connecter à un réseau câblé.
Certificat: Une clé publique et d’autres métadonnées signées par une autorité de certification.
Autorité de certification : Entité qui signe et émet des certificats numériques.
Certificat d’autorité de certification : Certificat d’autorité de certification racine auquel le certificat d’authentification du serveur RADIUS est lié. Cette clé publique peut être stockée sur l’appareil Azure Sphere.
Certificat client : Certificat et clé privée utilisés pour l’authentification auprès du réseau. Le certificat client et sa clé privée jumelée sont stockés sur l’appareil Azure Sphere.
Paire de clés : Ensemble de clés lié au chiffrement. Dans de nombreux scénarios, une paire de clés signifie une clé publique et une clé privée ; Toutefois, dans le scénario EAP-TLS Azure Sphere, la paire de clés indique le certificat client et sa clé privée.
Clé privée : Clé qui ne doit être exposée à aucune entité à l’exception du propriétaire approuvé.
Infrastructure à clé publique (PKI) : Ensemble de rôles, de stratégies, de matériel, de logiciels et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et gérer le chiffrement à clé publique.
Service radius (Remote Authentication Dial-In User Service) : Un protocole réseau qui fonctionne sur le port 1812 et fournit une gestion centralisée de l’authentification, de l’autorisation et de la comptabilité (AAA ou Triple A) pour les utilisateurs qui se connectent à un service réseau et utilisent ce service. Un serveur RADIUS reçoit les données d’authentification d’un client, les valide, puis active l’accès à d’autres ressources réseau.
Rivest–Shamir–Adleman (RSA) : Système de chiffrement à clé publique basé sur RFC 3447).
Supplicant: Client sans fil. L’appareil Azure Sphere est un supplicant.
Vue d’ensemble de l’authentification EAP-TLS
Le diagramme suivant résume le processus par lequel un appareil Azure Sphere utilise le protocole EAP-TLS pour s’authentifier.
Lorsqu’un appareil Azure Sphere a besoin d’accéder à une ressource réseau, il contacte un point d’accès sans fil (AP). Lors de la réception de la demande, l’AP demande l’identité de l’appareil, puis contacte le serveur RADIUS pour lancer le processus d’authentification. Les communications entre le point d’accès et l’appareil utilisent le protocole EAPOL (Encapsulation OVER LAN) EAP.
Le point d’accès encode les messages EAPOL au format RADIUS et les envoie au serveur RADIUS. Le serveur RADIUS fournit des services d’authentification pour le réseau sur le port 1812. L’appareil Azure Sphere et le serveur RADIUS effectuent le processus d’authentification via le point d’accès, qui relaie les messages de l’un à l’autre. Une fois l’authentification terminée, le serveur RADIUS envoie un message status à l’appareil. Si l’authentification réussit, le serveur ouvre le port pour l’appareil Azure Sphere.
Une fois l’authentification réussie, l’appareil Azure Sphere peut accéder à d’autres ressources réseau et Internet.
L’authentification du serveur et l’authentification de l’appareil décrivent le processus d’authentification plus en détail.
Authentification du serveur
L’authentification serveur est la première étape de l’authentification EAP-TLS mutuelle. Dans l’authentification mutuelle, non seulement le serveur RADIUS authentifie l’appareil, mais l’appareil authentifie le serveur. L’authentification du serveur n’est pas strictement requise, mais nous vous recommandons vivement de configurer votre réseau et vos appareils pour la prendre en charge. L’authentification du serveur permet de s’assurer qu’un serveur non autorisé ou imposteur ne peut pas compromettre la sécurité du réseau.
Pour activer l’authentification du serveur, votre serveur RADIUS doit disposer d’un certificat d’authentification serveur signé par une autorité de certification. Le certificat d’authentification serveur est une « feuille » à la fin de la chaîne de certificats du serveur, qui peut éventuellement inclure une autorité de certification intermédiaire et se termine finalement dans une autorité de certification racine.
Lorsqu’un appareil demande l’accès, le serveur envoie l’intégralité de sa chaîne de certificats à l’appareil. Azure Sphere n’applique pas de vérifications de validation de l’heure sur le certificat ou la chaîne d’authentification du serveur, car l’appareil ne peut pas synchroniser l’heure du système d’exploitation avec une source de temps valide tant qu’il ne s’est pas authentifié sur le réseau. Si l’appareil est configuré pour approuver une autorité de certification racine qui correspond à l’autorité de certification racine du serveur, il valide l’identité du serveur. Si l’appareil n’a pas d’autorité de certification racine correspondante, l’authentification du serveur échoue et l’appareil ne peut pas accéder aux ressources réseau. Vous devez être en mesure de mettre à jour rootCA sur l’appareil de temps à autre, comme décrit dans Mettre à jour un certificat d’autorité de certification racine.
Authentification de l’appareil
Une fois l’authentification du serveur terminée, l’appareil envoie son certificat client pour établir ses informations d’identification. L’appareil peut également passer un ID client. L’ID client est des informations facultatives dont certains réseaux peuvent avoir besoin pour l’authentification.
Les exigences spécifiques pour une authentification d’appareil réussie peuvent varier en fonction de la configuration de votre réseau particulier. L’administrateur réseau peut avoir besoin d’informations supplémentaires pour prouver la validité de vos appareils Azure Sphere. Quelle que soit la configuration, vous devez être en mesure de mettre à jour le certificat d’appareil de temps à autre, comme décrit dans Mettre à jour un certificat client.
Plateforme EAP-TLS Azure Sphere
La plateforme EAP-TLS Azure Sphere fournit les fonctionnalités suivantes pour la configuration et la gestion du réseau :
- Chargez un . Fichier PEM qui contient le certificat client et la clé privée de l’appareil pour Wi-Fi connexions EAP-TLS.
- Configurez l’interface Wi-Fi pour utiliser EAP-TLS. Lla. Le fichier PEM qui contient le certificat client de l’appareil doit être présent sur l’appareil.
- Connectez-vous à un réseau non-EAP-TLS existant pour obtenir un certificat d’appareil et une clé privée, activer un réseau EAP-TLS et vous connecter au réseau EAP-TLS.
- Permettre aux applications d’utiliser le certificat d’authentification et d’attestation d’appareil (DAA) utilisé pour les connexions HTTPS afin de s’authentifier auprès d’un magasin de certificats.
- API WifiConfig pour gérer les réseaux Wi-Fi.
- API Certstore pour gérer les certificats.
Tous les autres composants réseau EAP-TLS relèvent de la responsabilité de l’administrateur de réseau local.
Configuration du réseau EAP-TLS
La configuration du réseau EAP-TLS incombe à votre administrateur réseau. L’administrateur réseau doit définir l’infrastructure à clé publique (PKI) et s’assurer que tous les composants réseau sont conformes à ses stratégies. L’installation et la configuration réseau incluent, sans s’y limiter, les tâches suivantes :
- Configurez le serveur RADIUS, acquérez et installez son certificat d’autorité de certification, puis définissez les critères pour qu’un appareil prouve son identité.
- Configurez vos appareils Azure Sphere avec l’autorité de certification racine du serveur RADIUS afin qu’ils puissent authentifier le serveur.
- Acquérir un certificat client et une clé privée pour chaque appareil et les charger sur l’appareil.
L’acquisition et le déploiement de certificats EAP-TLS expliquent comment acquérir et déployer des certificats dans différents scénarios de mise en réseau.
Le certificat et la clé privée pour l’authentification du client doivent être fournis au format PEM. La clé privée peut être fournie dans la syntaxe PKCS1 ou PKCS8, avec ou sans mot de passe de clé symétrique pour la clé privée. Le certificat d’autorité de certification racine doit également être fourni au format PEM.
Le tableau suivant répertorie les informations utilisées pour configurer un réseau EAP-TLS pour Azure Sphere.
| Article | Description | Détails |
|---|---|---|
| Certificat client | Certificat d’autorité de certification signé qui contient la clé publique pour le certificat client. Obligatoire. | Taille maximale : 8 Kio Longueur maximale de la chaîne d’identificateur : 16 caractères |
| Clé privée du client | Clé privée associée au certificat client. Obligatoire. | Taille maximale : 8 Kib RSA pris en charge ; Les clés ECC ne sont pas prises en charge |
| Mot de passe de la clé privée du client | Mot de passe utilisé pour chiffrer la clé privée du client. Optionnel. | Taille minimale : 1 octet Taille maximale : 256 octets Chaîne vide et chaîne null sont interprétés comme les mêmes |
| Client ID | Chaîne ASCII transmise au serveur RADIUS et fournissant des informations supplémentaires sur l’appareil. Requis par certains réseaux EAP-TLS. | Taille maximale : 254 octets Format: user@domainname.com |
| Certificat d’autorité de certification racine | Certificat d’autorité de certification racine du certificat d’authentification du serveur RADIUS. Doit être configuré sur chaque appareil. Facultatif mais fortement recommandé ; case activée avec votre administrateur réseau. | Taille maximale : 8 Kio Longueur maximale de la chaîne d’identificateur : 16 caractères |
Important
Toute la configuration du serveur PKI et RADIUS pour votre réseau, y compris la gestion de l’expiration des certificats, est de votre responsabilité.