Tanúsítványok beszerzése és üzembe helyezése EAP-TLS-hálózatokhoz

Ahhoz, hogy egy Azure Sphere-eszköz csatlakozni tud egy EAP-TLS-hálózathoz, rendelkeznie kell egy ügyféltanúsítvánnyal, amelyet a RADIUS-kiszolgáló használhat az eszköz hitelesítéséhez. Ha a hálózat kölcsönös hitelesítést igényel, minden eszköznek rendelkeznie kell egy legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal, hogy hitelesíteni tudja a RADIUS-kiszolgálót.

A tanúsítványok beszerzésének és üzembe helyezésének menete az eszközök számára elérhető hálózati erőforrásoktól függ.

• Ha az EAP-TLS-hálózat az egyetlen elérhető hálózat, manuálisan kell üzembe helyeznie a tanúsítványokat.
• Ha elérhető egy másik hálózatkezelési mód, például egy nyitott hálózat, használhatja a "bootstrap" megközelítést. A rendszerindítási megközelítésben egy magas szintű Azure Sphere-alkalmazás beszerzi a tanúsítványokat a nyílt hálózatról, majd az EAP-TLS-hálózathoz való csatlakozáshoz használja őket.

Figyelem

Mivel a tanúsítványazonosítók rendszerszintűek, az az sphere-parancsok vagy új tanúsítványt hozzáadó függvényhívások felülírhatnak egy korábbi parancs- vagy függvényhívás által hozzáadott tanúsítványt, ami hálózati kapcsolati hibákat okozhat. Határozottan javasoljuk, hogy dolgozzon ki egyértelmű tanúsítványfrissítési eljárásokat, és körültekintően válassza ki a tanúsítványazonosítókat. Részletekért lásd: Tanúsítványazonosítók .

Manuális üzembe helyezés

Ha az eszközök számára csak az EAP-TLS-hálózat érhető el, manuálisan kell üzembe helyeznie a tanúsítványokat. A manuális üzembe helyezés magában foglalja a tanúsítványok beszerzését egy hálózati PC-vel vagy Linux rendszerű géppel, majd a tanúsítványokat minden Azure Sphere-eszközre betölti az Azure Sphere CLI használatával. Ehhez a megközelítéshez fizikai kapcsolatra van szükség a PC- vagy Linux-gép és az Azure Sphere-eszköz között.

A tanúsítványok manuális beszerzése

A legfelső szintű hitelesítésszolgáltatónak és az ügyféltanúsítványoknak a fájlban kell lenniük. PEM-formátum az Azure Sphere-eszközre való betöltéshez. Be kell szereznie a legfelső szintű hitelesítésszolgáltató tanúsítványát a megfelelő kiszolgálóról, valamint az eszköz ügyféltanúsítványát és titkos kulcsát (és opcionálisan a titkos kulcs jelszavát). Minden tanúsítványt az EAP-TLS-hálózat megfelelő kiszolgálójának kell létrehoznia és aláírnia. A hálózati rendszergazda vagy a biztonsági csapat megadhatja a tanúsítványok beszerzéséhez szükséges adatokat.

Mentse a tanúsítványokat a fájlba. PEM-formátum a PC-n vagy Linux rendszerű gépen, majd az Azure Sphere CLI használatával tárolja őket az Azure Sphere-eszközön.

A tanúsítványok tárolása a parancssori felület használatával

Csatolja az Azure Sphere-eszközt a hálózati PC-hez vagy Linux-géphez, és az az sphere paranccsal tárolja a tanúsítványokat az eszközön.

A legfelső szintű hitelesítésszolgáltatói tanúsítvány tárolása az Azure Sphere-eszközön:

az sphere device certificate add --certificate "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Az ügyféltanúsítvány tárolása az Azure Sphere-eszközön:

az sphere device certificate add --certificate "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Bootstrap üzembe helyezése

Az Azure Sphere-eszközök nagy számban vagy számos helyen való csatlakoztatásához fontolja meg a "bootstrap" megközelítés használatát. A módszer használatához az eszközöknek olyan hálózathoz kell csatlakozniuk, amelyen keresztül hozzáférhetnek a tanúsítványokat szolgáltató kiszolgálóhoz. A magas szintű Azure Sphere-alkalmazás a rendelkezésre álló hálózaton keresztül csatlakozik a kiszolgálóhoz, kéri a tanúsítványokat, és tárolja őket az eszközön.

Az alábbi ábra összefoglalja ezt a folyamatot.

1. Az Azure Sphere-eszközön lévő alkalmazás csatlakozik a nyitott hálózathoz, és kapcsolatba lép az Azure Sphere biztonsági szolgáltatással a DAA-tanúsítvány beszerzéséhez. Ezután telepíti a DAA-tanúsítványt az eszközön. Az eszköznek ezt a tanúsítványt kell használnia a tanúsítványkibocsátó szolgáltatással való hitelesítéshez.

2. Az alkalmazás ezután a hálózati rendszergazda által kijelölt tanúsítványkibocsátó szolgáltatáshoz csatlakozik. Bemutatja a DAA-tanúsítványát az identitásának a kiszolgálóval való érvényesítéséhez, és lekéri a FŐ HITELESÍTÉSSZOLGÁLTATÓ tanúsítványát az EAP-TLS-hálózaton lévő RADIUS-kiszolgálóhoz, valamint az ügyféltanúsítványt és a titkos kulcsot. A szolgáltatás más adatokat is átadhat az alkalmazásnak, például az ügyfélidentitást és szükség esetén a titkos kulcs jelszavát. Az alkalmazás ezután telepíti az ügyféltanúsítványt, az ügyfél titkos kulcsát és a legfelső szintű hitelesítésszolgáltatói tanúsítványt az eszközön. Ezután leválaszthatja a kapcsolatot a nyitott hálózatról.

3. Az alkalmazás konfigurálja és engedélyezi az EAP-TLS hálózatot. Biztosítja az ügyféltanúsítványt és a titkos kulcsot az eszköz személyazonosságának igazolásához. Ha a hálózat támogatja a kölcsönös hitelesítést, az alkalmazás a FŐ HITELESÍTÉSSZOLGÁLTATÓ tanúsítványával is hitelesíti a RADIUS-kiszolgálót.

Az eszköz hitelesítése és az ügyféltanúsítvány lekérése a rendszerindítás során

Az Azure Sphere-eszközök az eszközhitelesítési és -igazolási (DAA-) tanúsítványával hitelesíthetik magukat egy olyan szolgáltatásban, amely képes a többi szükséges tanúsítvány megadására. A DAA-tanúsítvány az Azure Sphere biztonsági szolgáltatásban érhető el.

A DAA-tanúsítvány lekérése:

1. Adja meg az Azure Sphere (örökölt) bérlőazonosítóját a magas szintű alkalmazás alkalmazásjegyzékének DeviceAuthentication szakaszában.
2. Hívja meg DeviceAuth_CurlSslFunc a magas szintű alkalmazásból az aktuális Azure Sphere-katalógus tanúsítványláncának lekéréséhez.

Ha az alkalmazásjegyzék tartalmazza az aktuális eszköz Azure Sphere- (örökölt) bérlőazonosítóját, a DeviceAuth_CurlSslFunc függvény a DAA-ügyféltanúsítvány-láncot fogja használni a hitelesítéshez, ha a célszolgáltatás TLS kölcsönös hitelesítést igényel.

A RADIUS-kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványának lekérése

A RADIUS-kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványának lekéréséhez az alkalmazás csatlakozik egy tanúsítványkiszolgáló végpontjához, amely elérhető a hálózatán, és meg tudja adni a tanúsítványt. A hálózati rendszergazdának meg kell tudnia adni a végponthoz való csatlakozással és a tanúsítvány lekérésével kapcsolatos információkat.

A tanúsítványok telepítése a CertStore API használatával

Az alkalmazás a CertStore API-val telepíti a tanúsítványokat az eszközre. A CertStore_InstallClientCertificate függvény telepíti az ügyféltanúsítványt , és CertStore_InstallRootCACertificate telepíti a RADIUS-kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványát. A tanúsítványok magas szintű alkalmazásokban való kezelése további információt nyújt a CertStore API tanúsítványkezeléshez való használatáról.

A Tanúsítványok mintaalkalmazás bemutatja, hogyan használhatja az alkalmazás ezeket a függvényeket.