Configurare la rete EAP-TLS da CLI
Per configurare una rete EAP-TLS utilizzando il comando az sphere, è necessario il certificato CA radice per il server RADIUS della rete e il certificato client per il dispositivo. I certificati devono essere nel formato PEM con la sintassi PKCS1 o PKCS8. Per informazioni sui certificati e su dove ottenerli, vedere Acquisire e distribuire certificati per le reti EAP-TLS . Puoi utilizzare OpenSSL per convertire un file PFX in formato .pem su Linux e nel sottosistema Windows per Linux.
Attenzione
Poiché gli ID certificato sono a livello di sistema, un comando a sfera az o una chiamata funzione che aggiunge un nuovo certificato può sovrascrivere un certificato aggiunto da una chiamata di comando o funzione precedente, causando potenzialmente errori di connessione di rete. È consigliabile sviluppare procedure di aggiornamento dei certificati chiare e scegliere con attenzione gli ID certificato.
Per altre informazioni su come Azure Sphere usa gli ID certificato, vedere ID certificato .
Seguire questa procedura per configurare la rete dalla riga di comando.
Passaggio 1. Installare il certificato client nel dispositivo
Installare le informazioni sul certificato client, inclusi il certificato pubblico, la chiave privata e la password, se necessarie nella rete. Utilizzare il comando add del certificato della sfera az con i seguenti parametri:
Parametro | Digitare | Descrizione | Versione supportata |
---|---|---|---|
-c, --certificato | Stringa | Specifica l'identificatore del certificato client da aggiungere. Identificatore di stringa (fino a 16 caratteri). I caratteri validi includono lettere maiuscole (A-Z), lettere minuscole (a-z), numeri (0-9), carattere di sottolineatura (_), punto (.) e segno meno (-). Questo identificatore viene usato anche nelle configurazioni Wi-Fi per le reti EAP-TLS. | Azure Sphere CLI |
--tipo certificato | Stringa | Specifica il tipo di certificato client da aggiungere. Immetti "client". | Azure Sphere CLI |
--private-key-file | Stringa | Specifica il percorso di un file PEM del certificato chiave privata client. Obbligatorio quando si aggiunge un certificato di tipo "client". È possibile fornire un percorso relativo o assoluto. | Azure Sphere CLI |
-w, --private-key-password | Stringa | Specifica una password facoltativa per la chiave privata client. La password è necessaria quando si aggiunge una chiave privata del certificato client crittografata. | Azure Sphere CLI |
Per esempio:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Per aggiungere un certificato client, in ogni rete sono necessari sia il percorso del file di chiave pubblica che il percorso del file di chiave privata. La password della chiave privata è necessaria solo se la chiave privata è crittografata; contatta l'amministratore di rete.
Passaggio 2. Installare il certificato CA radice
Installare il certificato CA radice per il server RADIUS, se la rete richiede l'autenticazione reciproca. Utilizzare il comando add del certificato della sfera az con i seguenti parametri:
Parametro | Digitare | Descrizione | Versione supportata |
---|---|---|---|
-c, --certificato | Stringa | Specifica l'identificatore del certificato CA radice da aggiungere. Identificatore di stringa (fino a 16 caratteri). I caratteri validi includono lettere maiuscole (A-Z), lettere minuscole (a-z), numeri (0-9), carattere di sottolineatura (_), punto (.) e segno meno (-). Questo identificatore viene usato anche nelle configurazioni Wi-Fi per le reti EAP-TLS. | Azure Sphere CLI |
--tipo certificato | Stringa | Specifica il certificato CA radice da aggiungere. Immetti "rootca". | Azure Sphere CLI |
--private-key-file | Stringa | Specifica il percorso di un file pem del certificato chiave privata rootca. È possibile fornire un percorso relativo o assoluto. | Azure Sphere CLI |
Per esempio:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Passaggio 3. Aggiungere la rete Wi-Fi
Dopo aver installato i certificati, aggiungere la rete EAP-TLS nel dispositivo. Utilizzare il comando az sphere device wifi add con i seguenti parametri:
Parametro | Digitare | Descrizione | Versione supportata |
---|---|---|---|
-s, --ssid | Stringa | Specifica l'SSID della rete. Gli SSID di rete fanno distinzione tra maiuscole e minuscole. | Azure Sphere CLI |
--id-certificato-client | Stringa | [EAP-TLS] Specifica l'identificatore (fino a 16 caratteri) che identifica il certificato client (contenente sia la chiave pubblica che quella privata). Obbligatorio per configurare una rete EAP-TLS. | Azure Sphere CLI |
--id-client <user@domain> | Stringa | [EAP-TLS] Specifica l'ID riconosciuto per l'autenticazione dal server RADIUS della rete. | Azure Sphere CLI |
--nome-configurazione | Stringa | Specifica una stringa (fino a 16 caratteri) che specifica il nome per la configurazione di rete. | Azure Sphere CLI |
--root-ca-cert-id | Stringa | [EAP-tLS] Specifica l'identificatore (fino a 16 caratteri) che identifica il certificato CA radice del server per le reti EAP-TLS in cui il dispositivo autentica il server. | Azure Sphere CLI |
Per esempio:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Passaggio 4. Ricaricare la configurazione di rete
Dopo aver installato i certificati e configurato la rete EAP-TLS, è necessario ricaricare la configurazione di rete per assicurarsi che usi il contenuto più recente dell'archivio certificati. Utilizza il comando di ricarica-configurazione wifi del dispositivo az sphere .
Per esempio:
az sphere device wifi reload-config
Passaggio 5. Verificare che la rete sia connessa
Per verificare che il dispositivo sia connesso alla rete, utilizza il comando di show-status wifi del dispositivo az sphere . Controlla l'output per vedere che la rete creata è elencata, abilitata e connessa.
az sphere device wifi show-status
Il comando show wifi del dispositivo az sphere mostra i dettagli di una particolare rete. Usare questo comando con il --id
parametro per elencare il certificato client, il certificato CA radice e l'identità client configurati per la rete. Per esempio:
az sphere device wifi show --id 1