CLI から EAP-TLS ネットワークを設定する
az sphere コマンドを使用して EAP-TLS ネットワークを設定するには、ネットワークの RADIUS サーバーのルート CA 証明書とデバイスのクライアント証明書が必要です。 証明書は、PKCS1 または PKCS8 構文の .pem 形式である必要があります。 証明書とその取得場所については、「 EAP-TLS ネットワークの証明書の取得と展開 」を参照してください。 OpenSSL を使用して、Linux 上および Linux 用 Windows サブシステムで PFX ファイルを .pem 形式に変換できます。
注意
証明書 ID はシステム全体であるため、az sphere コマンドまたは新しい証明書を追加する関数呼び出しによって、以前のコマンドまたは関数呼び出しによって追加された証明書が上書きされ、ネットワーク接続エラーが発生する可能性があります。 明確な証明書の更新手順を開発し、証明書 ID を慎重に選択することを強くお勧めします。
Azure Sphere で証明書 ID を使用する 方法の詳細については、「証明書 ID」を参照してください。
コマンド ラインからネットワークを設定するには、次の手順に従います。
手順 1. デバイスにクライアント証明書をインストールする
クライアント証明書情報 (公開証明書、秘密キー、パスワードなど) をネットワークにインストールする必要がある場合は、インストールします。 az sphere device certificate add コマンドは、次のパラメーターで使用します。
パラメーター | 型 | 説明 | サポートされているバージョン |
---|---|---|---|
-c、--certificate | 文字列 | 追加するクライアント証明書の識別子を指定します。 文字列識別子 (最大 16 文字)。 有効な文字には、大文字 (A から Z)、小文字 (a から z)、数字 (0 から 9)、アンダースコア (_)、ピリオド (.)、ハイフン (-) が含まれます。 この識別子は、EAP-TLS ネットワークの Wi-Fi 構成でも使用されます。 | Azure Sphere CLI |
--cert-type | 文字列 | 追加するクライアント証明書の種類を指定します。 「client」と入力します。 | Azure Sphere CLI |
--private-key-file | 文字列 | クライアント秘密キー証明書 .pem ファイルへのパスを指定します。 "client" 型の証明書を追加する場合は必須です。 相対パスまたは絶対パスを指定できます。 | Azure Sphere CLI |
-w、--private-key-password | 文字列 | クライアント秘密キーの省略可能なパスワードを指定します。 パスワードは、暗号化されたクライアント証明書の秘密キーを追加するときに必要です。 | Azure Sphere CLI |
例えば:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
クライアント証明書を追加するには、すべてのネットワークで公開キー ファイル パスと秘密キー ファイル パスの両方が必要です。 秘密キーパスワードは、秘密キーが暗号化されている場合にのみ必要です。ネットワーク管理者にチェックします。
手順 2. ルート CA 証明書をインストールする
ネットワークで相互認証が必要な場合は、RADIUS サーバーのルート CA 証明書をインストールします。 az sphere device certificate add コマンドは、次のパラメーターで使用します。
パラメーター | 型 | 説明 | サポートされているバージョン |
---|---|---|---|
-c、--certificate | 文字列 | 追加するルート CA 証明書の識別子を指定します。 文字列識別子 (最大 16 文字)。 有効な文字には、大文字 (A から Z)、小文字 (a から z)、数字 (0 から 9)、アンダースコア (_)、ピリオド (.)、ハイフン (-) が含まれます。 この識別子は、EAP-TLS ネットワークの Wi-Fi 構成でも使用されます。 | Azure Sphere CLI |
--cert-type | 文字列 | 追加するルート CA 証明書を指定します。 「rootca」と入力します。 | Azure Sphere CLI |
--private-key-file | 文字列 | rootca 秘密キー証明書 .pem ファイルへのパスを指定します。 相対パスまたは絶対パスを指定できます。 | Azure Sphere CLI |
例えば:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
手順 3. Wi-Fi ネットワークを追加する
証明書をインストールしたら、デバイスに EAP-TLS ネットワークを追加します。 az sphere device wifi add コマンドは、次のパラメーターで使用します。
パラメーター | 型 | 説明 | サポートされているバージョン |
---|---|---|---|
-s、--ssid | 文字列 | ネットワークの SSID を指定します。 ネットワーク SSID では、大文字と小文字が区別されます。 | Azure Sphere CLI |
--client-cert-id | 文字列 | [EAP-TLS]クライアント証明書 (公開キーと秘密キーの両方を含む) を識別する識別子 (最大 16 文字) を指定します。 EAP-TLS ネットワークを設定するために必要です。 | Azure Sphere CLI |
--client-id <user@domain> | 文字列 | [EAP-TLS]ネットワークの RADIUS サーバーによる認証で認識される ID を指定します。 | Azure Sphere CLI |
--config-name | 文字列 | ネットワーク構成の名前を指定する文字列 (最大 16 文字) を指定します。 | Azure Sphere CLI |
--root-ca-cert-id | 文字列 | [EAP-tLS]デバイスがサーバーを認証する EAP-TLS ネットワークのサーバーのルート CA 証明書を識別する識別子 (最大 16 文字) を指定します。 | Azure Sphere CLI |
例えば:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
手順 4. ネットワーク構成を再読み込みする
証明書をインストールし、EAP-TLS ネットワークを設定したら、証明書ストアの最新の内容を使用するようにネットワーク構成を再読み込みする必要があります。 az sphere device wifi reload-config コマンドを使用します。
例えば:
az sphere device wifi reload-config
手順 5. ネットワークが接続されていることを確認する
デバイスがネットワークに接続されていることを確認するには、 az sphere device wifi show-status コマンドを使用します。 出力を確認して、作成したネットワークが一覧表示、有効、接続されていることを確認します。
az sphere device wifi show-status
az sphere device wifi show コマンドは、特定のネットワークの詳細を表示します。 このコマンドを --id
パラメーターと共に使用して、ネットワーク用に構成されているクライアント証明書、ルート CA 証明書、およびクライアント ID を一覧表示します。 例えば:
az sphere device wifi show --id 1