Konfigurowanie sieci EAP-TLS z poziomu interfejsu CLI
Aby skonfigurować sieć EAP-TLS przy użyciu polecenia az sphere, musisz mieć certyfikat głównego urzędu certyfikacji dla serwera RADIUS sieci i certyfikat klienta dla urządzenia. Certyfikaty muszą mieć format pem w składni PKCS1 lub PKCS8. Zobacz Uzyskiwanie i wdrażanie certyfikatów dla sieci EAP-TLS , aby dowiedzieć się więcej o certyfikatach i o tym, gdzie je uzyskać. Za pomocą protokołu OpenSSL można przekonwertować plik PFX na format pem w systemie Linux i podsystemie Windows dla systemu Linux.
Ostrożność
Ponieważ identyfikatory certyfikatów są dostępne w całym systemie, polecenie sfery az lub wywołanie funkcji, które dodaje nowy certyfikat, może zastąpić certyfikat dodany przez wcześniejsze wywołanie polecenia lub funkcji, co może powodować awarie połączenia sieciowego. Zdecydowanie zalecamy opracowanie przejrzystych procedur aktualizacji certyfikatów i staranne wybieranie identyfikatorów certyfikatów.
Zobacz Identyfikatory certyfikatów , aby uzyskać więcej informacji o tym, jak usługa Azure Sphere korzysta z identyfikatorów certyfikatów.
Wykonaj poniższe czynności, aby skonfigurować sieć z poziomu wiersza polecenia.
Krok 1. Instalowanie certyfikatu klienta na urządzeniu
Zainstaluj informacje o certyfikatach klienta, w tym certyfikat publiczny oraz klucz prywatny i hasło, jeśli są one wymagane w Twojej sieci. Użyj polecenia dodaj certyfikat urządzenia az sphere z następującymi parametrami:
| Parametr | Typu | Opis | Obsługiwana wersja |
|---|---|---|---|
| -c, --certificate | Ciąg | Określa identyfikator certyfikatu klienta do dodania. Identyfikator ciągu (maksymalnie 16 znaków). Prawidłowe znaki to wielkie litery (A–Z), małe litery (a–z), cyfry (0–9), podkreślenie (_), kropka (.) i łącznik (-). Ten identyfikator jest również używany w konfiguracjach Wi-Fi dla sieci EAP-TLS. | Azure Sphere CLI |
| --cert-type | Ciąg | Określa typ certyfikatu klienta do dodania. Wprowadź "klient". | Azure Sphere CLI |
| --private-key-file | Ciąg | Określa ścieżkę do pliku pem certyfikatu klucza prywatnego klienta. Wymagane podczas dodawania certyfikatu typu "klient". Możesz podać ścieżkę względną lub bezwzględną. | Azure Sphere CLI |
| -w, --private-key-password | Ciąg | Określa opcjonalne hasło klucza prywatnego klienta. Hasło jest wymagane podczas dodawania zaszyfrowanego klucza prywatnego certyfikatu klienta. | Azure Sphere CLI |
Na przykład:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Aby dodać certyfikat klienta, w każdej sieci wymagana jest zarówno ścieżka pliku klucza publicznego, jak i ścieżka pliku klucza prywatnego. Hasło klucza prywatnego jest potrzebne tylko wtedy, gdy klucz prywatny jest zaszyfrowany. skontaktuj się z administratorem sieci.
Krok 2. Instalowanie certyfikatu głównego urzędu certyfikacji
Zainstaluj certyfikat głównego urzędu certyfikacji serwera RADIUS, jeśli sieć wymaga wzajemnego uwierzytelnienia. Użyj polecenia dodaj certyfikat urządzenia az sphere z następującymi parametrami:
| Parametr | Typu | Opis | Obsługiwana wersja |
|---|---|---|---|
| -c, --certificate | Ciąg | Określa identyfikator certyfikatu głównego urzędu certyfikacji do dodania. Identyfikator ciągu (maksymalnie 16 znaków). Prawidłowe znaki to wielkie litery (A–Z), małe litery (a–z), cyfry (0–9), podkreślenie (_), kropka (.) i łącznik (-). Ten identyfikator jest również używany w konfiguracjach Wi-Fi dla sieci EAP-TLS. | Azure Sphere CLI |
| --cert-type | Ciąg | Określa certyfikat głównego urzędu certyfikacji do dodania. Wprowadź "rootca". | Azure Sphere CLI |
| --private-key-file | Ciąg | Określa ścieżkę do pliku pem certyfikatu klucza prywatnego rootca. Możesz podać ścieżkę względną lub bezwzględną. | Azure Sphere CLI |
Na przykład:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Krok 3. Dodawanie sieci Wi-Fi
Po zainstalowaniu certyfikatów dodaj na urządzeniu sieć EAP-TLS. Użyj az sphere device wifi dodaj polecenie z następującymi parametrami:
| Parametr | Typu | Opis | Obsługiwana wersja |
|---|---|---|---|
| -s, --ssid | Ciąg | Określa identyfikator SSID sieci. Identyfikatory SSID sieci uwzględniają wielkość liter. | Azure Sphere CLI |
| --client-cert-id | Ciąg | [EAP-TLS] Określa identyfikator (maksymalnie 16 znaków), który identyfikuje certyfikat klienta (zawierający klucz publiczny i prywatny). Wymagane do skonfigurowania sieci EAP-TLS. | Azure Sphere CLI |
| --client-id <user@domain> | Ciąg | [EAP-TLS] Określa identyfikator rozpoznawany na potrzeby uwierzytelniania przez serwer USŁUGI RADIUS w sieci. | Azure Sphere CLI |
| --config-name | Ciąg | Określa ciąg (maksymalnie 16 znaków), który określa nazwę konfiguracji sieci. | Azure Sphere CLI |
| --root-ca-cert-id | Ciąg | [EAP-tLS] Określa identyfikator (maksymalnie 16 znaków), który identyfikuje certyfikat głównego urzędu certyfikacji serwera dla sieci EAP-TLS, w którym urządzenie uwierzytelnia serwer. | Azure Sphere CLI |
Na przykład:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Krok 4. Ponownie załaduj konfigurację sieci
Po zainstalowaniu certyfikatów i skonfigurowaniu sieci EAP-TLS należy ponownie załadować konfigurację sieci, aby upewnić się, że korzysta ona z najnowszej zawartości magazynu certyfikatów. Użyj az kula urządzenia wifi reload-config polecenia.
Na przykład:
az sphere device wifi reload-config
Krok 5. Sprawdź, czy sieć jest połączona
Aby sprawdzić, czy urządzenie jest podłączone do sieci, użyj polecenia statusu pokazu az sphere urządzenia wifi . Sprawdź dane wyjściowe, aby sprawdzić, czy utworzona sieć jest wymieniona, włączona i połączona.
az sphere device wifi show-status
Polecenie az sphere device wifi show wyświetla szczegóły konkretnej sieci. Użyj tego polecenia z parametrem --id , aby wyświetlić na liście certyfikat klienta, certyfikat głównego urzędu certyfikacji i tożsamość klienta skonfigurowaną dla sieci. Na przykład:
az sphere device wifi show --id 1