Udostępnij za pośrednictwem

Korzystanie z protokołu EAP-TLS

  • Artykuł

Usługa Azure Sphere obsługuje korzystanie z uwierzytelniania rozszerzalnego Protocol-Transport Layer Security (EAP-TLS) do łączenia się z sieciami Wi-Fi. Protokół EAP-TLS nie jest obsługiwany przez sieć Ethernet.

Protokół EAP-TLS dla Wi-Fi to typowa metoda uwierzytelniania w scenariuszach opartych na zabezpieczeniach. Zapewnia znacznie większe bezpieczeństwo niż używanie hasła SSID jako globalnego klucza tajnego, ale wymaga dodatkowej pracy w celu zapewnienia, że urządzenie Azure Sphere i sieć są prawidłowo skonfigurowane i uwierzytelnione.

Specyfikacja protokołu EAP-TLS jest szczegółowo opisana w RFC 5216. System operacyjny Azure Sphere nie implementuje bezpośrednio protokołu EAP-TLS; Zamiast tego zawiera składnik wpa_supplicant typu open source, który implementuje protokół.

Terminologii

Punkt dostępu ( AP): Urządzenie sprzętowe sieciowe umożliwiające innym urządzeniom Wi-Fi łączenie się z siecią przewodową.

Certyfikat: Klucz publiczny i inne metadane podpisane przez urząd certyfikacji.

Urząd certyfikacji: Jednostka, która podpisuje i wydaje certyfikaty cyfrowe.

Certyfikat urzędu certyfikacji: Certyfikat głównego urzędu certyfikacji, do których jest nawiązywać łańcuch certyfikatu uwierzytelniania serwera RADIUS. Ten klucz publiczny może być przechowywany na urządzeniu Azure Sphere.

Certyfikat klienta: Certyfikat i klucz prywatny używane do uwierzytelniania w sieci. Certyfikat klienta i jego sparowany klucz prywatny są przechowywane na urządzeniu Azure Sphere.

Parowanie klawiszy: Kryptograficznie powiązany zestaw kluczy. W wielu scenariuszach para kluczy oznacza klucz publiczny i klucz prywatny; w scenariuszu Azure Sphere EAP-TLS , jednak para kluczy wskazuje certyfikat klienta i jego klucz prywatny.

Klucz prywatny: Klucz, który nie powinien być narażony na żadną jednostkę z wyjątkiem zaufanego właściciela.

Infrastruktura klucza publicznego (PKI): Zestaw ról, zasad, sprzętu, oprogramowania i procedur niezbędnych do tworzenia, zarządzania, rozpowszechniania, używania, przechowywania i odwoływania certyfikatów cyfrowych oraz zarządzania szyfrowaniem kluczy publicznych.

Usługa zdalnego uwierzytelniania dla użytkowników telefonicznych (RADIUS): Protokół sieciowy, który działa na porcie 1812 i zapewnia scentralizowane zarządzanie uwierzytelnianiem, autoryzacją i księgowością (AAA lub Triple A) dla użytkowników, którzy łączą się z usługą sieciową i z niej korzystają. Serwer RADIUS odbiera dane uwierzytelniania od klienta, sprawdza je, a następnie umożliwia dostęp do innych zasobów sieciowych.

Rivest-Shamir-Adleman (RSA): Klucz publiczny kryptosystemu, który jest oparty na RFC 3447).

Supplicant: Klient bezprzewodowy. Urządzenie Azure Sphere jest supplicant.

Omówienie uwierzytelniania EAP-TLS

Na poniższym diagramie podsumowano proces uwierzytelniania urządzenia Usługi Azure Sphere przy użyciu protokołu EAP-TLS.

uwierzytelnianie EAP_TLS

  1. Gdy urządzenie Azure Sphere wymaga dostępu do zasobu sieciowego, kontaktuje się z punktem dostępu bezprzewodowego . Po otrzymaniu żądania ap prosi o tożsamość urządzenia, a następnie kontaktuje się z serwerem RADIUS w celu zainicjowania procesu uwierzytelniania. W komunikacji między punktem dostępu a urządzeniem jest używany protokół encapsulation EAP przez LAN (EAPOL).

  2. Punkt dostępu ponownie koduje wiadomości EAPOL do formatu RADIUS i wysyła je do serwera RADIUS. Serwer RADIUS świadczy usługi uwierzytelniania dla sieci na porcie 1812. Urządzenie Azure Sphere i serwer RADIUS przeprowadzają proces uwierzytelniania za pośrednictwem punktu dostępu, który przekazuje wiadomości z jednego do drugiego. Po zakończeniu uwierzytelniania serwer RADIUS wysyła do urządzenia komunikat o stanie. Jeśli uwierzytelnianie się powiedzie, serwer otworzy port urządzenia Azure Sphere.

  3. Po pomyślnym uwierzytelnieniu urządzenie Azure Sphere może uzyskać dostęp do innych zasobów sieciowych i internetowych.

Uwierzytelnianie serwera i uwierzytelnianie urządzenia bardziej szczegółowo opisują proces uwierzytelniania.

Uwierzytelnianie serwera

Uwierzytelnianie serwera jest pierwszym krokiem w wzajemnym uwierzytelnianiu EAP-TLS. W przypadku wzajemnego uwierzytelniania serwer RADIUS nie tylko uwierzytelnia urządzenie, ale także uwierzytelnia serwer. Uwierzytelnianie serwera nie jest ściśle wymagane, ale zdecydowanie zalecamy skonfigurowanie sieci i urządzeń w celu jej obsługi. Uwierzytelnianie serwera pomaga zagwarantować, że serwer nieuczciwych lub oszustów nie może naruszyć zabezpieczeń sieci.

Aby włączyć uwierzytelnianie serwera, serwer RADIUS musi mieć certyfikat uwierzytelniania serwera podpisany przez urząd certyfikacji. Certyfikat uwierzytelniania serwera to "liść" na końcu łańcucha certyfikatów serwera, który może opcjonalnie obejmować pośredni urząd certyfikacji i ostatecznie kończy się w głównym uiszczaniu certyfikacji.

Gdy urządzenie żąda dostępu, serwer wysyła do urządzenia cały swój łańcuch certyfikatów. Usługa Azure Sphere nie wymusza sprawdzania poprawności czasu na certyfikacie uwierzytelniania serwera lub łańcuchu, ponieważ urządzenie nie może zsynchronizować czasu systemu operacyjnego z prawidłowym źródłem czasu, dopóki nie zostanie uwierzytelnione w sieci. Jeśli na urządzeniu skonfigurowano ufanie głównemu urzędu certyfikacji pasującemu do głównego urzędu certyfikacji serwera, sprawdza tożsamość serwera. Jeśli urządzenie nie ma zgodnego głównego urzędu certyfikacji, uwierzytelnianie serwera kończy się niepowodzeniem i urządzenie nie będzie mogło uzyskać dostępu do zasobów sieciowych. Musisz mieć możliwość aktualizowania rootca na urządzeniu od czasu do czasu, zgodnie z opisem w artykule Aktualizowanie certyfikatu głównego urzędu certyfikacji.

Uwierzytelnianie urządzenia

Po zakończeniu uwierzytelniania serwera urządzenie wysyła certyfikat klienta w celu ustanowienia poświadczeń. Urządzenie może również przekazać identyfikator klienta. Identyfikator klienta to opcjonalne informacje, których niektóre sieci mogą wymagać uwierzytelniania.

Konkretne wymagania dotyczące pomyślnego uwierzytelniania urządzenia mogą się różnić w zależności od konfiguracji konkretnej sieci. Administrator sieci może wymagać dodatkowych informacji w celu udowodnienia ważności twoich urządzeń Azure Sphere. Niezależnie od konfiguracji, od czasu do czasu musisz mieć możliwość aktualizowania certyfikatu urządzenia zgodnie z opisem w artykule Aktualizowanie certyfikatu klienta.

Platforma Azure Sphere EAP-TLS

Platforma Azure Sphere EAP-TLS oferuje następujące możliwości konfiguracji sieci i zarządzania nimi:

  • Załaduj . Plik PEM zawierający certyfikat klienta urządzenia i klucz prywatny dla Wi-Fi połączeń EAP-TLS.
  • Skonfiguruj interfejs Wi-Fi, aby używać protokołu EAP-TLS. Tthe. Plik PEM zawierający certyfikat klienta urządzenia musi być obecny na urządzeniu.
  • Połącz się z istniejącą siecią EAP-TLS, aby uzyskać certyfikat urządzenia i klucz prywatny, włączyć sieć EAP-TLS i połączyć się z siecią EAP-TLS.
  • Włącz aplikacjom korzystanie z certyfikatu uwierzytelniania urządzenia i zaświadczania (DAA) używanego na potrzeby połączeń HTTPS w celu uwierzytelnienia się w magazynie certyfikatów.
  • Interfejs API WifiConfig do zarządzania sieciami Wi-Fi.
  • Certstore API do zarządzania certyfikatami.

Wszystkie pozostałe składniki sieci EAP-TLS są odpowiedzialne za administratora sieci lokalnej.

Konfiguracja sieci EAP-TLS

Za konfigurowanie sieci EAP-TLS odpowiada administrator sieci. Administrator sieci musi zdefiniować infrastrukturę klucza publicznego i upewnić się, że wszystkie składniki sieci są zgodne z jej zasadami. Konfiguracja i konfiguracja sieci obejmują między innymi następujące zadania:

  • Skonfiguruj serwer RADIUS, uzyskaj i zainstaluj certyfikat urzędu certyfikacji oraz ustal kryteria dla urządzenia w celu udowodnienia jego tożsamości.
  • Skonfiguruj urządzenia usługi Azure Sphere przy użyciu głównego urzędu certyfikacji serwera RADIUS, aby mogły uwierzytelnić serwer.
  • Uzyskaj certyfikat klienta i klucz prywatny dla każdego urządzenia i załaduj je na urządzenie.

Pobieranie i wdrażanie certyfikatów EAP-TLS opisuje sposób uzyskiwania i wdrażania certyfikatów w różnych scenariuszach sieciowych.

Certyfikat i klucz prywatny na potrzeby uwierzytelniania klienta muszą być podane w formacie PEM. Klucz prywatny może być podany w składni PKCS1 lub PKCS8 z lub bez hasła klucza symetrycznego klucza prywatnego. Certyfikat głównego urzędu certyfikacji musi być również podany w formacie PEM.

W poniższej tabeli wymieniono informacje używane do konfigurowania sieci EAP-TLS dla usługi Azure Sphere.

Element Opis Szczegóły
Certyfikat klienta Certyfikat podpisanego urzędu certyfikacji zawierający klucz publiczny certyfikatu klienta. Wymagane. Maksymalny rozmiar: 8 KiB
Maksymalna długość ciągu identyfikatora: 16 znaków
Klucz prywatny klienta Klucz prywatny sparowany z certyfikatem klienta. Wymagane. Maksymalny rozmiar: 8 Kib
Obsługiwane przez RSA; Klawisze ECC nie są obsługiwane
Hasło klucza prywatnego klienta Hasło używane do szyfrowania klucza prywatnego klienta. Opcjonalne. Minimalny rozmiar: 1 bajt
Maksymalny rozmiar: 256 bajtów
Ciąg pusty i ciąg null są interpretowane jako takie same
Identyfikator klienta Ciąg ASCII, który jest przekazywany do serwera RADIUS i dostarcza dodatkowych informacji o urządzeniu. Wymagane przez niektóre sieci EAP-TLS. Maksymalny rozmiar: 254 bajty
Formacie: user@domainname.com
Certyfikat głównego urzędu certyfikacji Certyfikat głównego urzędu certyfikacji certyfikatu uwierzytelniania serwera RADIUS. Należy skonfigurować na każdym urządzeniu. Opcjonalne, ale zdecydowanie zalecane; skontaktuj się z administratorem sieci. Maksymalny rozmiar: 8 KiB
Maksymalna długość ciągu identyfikatora: 16 znaków

Ważne

Twoja odpowiedzialność spoczywa na wszystkich konfiguracjach serwera PKI i RADIUS dla Twojej sieci, łącznie z zarządzaniem wygasaniem certyfikatów.