Usar EAP-TLS
Importante
Esta é a documentação do Azure Sphere (herdado). O Azure Sphere (herdado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).
O Azure Sphere dá suporte ao uso do protocolo EAP-TLS (Extensible Authentication Protocol – protocolo TLS) para se conectar a redes Wi-Fi. Não há suporte para EAP-TLS via Ethernet.
O EAP-TLS para Wi-Fi é um método de autenticação comum em cenários com foco em segurança. Ele fornece uma segurança significativamente maior do que usar a senha SSID como um segredo global, mas requer trabalho adicional para verificar se o dispositivo Azure Sphere e a rede estão devidamente configurados e autenticados.
A especificação do protocolo EAP-TLS é detalhada em RFC 5216. O sistema operacional do Azure Sphere não implementa diretamente o protocolo EAP-TLS; em vez disso, ele incorpora um componente wpa_supplicant de software livre que implementa o protocolo.
Terminologia
Ponto de acesso (AP): Um dispositivo de hardware de rede que permite que outros dispositivos Wi-Fi se conectem a uma rede com fio.
Certificado: uma chave pública e outros metadados assinados por uma autoridade de certificação.
Autoridade de certificação (CA): uma entidade que assina e emite certificados digitais.
Certificado CA: O certificado CA raiz ao qual o certificado de autenticação do servidor RADIUS é encadeado. Essa chave pública pode ser armazenada no dispositivo Azure Sphere.
Certificado do cliente: o certificado e a chave privada usados para autenticar na rede. O certificado do cliente e a chave privada emparelhada dele são armazenados no dispositivo Azure Sphere.
Par de chaves: um conjunto de chaves criptograficamente associado. Em muitos cenários, um par de chaves significa uma chave pública e uma chave privada; no cenário EAP-TLS do Azure Sphere; no entanto, o par de chaves indica o certificado do cliente e a chave privada dele.
Chave privada: uma chave que não deve ser exposta a nenhuma entidade, exceto ao proprietário confiável.
PKI (infraestrutura de chave pública): o conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais e gerenciar a criptografia de chave pública.
RADIUS (Remote Authentication Dial-In User Service): um protocolo de rede que opera na porta 1812 e fornece gerenciamento centralizado de autenticação, autorização e contabilidade (AAA ou Triple A) para usuários que se conectam e usam um serviço de rede. Um servidor RADIUS recebe dados de autenticação de um cliente, os valida e, em seguida, permite o acesso a outros recursos de rede.
Rivest-Shamir-Adleman (RSA): Um sistema de criptografia de chave pública baseado no RFC 3447).
Suplicante: O cliente sem fio. O dispositivo Azure Sphere é um suplicante.
Visão geral da autenticação EAP-TLS
O diagrama a seguir resume o processo pelo qual um dispositivo Azure Sphere usa o protocolo EAP-TLS para se autenticar.
Quando um dispositivo Azure Sphere requer acesso a um recurso de rede, ele entra em contato com um PA (ponto de acesso) sem fio. Ao receber a solicitação, o PA solicita a identidade do dispositivo e, em seguida, entra em contato com o servidor RADIUS para iniciar o processo de autenticação. As comunicações entre o ponto de acesso e o dispositivo usam o protocolo EAPOL (encapsulamento EAP via LAN).
O ponto de acesso codifica novamente as mensagens EAPOL para o formato RADIUS e as envia para o servidor RADIUS. O servidor RADIUS fornece serviços de autenticação para a rede na porta 1812. O dispositivo Azure Sphere e o servidor RADIUS executam o processo de autenticação por meio do ponto de acesso, que retransmite as mensagens de um para o outro. Quando a autenticação estiver concluída, o servidor RADIUS enviará uma mensagem de status para o dispositivo. Se a autenticação for realizada com êxito, o servidor abrirá a porta para o dispositivo Azure Sphere.
Após a autenticação bem-sucedida, o dispositivo Azure Sphere poderá acessar outros recursos de rede e da Internet.
A autenticação do servidor e a autenticação do dispositivo descrevem o processo de autenticação mais detalhadamente.
Autenticação do servidor
A autenticação de servidor é a primeira etapa na autenticação EAP-TLS mútua. Na autenticação mútua, não só o servidor RADIUS autentica o dispositivo, como também o dispositivo autentica o servidor. A autenticação do servidor não é estritamente necessária, mas é altamente recomendável que você configure sua rede e os dispositivos para dar suporte a ela. Com a autenticação do servidor, um servidor invasor ou impostor não pode comprometer a segurança da rede.
Para habilitar a autenticação do servidor, o servidor RADIUS deve ter um certificado de autenticação de servidor assinado por uma AC. O certificado de autenticação de servidor é uma "folha" ao final da cadeia de certificados do servidor, que pode opcionalmente incluir uma AC intermediária e, eventualmente, termina em uma AC raiz.
Quando um dispositivo solicita acesso, o servidor envia toda a cadeia de certificados dele para o dispositivo. O Azure Sphere não impõe verificações de validação de tempo na cadeia ou no certificado de autenticação de servidor, pois o dispositivo não pode sincronizar a hora do sistema operacional com uma fonte de tempo válida até que ela seja autenticada na rede. Se o dispositivo estiver configurado para confiar em uma AC raiz que corresponda à AC raiz do servidor, ele validará a identidade do servidor. Se o dispositivo não tiver uma AC raiz correspondente, a autenticação do servidor falhará e o dispositivo não conseguirá acessar os recursos da rede. Você deve ser capaz de atualizar o RootCA no dispositivo periodicamente, conforme descrito em Atualizar um Certificado de Autoridade de Certificação raiz.
Autenticação de dispositivo
Após a conclusão da autenticação do servidor, o dispositivo enviará o certificado do cliente dele para estabelecer as credenciais dele. O dispositivo também pode passar uma ID do cliente. A ID do cliente é uma informação opcional que algumas redes podem exigir para autenticação.
Os requisitos específicos para a autenticação bem-sucedida do dispositivo podem variar, dependendo de como sua rede específica está configurada. O administrador da rede pode exigir informações adicionais para provar a validade de seus dispositivos Azure Sphere. Independentemente da configuração, você deve ser capaz de atualizar o certificado do dispositivo periodicamente, conforme descrito em Atualizar um certificado do cliente.
Plataforma EAP-TLS do Azure Sphere
A plataforma EAP-TLS do Azure Sphere fornece as seguintes funcionalidades para a configuração e o gerenciamento da rede:
- Carregar um arquivo .PEM que contenha o certificado do cliente e a chave privada do dispositivo para conexões EAP-TLS Wi-Fi.
- Configure a interface Wi-Fi para usar EAP-TLS. O arquivo .PEM que contém o certificado do cliente do dispositivo deve estar presente no dispositivo.
- Conecte-se a uma rede que não seja EAP-TLS existente para obter um certificado de dispositivo e uma chave privada, habilitar uma rede EAP-TLS e conectar-se à rede EAP-TLS.
- Permita que os aplicativos usem o certificado DAA (autenticação e atestado de dispositivo) usado para conexões HTTPS se autenticarem em um repositório de certificados.
- API WifiConfig para gerenciar redes Wi-Fi.
- API certstore para gerenciar certificados.
Todos os outros componentes da rede EAP-TLS são de responsabilidade do administrador de rede local.
Configuração da rede EAP-TLS
A configuração da rede EAP-TLS é de responsabilidade do seu administrador de rede. O administrador de rede deve definir a PKI (infraestrutura de chave pública) e verificar se todos os componentes da rede estão em conformidade com as políticas dela. A instalação e a configuração da rede incluem, entre outras, as seguintes tarefas:
- Configurar o servidor RADIUS, adquirir e instalar seu Certificado de Autoridade de Certificação e estabelecer os critérios para um dispositivo provar a identidade dele.
- Configurar seus dispositivos Azure Sphere com a AC raiz do servidor RADIUS, para que eles possam autenticar o servidor.
- Adquira um certificado de cliente e uma chave privada para cada dispositivo e carregue-os no dispositivo.
Aquisição e implantação do certificado EAP-TLS descreve como adquirir e implantar certificados em vários cenários de rede.
O certificado e a chave privada para autenticação do cliente devem ser fornecidos no formato PEM. A chave privada pode ser fornecida em sintaxe PKCS1 ou PKCS8, com ou sem uma senha de chave simétrica para a chave privada. O Certificado de Autoridade de Certificação raiz também deve ser fornecido no formato PEM.
A tabela a seguir lista as informações usadas na configuração de uma rede EAP-TLS para o Azure Sphere.
| Item | Descrição | Detalhes |
|---|---|---|
| Certificado do cliente | Certificado de Autoridade de Certificação assinado que contém a chave pública do certificado do cliente. Obrigatória. | Tamanho máximo: 8 KiB Comprimento máximo da cadeia de caracteres do identificador: 16 caracteres |
| Chave privada do cliente | A chave privada emparelhada com o certificado do cliente. Obrigatória. | Tamanho máximo: 8 Kib RSA com suporte; não há suporte para as chaves ECC |
| Senha da chave privada do cliente | Senha usada para criptografar a chave privada do cliente. Opcional. | Tamanho mínimo: 1 byte Tamanho máximo: 256 bytes Cadeia de caracteres vazia e cadeia de caracteres nula são interpretadas como iguais |
| ID do Cliente | Cadeia de caracteres ASCII passada para o servidor RADIUS e que fornece informações adicionais sobre o dispositivo. Exigido por algumas redes EAP-TLS. | Tamanho máximo: 254 bytes Formato: user@domainname.com |
| Certificado de AC raiz | O Certificado de Autoridade de Certificação raiz do certificado de autenticação do servidor RADIUS. Deve ser configurado em cada dispositivo. Opcional, mas fortemente recomendado; Verifique com o administrador da rede. | Tamanho máximo: 8 KiB Comprimento máximo da cadeia de caracteres do identificador: 16 caracteres |
Importante
Toda a instalação do servidor de PKI e RADIUS para sua rede, incluindo o gerenciamento da expiração do certificado, é sua responsabilidade.