Uygulamada EAP-TLS ağını ayarlama

EAP-TLS'yi üst düzey bir uygulamada veya komutları kullanarak az sphere el ile yapılandırabilirsiniz. Bir uygulama, ağa bağlanmak ve yapılandırmak için Certstore ve WifiConfig API'lerini kullanır.

Gereksinim -leri

EAP-TLS ağını yapılandırmak için üst düzey uygulamanızın uygun üst bilgi dosyalarını içermesi, uygulama bildiriminde gerekli özellikleri etkinleştirmesi ve kimlik doğrulaması için gereken sertifikalara erişimi olması gerekir.

Üst bilgi dosyaları

Uygulamanız aşağıdaki üst bilgiyi içermelidir:

#include <applibs/wificonfig.h>

Uygulama sertifikaları yönetmek için CertStore API'sini çağırırsa, CertStore üst bilgisini de içermelidir. Sertifika bilgilerini alan WifiConfig_GetRootCACertStoreIdentifier gibi WifiConfig işlevlerini kullanmak için bu üst bilgi gerekli değildir.

#include <applibs/certstore.h>

Uygulama bildirimi

Uygulama bildiriminin EAP-TLS ağı kurmak için EnterpriseWiFiConfig özelliğini etkinleştirmesi gerekir. Ayrıca EAP-TLS özelliklerini yönetmeyen WifiConfig_* işlevleri kullanmak için WifiConfig özelliğine sahip olmalıdır. Son olarak, uygulama sertifikaları da yönetiyorsa CertStore özelliğini etkinleştirmesi gerekir.

Uygulamanın gerektirmediği özellikleri etkinleştirmeyin; bu bir güvenlik riski oluşturur. Sertifikalar el ile güncelleştirilecekse CertStore belirtmeyin. Bu özelliği yalnızca uygulamada sertifikaları depolamak ve yönetmek uygulamanın sorumluluğundaysa kullanın.

Aşağıdaki örnekte, app_manifest.json dosyasındaki üç özelliğin de nasıl ayarlanacağı gösterilmektedir:

"Capabilities": {
        "WifiConfig" : true,
        "EnterpriseWiFiConfig" : true,
        "CertStore" : true
    }

Sertifika

Cihazınızın istemci sertifikası cihazda kullanılabilir olmalıdır. Ayrıca, EAP-TLS ağı karşılıklı kimlik doğrulaması için yapılandırılmışsa, ağınızın RADIUS sunucusunun Kök CA sertifikası da cihaza yüklenmelidir. Her iki sertifika da PKCS1 veya PKCS8 olmak üzere .pem biçiminde olmalıdır. Sertifikalar ve bunların nereden alınacağı hakkında bilgi edinmek için bkz. EAP-TLS sertifika alma ve dağıtımı .

Sertifikaları yükleme

Uygulamanızın bir EAP-TLS ağı kurabilmesi için önce kimlik doğrulaması için kullanılacak Kök CA ve istemci sertifikalarına erişimi olmalıdır. EAP-TLS ağları için sertifika alma ve dağıtma , sertifikaları alma ve bir cihaza PEM dosyaları olarak yükleme stratejilerini açıklar. Sertifikaların alınması ve dağıtılması sizin sorumluluğunuzdadır; ayrıntılar için ağ yöneticinize başvurun.

Sertifikalar cihaza yüklendikten sonra, bir uygulama bunları kullanmak üzere yükleyebilir. Sertifikalar örneği, bunların nasıl yükleneceğini gösterir. Temel adımlar şunlardır:

• Sertifika deposunda yeterli alan olduğundan emin olun. Sertifika deposu alanı sınırlı olduğundan, uygulama sertifika yüklemeye çalışmadan önce CertStore_GetAvailableSpace çağırmalıdır. Yeterli alan yoksa, uygulamanın yeni sertifikaya yer açmak için mevcut bir sertifikayı silmesi gerekir. Sertifika alanı 24 KiB ile sınırlıdır.

• Kök CA sertifikası yüklemek için CertStore_InstallRootCACertificate'ı arayın. Uygulama, sertifika içeriğine yönelik bir işaretçi ve daha sonra sertifika için kolay ad olarak kullanabileceği bir tanımlayıcı sağlar. Ağ karşılıklı kimlik doğrulamayı etkinleştirirse Kök CA sertifikası gerekir. Tanımlayıcılar büyük harf, küçük harf, 0-9 arası basamaklar, nokta (.), kısa çizgi (-) ve alt çizgi (_) içerebilir. Tanımlayıcı uzunluğu üst sınırı 16 karakterdir.

• İstemci sertifikası yüklemek için CertStore_InstallClientCertificate'ı arayın. Kök CA sertifikasında olduğu gibi uygulama, sertifika içeriğine yönelik bir işaretçi ve daha sonra sertifika için kolay ad olarak kullanabileceği bir tanımlayıcı sağlar. Uygulama ayrıca özel anahtarı ve anahtar şifrelenirse şifreleme parolasını da sağlamalıdır.

Bir sertifikayı güncelleştirmek için uygulama CertStore_MoveCertificate işlevini kullanabilir. Bu işlev, var olan bir hedef sertifikanın içeriğini kaynak sertifikanın içeriğiyle üzerine yazarak bir sertifikayı diğerine taşır. Her iki sertifika da sertifika deposunda zaten yüklü olmalıdır. Sertifika yaşam döngüsü ve yenileme , ağ kapalı kalma süresini önlerken sertifikaları güncelleştirme stratejilerini özetler.

EAP-TLS ağını yapılandırma ve ayarlama

Wifi_HighLevelApp örneği, EAP-TLS ağı oluşturma, yapılandırma ve etkinleştirme adımlarını gösterir. Örnek, Sertifikaları yükleme bölümünde açıklandığı gibi sertifikaların zaten sertifika deposunda olduğunu varsayar.

Ağı yapılandırmak ve ayarlamak için bir uygulamanın şu temel adımları izlemesi gerekir:

• WifiConfig_AddNetwork çağırarak bir ağ ekleyin. Bu işlev yalnızca bir ağ oluşturur; ağ için herhangi bir özellik yapılandırmaz.

• WifiConfig_SetSecurityType çağırarak ağ için güvenlik türünü ayarlayın. EAP-TLS ağı için güvenlik türü olmalıdır WifiConfig_Security_Wpa2_EAP_TLS.

• WifiConfig_SetSSID çağırarak ağ için SSID'yi ayarlayın. SSID henüz bilinmiyorsa uygulama bunu tarayabilir. Ağ ortamının gürültülü olma olasılığı yüksekse veya SSID yayınlanmamışsa, uygulama WifiConfig_SetTargetedScanEnabled çağırarak hedeflenen taramayı etkinleştirmelidir. Daha sonra tüm ağları taramak için WifiConfig_TriggerScanAndGetScannedNetworkCount çağırabilir ve taramanın sonuçlarını almak için WifiConfig_GetScannedNetworks . WifiConfig_GetScannedNetworks , her ağ hakkındaki ayrıntıları içeren bir yapı dizisi döndürür. Uygulama, güvenlik türüne sahip bir ağın WifiConfig_Security_Wpa2_EAP_TLS sonuçlarını arayabilir ve ardından SSID'sini alabilir.

• WifiConfig_SetConfigName çağırarak ağın yapılandırma adını ayarlayın. Yapılandırma adı, uygulamanın bu ağ yapılandırmasını tanımlamak için kullanabileceği kolay bir addır.

• Ağ sunucu kimlik doğrulaması gerektiriyorsa , WifiConfig_SetRootCACertStoreIdentifier çağırarak RADIUS sunucusu için Kök CA sertifikasının adını ayarlayın. Kök CA sertifikası cihazda zaten mevcut olmalıdır.

• WifiConfig_SetClientCertStoreIdentifier çağırarak istemci sertifika deposunun adını ayarlayın. İstemci sertifikası cihazda zaten mevcut olmalıdır.

• WifiConfig_SetClientIdentity çağırarak istemci kimliğini ayarlayın. İstemci kimliği, istemci cihazını tanımlayan kolay bir addır.

• WifiConfig_SetNetworkEnabled çağırarak ağı etkinleştirin.

• WifiConfig_PersistConfig çağırarak ağ yapılandırmasını kaydedin. Bu işlev, ağ yapılandırmasını cihaza kaydeder ve böylece yeniden başlatma işlemi boyunca devam eder.

EAP-TLS ağının özelliklerini değiştirme

Uygulama, EAP-TLS ağını yapılandırma ve ayarlama bölümünde listelendiği gibi, başlangıçta bunları ayarlamak için kullanılan işlevleri çağırarak ağın özelliklerini değiştirebilir.

Özellikleri değiştirdikten sonra, uygulamanın yapılandırmayı kaydetmek için yalnızca WifiConfig_PersistConfig çağırması değil, aynı zamanda ağı hemen güncelleştirmek için WifiConfig_ReloadConfig çağırması gerekir. Bu özellikle uygulama bir sertifikayı güncelleştirdiğinde önemlidir.

EAP-TLS ağını silme

Uygulama , WifiConfig_ForgetNetworkById veya WifiConfig_ForgetAllNetworks çağırarak ağı silebilir.

WifiConfig_ForgetNetworkById bağlıysa ağın bağlantısını keser ve cihazdan kaldırır. Ancak, Wi-Fi yapılandırmasını güncelleştirmez, bu nedenle değişiklik yeniden başlatma boyunca kalıcı olmaz. Uygulamanın kaldırmayı kalıcı hale getirmek için WifiConfig_PersistConfig araması gerekir.

WifiConfig_ForgetAllNetworks bağlı ağın bağlantısını keser ve tüm ağları cihazdan kaldırır. Bu değişiklik yeniden başlatma boyunca devam eder.

Örnekleri

• Sertifikalar üst düzey uygulaması - Azure Sphere üst düzey uygulamasında sertifikaların nasıl kullanılacağını ve yönetileceğini gösterir.
• Wifi_HighLevelApp - bir Wi-Fi ağına bağlanmayı ve BIR MT3620 cihazında ağ durumunu denetlemeyi gösterir.

Not

Aşağıdaki örnek, Microsoft'un etkilenmeyen yazılım ve donanım örneklerinin bir koleksiyonu olan Azure Sphere Galerisi'nden alınmalıdır. Daha fazla bilgi için bkz. Azure Sphere Galerisi.

• Azure Sphere ile EAP-TLS çözümü - Azure Sphere cihazlarını EAP-TLS ağlarına bağlamayı gösterir.