EAP-TLS ağları için sertifika alma ve dağıtma
Azure Sphere cihazının bir EAP-TLS ağına bağlanabilmesi için önce RADIUS sunucusunun cihazın kimliğini doğrulamak için kullanabileceği bir istemci sertifikasına sahip olması gerekir. Ağınız karşılıklı kimlik doğrulaması gerektiriyorsa, RADIUS sunucusunun kimliğini doğru olabilmesi için her cihazın bir Kök CA sertifikası da olmalıdır.
Bu sertifikaları nasıl edindiğiniz ve dağıttığınız, cihazlarınızda kullanılabilen ağ kaynaklarına bağlıdır.
- Kullanılabilir tek ağ EAP-TLS ağıysa sertifikaları el ile dağıtmanız gerekir.
- Açık ağ gibi başka bir ağ biçimi varsa, "bootstrap" yaklaşımını kullanabilirsiniz. Önyükleme yaklaşımında, bir Azure Sphere üst düzey uygulaması sertifikaları açık ağdan alır ve ardından bunları kullanarak EAP-TLS ağına bağlanır.
Dikkat
Sertifika kimlikleri sistem genelinde olduğundan, azsphere komutu veya yeni sertifika ekleyen bir işlev çağrısı, önceki bir komut veya işlev çağrısı tarafından eklenen bir sertifikanın üzerine yazabilir ve bu da ağ bağlantısı hatalarına neden olabilir. Net sertifika güncelleştirme yordamları geliştirmenizi ve sertifika kimliklerini dikkatle seçmenizi kesinlikle öneririz. Ayrıntılar için bkz. Sertifika Kimlikleri .
El ile dağıtım
EAP-TLS ağı cihazlarınızda kullanılabilen tek ağsa sertifikaları el ile dağıtmanız gerekir. El ile dağıtım, ağa bağlı bir bilgisayar veya Linux makinesi kullanarak sertifikaların alınması ve ardından Azure Sphere CLI kullanılarak sertifikaların her Bir Azure Sphere cihazına yüklenmesini içerir. Bu yaklaşım, bilgisayar veya Linux makinesi ile Azure Sphere cihazı arasında fiziksel bir bağlantı gerektirir.
Sertifikaları el ile alma
Kök CA ve istemci sertifikaları içinde olmalıdır. PeM biçimi, Azure Sphere cihazına yüklenir. Cihazınız için istemci sertifikası ve özel anahtar (ve isteğe bağlı olarak özel anahtarınız için parola) ile birlikte, uygun sunucudan Kök CA sertifikasını almanız gerekir. Her sertifikanın EAP-TLS ağınızdaki uygun sunucu tarafından oluşturulması ve imzalanması gerekir. Ağ yöneticiniz veya güvenlik ekibiniz sertifikaları almak için ihtiyacınız olan ayrıntıları sağlayabilir.
Sertifikalarını içinde kaydedin. Bilgisayarınızda veya Linux makinenizde PEM biçimini kullanın ve ardından Azure Sphere CLI'yı kullanarak bunları Azure Sphere cihazında depolayın.
CLI kullanarak sertifikaları depolama
Azure Sphere cihazını ağa bağlı bilgisayarınıza veya Linux makinenize ekleyin ve azsphere komutunu kullanarak sertifikaları cihazda depolayın.
Kök CA sertifikasını Azure Sphere cihazında depolamak için:
azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>
İstemci sertifikasını Azure Sphere cihazında depolamak için:
azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"
Bootstrap dağıtımı
Azure Sphere cihazlarını çok sayıda veya birçok konumda bağlamak için "bootstrap" yaklaşımını kullanmayı göz önünde bulundurun. Bu yöntemi kullanmak için, cihazlarınızın sertifikaları sağlayabilen bir sunucuya erişebilecekleri bir ağa bağlanabilmesi gerekir. Üst düzey Azure Sphere uygulamanız kullanılabilir ağ üzerinden sunucuya bağlanır, sertifikaları talep eder ve bunları cihazda depolar.
Aşağıdaki şekilde bu işlem özetlenmiştir.
Azure Sphere cihazındaki uygulama açık ağa bağlanır ve DAA sertifikasını almak için Azure Sphere Güvenlik Hizmeti ile iletişim kurar. Ardından cihaza DAA sertifikasını yükler. Cihaz, sertifikayı veren hizmetle kimlik doğrulaması yapmak için bu sertifikayı kullanmalıdır.
Uygulama daha sonra ağ yöneticisinin belirlediği sertifika verme hizmetine bağlanır. Kimliğini sunucuyla doğrulamak için DAA sertifikasını sunar ve istemci sertifikası ve özel anahtarıyla birlikte EAP-TLS ağındaki RADIUS sunucusu için Kök CA sertifikası istemektedir. Hizmet, istemci kimliği ve gerekirse özel anahtar parolası gibi diğer bilgileri uygulamaya geçirebilir. Uygulama daha sonra istemci sertifikasını, istemci özel anahtarını ve Kök CA sertifikasını cihaza yükler. Daha sonra açık ağ bağlantısını kesebilir.
Uygulama, EAP-TLS ağını yapılandırıp etkinleştirir. Cihazın kimliğini kanıtlamak için istemci sertifikasını ve özel anahtarı sağlar. Ağ karşılıklı kimlik doğrulamayı destekliyorsa, uygulama Kök CA sertifikasını kullanarak RADIUS sunucusunun kimliğini de doğrular.
Önyükleme sırasında cihazın kimliğini doğrulama ve istemci sertifikasını alma
Azure Sphere cihazı, diğer gerekli sertifikaları sağlayabilen bir hizmette kimlik doğrulaması yapmak için cihaz kimlik doğrulaması ve kanıtlama (DAA) sertifikasını kullanabilir. DAA sertifikası Azure Sphere Güvenlik Hizmeti'nden kullanılabilir.
DAA sertifikasını almak için:
- Üst düzey uygulama için uygulama bildiriminin DeviceAuthentication bölümünde Azure Sphere kiracı kimliğini belirtin.
- Geçerli Azure Sphere kiracısının sertifika zincirini almak için üst düzey uygulamadan DeviceAuth_CurlSslFunc çağırın.
Uygulama bildirimi geçerli cihaz için Azure Sphere kiracı kimliğini içeriyorsa, hedef hizmet TLS karşılıklı kimlik doğrulaması gerektiriyorsa , DeviceAuth_CurlSslFunc işlevi kimlik doğrulaması için DAA istemci sertifika zincirini kullanır.
RADIUS sunucusu için Kök CA sertifikasını alma
RADIUS sunucusunun Kök CA sertifikasını almak için uygulama, kendi ağında erişilebilen ve sertifikayı sağlayabilen bir sertifika sunucusu uç noktasına bağlanır. Ağ yöneticiniz uç noktaya bağlanma ve sertifikayı alma hakkında bilgi sağlayabilmelidir.
CertStore API'sini kullanarak sertifikaları yükleme
Uygulama, sertifikaları cihaza yüklemek için CertStore API'sini kullanır. CertStore_InstallClientCertificate işlevi istemci sertifikasını yükler ve CertStore_InstallRootCACertificate RADIUS sunucusu için Kök CA sertifikasını yükler. Üst düzey uygulamalarda sertifikaları yönetme, sertifika yönetimi için CertStore API'sini kullanma hakkında ek bilgi sağlar.
Sertifikalar örnek uygulaması, bir uygulamanın bu işlevleri nasıl kullanabileceğini gösterir.