Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Sphere, Wi-Fi ağlarına bağlanmak için Genişletilebilir Kimlik Doğrulaması Protocol-Transport Katman Güvenliği (EAP-TLS) kullanımını destekler. EAP-TLS, Ethernet üzerinden desteklenmez.
Wi-Fi için EAP-TLS, güvenlik odaklı senaryolarda yaygın olarak kullanılan bir kimlik doğrulama yöntemidir. Genel gizli dizi olarak SSID parolasını kullanmaktan çok daha fazla güvenlik sağlar, ancak Azure Sphere cihazının ve ağın düzgün yapılandırıldığından ve kimliğinin doğrulandığından emin olmak için ek çalışma gerektirir.
EAP-TLS protokol belirtimi RFC 5216'da ayrıntılı olarak anlatılır. Azure Sphere işletim sistemi doğrudan EAP-TLS protokollerini uygulamaz; bunun yerine, protokolü uygulayan bir açık kaynak wpa_supplicant bileşeni içerir.
Terminoloji
Erişim Noktası (AP): Diğer Wi-Fi cihazların kablolu bir ağa bağlanmasına izin veren bir ağ donanım cihazı.
Sertifika: Ca tarafından imzalanan ortak anahtar ve diğer meta veriler.
Sertifika Yetkilisi (CA): Dijital sertifikaları imzalayan ve veren bir varlık.
CA Sertifikası: RADIUS sunucusunun kimlik doğrulama sertifikasının zincirle bağlı olduğu kök CA sertifikası. Bu ortak anahtar Azure Sphere cihazında depolanabilir.
İstemci Sertifikası: Ağda kimlik doğrulaması yapmak için kullanılan sertifika ve özel anahtar. İstemci sertifikası ve eşleştirilmiş özel anahtarı Azure Sphere cihazında depolanır.
Anahtar Çifti: Şifrelemeye bağlı bir anahtar kümesi. Birçok senaryoda anahtar çifti ortak anahtar ve özel anahtar anlamına gelir; Ancak Azure Sphere EAP-TLS senaryosunda anahtar çifti istemci sertifikasını ve özel anahtarını gösterir.
Özel Anahtar: Güvenilen sahip dışında herhangi bir varlığa sunulmaması gereken bir anahtar.
Ortak anahtar altyapısı (PKI): Dijital sertifikaları oluşturmak, yönetmek, dağıtmak, kullanmak, depolamak ve iptal etmek ve ortak anahtar şifrelemesini yönetmek için gereken roller, ilkeler, donanım, yazılım ve yordamlar kümesi.
Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS): 1812 numaralı bağlantı noktasında çalışan ve bir ağ hizmetine bağlanan ve kullanan kullanıcılar için merkezi Kimlik Doğrulama, Yetkilendirme ve Muhasebe (AAA veya Üçlü A) yönetimi sağlayan bir ağ protokolü. RADIUS sunucusu bir istemciden kimlik doğrulama verilerini alır, doğrular ve ardından diğer ağ kaynaklarına erişimi etkinleştirir.
Rivest–Shamir–Adleman (RSA):RFC 3447 tabanlı ortak anahtar şifreleme sistemi).
Supplicant: Kablosuz istemci. Azure Sphere cihazı bir eksanttır.
EAP-TLS kimlik doğrulamasına genel bakış
Aşağıdaki diyagramda, Azure Sphere cihazının kimlik doğrulaması için EAP-TLS protokolunu kullandığı işlem özetlenmiştir.
Azure Sphere cihazı bir ağ kaynağına erişim gerektirdiğinde bir kablosuz erişim noktasıyla (AP) iletişim kurar. İsteği aldıktan sonra AP, cihazın kimliğini ister ve ardından kimlik doğrulama işlemini başlatmak için RADIUS sunucusuyla iletişim kurar. Erişim noktası ile cihaz arasındaki iletişimler, LAN (EAPOL) protokolü üzerinden EAP kapsüllemesini kullanır.
Erişim noktası EAPOL iletilerini RADIUS biçiminde yeniden kodlar ve RADIUS sunucusuna gönderir. RADIUS sunucusu, 1812 numaralı bağlantı noktasında ağ için kimlik doğrulama hizmetleri sağlar. Azure Sphere cihazı ve RADIUS sunucusu, kimlik doğrulama işlemini erişim noktası üzerinden gerçekleştirir ve bu işlem iletileri birinden diğerine aktarır. Kimlik doğrulaması tamamlandığında RADIUS sunucusu cihaza bir durum iletisi gönderir. Kimlik doğrulaması başarılı olursa, sunucu Azure Sphere cihazının bağlantı noktasını açar.
Kimlik doğrulaması başarılı olduktan sonra Azure Sphere cihazı diğer ağ ve İnternet kaynaklarına erişebilir.
Sunucu kimlik doğrulaması ve Cihaz kimlik doğrulaması , kimlik doğrulama işlemini daha ayrıntılı olarak açıklar.
Sunucu kimlik doğrulaması
Sunucu kimlik doğrulaması, karşılıklı EAP-TLS kimlik doğrulamasının ilk adımıdır. Karşılıklı kimlik doğrulamasında, RADIUS sunucusu cihazın kimliğini doğrulamakla kalmaz, aynı zamanda sunucunun kimliğini doğrular. Sunucu kimlik doğrulaması kesinlikle gerekli değildir, ancak ağınızı ve cihazlarınızı bunu destekleyecek şekilde yapılandırmanızı kesinlikle öneririz. Sunucu kimlik doğrulaması, hatalı veya sahte bir sunucunun ağın güvenliğini tehlikeye atamayacağından emin olmak için yardımcı olur.
Sunucu kimlik doğrulamasını etkinleştirmek için RADIUS sunucunuzun CA tarafından imzalanan bir sunucu kimlik doğrulama sertifikasına sahip olması gerekir. Sunucu kimlik doğrulama sertifikası, sunucu sertifika zincirinin sonunda bulunan ve isteğe bağlı olarak bir ara CA içerebilen ve sonunda Kök CA'da sonlandırılan bir "yaprak"tır.
Bir cihaz erişim istediğinde, sunucu tüm sertifika zincirini cihaza gönderir. Azure Sphere, sunucu kimlik doğrulama sertifikası veya zincirinde zaman doğrulama denetimlerini zorunlu kılmaz, çünkü cihaz ağ üzerinde kimlik doğrulaması yapıncaya kadar işletim sistemi zamanını geçerli bir zaman kaynağıyla eşitleyemez. Cihaz, sunucunun Kök CA'sı ile eşleşen bir Kök CA'ya güvenecek şekilde yapılandırılmışsa, sunucunun kimliğini doğrular. Cihazın eşleşen bir Kök CA'sı yoksa, sunucu kimlik doğrulaması başarısız olur ve cihaz ağ kaynaklarına erişemez. Kök CA sertifikasını güncelleştirme bölümünde açıklandığı gibi, cihazda RootCA'yı zaman zaman güncelleştirebilmeniz gerekir.
Cihaz kimlik doğrulaması
Sunucu kimlik doğrulaması tamamlandıktan sonra, cihaz kimlik bilgilerini oluşturmak için istemci sertifikasını gönderir. Cihaz bir istemci kimliği de geçirebilir. İstemci kimliği, bazı ağların kimlik doğrulaması için gerektirebileceği isteğe bağlı bilgilerdir.
Başarılı cihaz kimlik doğrulaması için belirli gereksinimler, ağınızın nasıl yapılandırıldığına bağlı olarak değişebilir. Ağ yöneticisi, Azure Sphere cihazlarınızın geçerliliğini kanıtlamak için ek bilgi gerektirebilir. Yapılandırmadan bağımsız olarak, istemci sertifikasını güncelleştirme bölümünde açıklandığı gibi cihaz sertifikasını zaman zaman güncelleştirebilmeniz gerekir.
Azure Sphere EAP-TLS platformu
Azure Sphere EAP-TLS platformu, ağ yapılandırması ve yönetimi için aşağıdaki özellikleri sağlar:
- bir yükleyin. Wi-Fi EAP-TLS bağlantıları için cihazın istemci sertifikasını ve özel anahtarını içeren PEM dosyası.
- Wi-Fi arabirimini EAP-TLS kullanacak şekilde yapılandırın. . Cihazın istemci sertifikasını içeren PEM dosyası cihazda mevcut olmalıdır.
- Cihaz sertifikası ve özel anahtar almak, EAP-TLS ağını etkinleştirmek ve EAP-TLS ağına bağlanmak için mevcut EAP-TLS olmayan bir ağa bağlanın.
- Uygulamaların, bir sertifika deposunda kimlik doğrulaması yapmak üzere HTTPS bağlantıları için kullanılan cihaz kimlik doğrulaması ve kanıtlama (DAA) sertifikasını kullanmasına olanak tanıyın.
- Wi-Fi ağlarını yönetmek için WifiConfig API'sini kullanın.
- Sertifikaları yönetmek için Certstore API'sini kullanın.
Diğer tüm EAP-TLS ağ bileşenleri yerel ağ yöneticisinin sorumluluğundadır.
EAP-TLS ağ kurulumu
EAP-TLS ağının kurulumu ağ yöneticinizin sorumluluğundadır. Ağ yöneticisi ortak anahtar altyapısını (PKI) tanımlamalı ve tüm ağ bileşenlerinin ilkelerine uygun olduğundan emin olmalıdır. Ağ kurulumu ve yapılandırması aşağıdaki görevleri içerir ancak bunlarla sınırlı değildir:
- RADIUS sunucusunu ayarlayın, CA sertifikasını alın ve yükleyin ve bir cihazın kimliğini kanıtlaması için ölçütleri belirleyin.
- Azure Sphere cihazlarınızı RADIUS sunucusunun kök CA'sı ile yapılandırarak sunucunun kimliğini doğrulayabilirler.
- Her cihaz için bir istemci sertifikası ve özel anahtar alın ve bunları cihaza yükleyin.
EAP-TLS sertifika alma ve dağıtımı , çeşitli ağ senaryolarında sertifikaların nasıl alınıp dağıtılacağı açıklanmaktadır.
İstemci kimlik doğrulaması için sertifika ve özel anahtar PEM biçiminde sağlanmalıdır. Özel anahtar PKCS1 veya PKCS8 söz diziminde, özel anahtar için simetrik anahtar parolası ile veya parola olmadan sağlanabilir. Kök CA sertifikası da PEM biçiminde sağlanmalıdır.
Aşağıdaki tabloda, Azure Sphere için EAP-TLS ağını yapılandırmada kullanılan bilgiler listelemektedir.
| Öğe | Açıklama | Şey |
|---|---|---|
| İstemci sertifikası | İstemci sertifikasının ortak anahtarını içeren imzalı CA sertifikası. Gerekli. | Maksimum boyut: 8 KiB Tanımlayıcı dizesinin uzunluk üst sınırı: 16 karakter |
| İstemci özel anahtarı | İstemci sertifikasıyla eşleştirilmiş özel anahtar. Gerekli. | Maksimum boyut: 8 Kib RSA desteklenir; ECC anahtarları desteklenmiyor |
| İstemci özel anahtarı parolası | İstemci özel anahtarını şifrelemek için kullanılan parola. Isteğe bağlı. | Minimum boyut: 1 bayt En büyük boyut: 256 bayt Boş dize ve null dize aynı şekilde yorumlanır |
| İstemci Kimliği | RADIUS sunucusuna geçirilen ve cihaz hakkında ek bilgi sağlayan ASCII dizesi. Bazı EAP-TLS ağları için gereklidir. | En büyük boyut: 254 bayt Biçim: user@domainname.com |
| Kök CA sertifikası | RADIUS sunucusunun kimlik doğrulama sertifikasının kök CA sertifikası. Her cihazda yapılandırılmalıdır. İsteğe bağlı ancak kesinlikle önerilir; ağ yöneticinizle görüşün. | Maksimum boyut: 8 KiB Tanımlayıcı dizesinin uzunluk üst sınırı: 16 karakter |
Önemli
Sertifika süre sonunu yönetmek de dahil olmak üzere ağınız için tüm PKI ve RADIUS sunucusu kurulumu sizin sorumluluğunuzdadır.