Einrichten des EAP-TLS-Netzwerks über die CLI
Zum Einrichten eines EAP-TLS-Netzwerks mit dem Befehl az sphere benötigen Sie das Stammzertifizierungsstellenzertifikat für den RADIUS-Server Ihres Netzwerks und das Clientzertifikat für Ihr Gerät. Die Zertifikate müssen im PEM-Format in der PKCS1- oder PKCS8-Syntax vorliegen. Unter Abrufen und Bereitstellen von Zertifikaten für EAP-TLS-Netzwerke erfahren Sie mehr über die Zertifikate und deren Abruf. Sie können OpenSSL verwenden, um eine PFX-Datei unter Linux und im Windows-Subsystem für Linux in das PEM-Format zu konvertieren.
Vorsicht
Da Zertifikat-IDs systemweit sind, kann ein az sphere-Befehl oder ein Funktionsaufruf, der ein neues Zertifikat hinzufügt, ein Zertifikat überschreiben, das von einem früheren Befehl oder Funktionsaufruf hinzugefügt wurde, was zu Netzwerkverbindungsfehlern führen kann. Es wird dringend empfohlen, eindeutige Prozeduren für die Zertifikataktualisierung zu entwickeln und Zertifikat-IDs sorgfältig auszuwählen.
Weitere Informationen zur Verwendung von Zertifikat-IDs in Azure Sphere finden Sie unter Zertifikat-IDs .
Führen Sie die folgenden Schritte aus, um das Netzwerk über die Befehlszeile einzurichten.
Schritt 1. Installieren des Clientzertifikats auf dem Gerät
Installieren Sie die Clientzertifikatinformationen, einschließlich des öffentlichen Zertifikats, des privaten Schlüssels und des Kennworts, wenn sie in Ihrem Netzwerk erforderlich sind. Verwenden Sie den Befehl az sphere device certificate add mit den folgenden Parametern:
| Parameter | Typ | Beschreibung | Unterstützte Version |
|---|---|---|---|
| -c, --certificate | Schnur | Gibt den Bezeichner des hinzuzufügenden Clientzertifikats an. Ein Zeichenfolgenbezeichner (bis zu 16 Zeichen). Gültige Zeichen sind Großbuchstaben (A-Z), Kleinbuchstaben (a-z), Zahlen (0-9), Unterstriche (_), Punkt (.) und Bindestriche (-). Dieser Bezeichner wird auch in Wi-Fi-Konfigurationen für EAP-TLS-Netzwerke verwendet. | Azure Sphere CLI |
| --cert-type | Schnur | Gibt den Typ des hinzuzufügenden Clientzertifikats an. Geben Sie "client" ein. | Azure Sphere CLI |
| --private-key-file | Schnur | Gibt den Pfad zu einer PEM-Datei des Zertifikats für den privaten Clientschlüssel an. Erforderlich beim Hinzufügen eines Zertifikats vom Typ "client". Sie können einen relativen oder absoluten Pfad angeben. | Azure Sphere CLI |
| -w, --private-key-password | Schnur | Gibt ein optionales Kennwort für den privaten Clientschlüssel an. Das Kennwort ist erforderlich, wenn Sie einen verschlüsselten privaten Clientzertifikatschlüssel hinzufügen. | Azure Sphere CLI |
Zum Beispiel:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Um ein Clientzertifikat hinzuzufügen, sind sowohl der Dateipfad für den öffentlichen Schlüssel als auch der Dateipfad des privaten Schlüssels in jedem Netzwerk erforderlich. Sie benötigen das Kennwort für den privaten Schlüssel nur, wenn der private Schlüssel verschlüsselt ist. Wenden Sie sich an Ihren Netzwerkadministrator.
Schritt 2. Installieren des Zertifikats der Stammzertifizierungsstelle
Installieren Sie das Zertifikat der Stammzertifizierungsstelle für Ihren RADIUS-Server, wenn Ihr Netzwerk eine gegenseitige Authentifizierung erfordert. Verwenden Sie den Befehl az sphere device certificate add mit den folgenden Parametern:
| Parameter | Typ | Beschreibung | Unterstützte Version |
|---|---|---|---|
| -c, --certificate | Schnur | Gibt den Bezeichner des hinzuzufügenden Stammzertifizierungsstellenzertifikats an. Ein Zeichenfolgenbezeichner (bis zu 16 Zeichen). Gültige Zeichen sind Großbuchstaben (A-Z), Kleinbuchstaben (a-z), Zahlen (0-9), Unterstriche (_), Punkt (.) und Bindestriche (-). Dieser Bezeichner wird auch in Wi-Fi-Konfigurationen für EAP-TLS-Netzwerke verwendet. | Azure Sphere CLI |
| --cert-type | Schnur | Gibt das hinzuzufügende Stammzertifizierungsstellenzertifikat an. Geben Sie "rootca" ein. | Azure Sphere CLI |
| --private-key-file | Schnur | Gibt den Pfad zu einer PEM-Datei mit privatem Rootca-Schlüsselzertifikat an. Sie können einen relativen oder absoluten Pfad angeben. | Azure Sphere CLI |
Zum Beispiel:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Schritt 3. Hinzufügen des Wi-Fi Netzwerks
Nachdem Sie die Zertifikate installiert haben, fügen Sie das EAP-TLS-Netzwerk auf Ihrem Gerät hinzu. Verwenden Sie den Befehl az sphere device wifi add mit den folgenden Parametern:
| Parameter | Typ | Beschreibung | Unterstützte Version |
|---|---|---|---|
| -s, --ssid | Schnur | Gibt die SSID des Netzwerks an. Bei Netzwerk-SSIDs wird die Groß-/Kleinschreibung beachtet. | Azure Sphere CLI |
| --client-cert-id | Schnur | [EAP-TLS] Gibt den Bezeichner (bis zu 16 Zeichen) an, der das Clientzertifikat (enthält sowohl den öffentlichen als auch den privaten Schlüssel) identifiziert. Erforderlich zum Einrichten eines EAP-TLS-Netzwerks. | Azure Sphere CLI |
| --client-id <user@domain> | Schnur | [EAP-TLS] Gibt die ID an, die vom RADIUS-Server des Netzwerks für die Authentifizierung erkannt wird. | Azure Sphere CLI |
| --config-name | Schnur | Gibt eine Zeichenfolge (bis zu 16 Zeichen) an, die den Namen für die Netzwerkkonfiguration angibt. | Azure Sphere CLI |
| --root-ca-cert-id | Schnur | [EAP-tLS] Gibt den Bezeichner (bis zu 16 Zeichen) an, der das Stammzertifizierungsstellenzertifikat des Servers für EAP-TLS-Netzwerke identifiziert, in denen das Gerät den Server authentifiziert. | Azure Sphere CLI |
Zum Beispiel:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Schritt 4. Erneutes Laden der Netzwerkkonfiguration
Nachdem Sie die Zertifikate installiert und das EAP-TLS-Netzwerk eingerichtet haben, müssen Sie die Netzwerkkonfiguration erneut laden, um sicherzustellen, dass sie den neuesten Inhalt des Zertifikatspeichers verwendet. Verwenden Sie den Befehl az sphere device wifi reload-config .
Zum Beispiel:
az sphere device wifi reload-config
Schritt 5. Überprüfen, ob das Netzwerk verbunden ist
Um zu überprüfen, ob Ihr Gerät mit dem Netzwerk verbunden ist, verwenden Sie den Befehl az sphere device wifi show-status. Überprüfen Sie die Ausgabe, um zu sehen, dass das von Ihnen erstellte Netzwerk aufgelistet, aktiviert und verbunden ist.
az sphere device wifi show-status
Der Befehl az sphere device wifi show zeigt die Details eines bestimmten Netzwerks an. Verwenden Sie diesen Befehl mit dem --id Parameter, um das Clientzertifikat, das Zertifikat der Stammzertifizierungsstelle und die Clientidentität aufzulisten, die für das Netzwerk konfiguriert sind. Zum Beispiel:
az sphere device wifi show --id 1