EAP-TLS-netwerk instellen vanuit CLI
Als u een EAP-TLS-netwerk wilt instellen met behulp van de opdracht az sphere, hebt u het basis-CA-certificaat voor de RADIUS-server van uw netwerk en het clientcertificaat voor uw apparaat nodig. De certificaten moeten de .pem-indeling hebben in PKCS1- of PKCS8-syntaxis. Zie Certificaten verkrijgen en implementeren voor EAP-TLS-netwerken voor meer informatie over de certificaten en waar u deze kunt verkrijgen. U kunt OpenSSL gebruiken om een PFX-bestand te converteren naar de PEM-indeling in Linux en op het Windows-subsysteem voor Linux.
Voorzichtigheid
Omdat certificaat-id's systeembreed zijn, kan een az sphere-opdracht of een functieaanroep waarmee een nieuw certificaat wordt toegevoegd een certificaat overschrijven dat is toegevoegd door een eerdere opdracht of functieaanroep, waardoor netwerkverbindingsfouten kunnen optreden. We raden u ten zeerste aan duidelijke procedures voor het bijwerken van certificaten te ontwikkelen en certificaat-id's zorgvuldig te kiezen.
Zie Certificaat-id's voor meer informatie over hoe Azure Sphere certificaat-id's gebruikt.
Volg deze stappen om het netwerk in te stellen vanaf de opdrachtregel.
Stap 1. Het clientcertificaat op het apparaat installeren
Installeer de clientcertificaatgegevens, inclusief het openbare certificaat en de persoonlijke sleutel en het wachtwoord, als ze op uw netwerk zijn vereist. Gebruik de opdracht az sphere device certificate add met de volgende parameters:
| Parameter | Type | Beschrijving | Ondersteunde versie |
|---|---|---|---|
| -c, --certificate | Tekenreeks | Hiermee geeft u de id van het clientcertificaat toe te voegen. Een tekenreeks-id (maximaal 16 tekens). Geldige tekens zijn hoofdletters (A-Z), kleine letters (a-z), cijfers (0-9), onderstrepingsteken (_), punt (.) en afbreekstreepje (-). Deze id wordt ook gebruikt in Wi-Fi configuraties voor EAP-TLS-netwerken. | Azure Sphere CLI |
| --cert-type | Tekenreeks | Hiermee geeft u het type clientcertificaat dat moet worden toegevoegd. Voer 'client' in. | Azure Sphere CLI |
| --private-key-file | Tekenreeks | Hiermee geeft u het pad naar een .pem-bestand met een clientsleutelcertificaat op. Vereist bij het toevoegen van een certificaat van het type 'client'. U kunt een relatief of absoluut pad opgeven. | Azure Sphere CLI |
| -w, --private-key-password | Tekenreeks | Hiermee geeft u een optioneel wachtwoord voor de persoonlijke clientsleutel. Het wachtwoord is vereist wanneer u een persoonlijke sleutel voor een clientcertificaat toevoegt die is versleuteld. | Azure Sphere CLI |
Bijvoorbeeld:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Als u een clientcertificaat wilt toevoegen, zijn zowel het bestandspad voor de openbare sleutel als het pad naar het privésleutelbestand vereist op elk netwerk. U hebt het wachtwoord van de persoonlijke sleutel alleen nodig als de persoonlijke sleutel is versleuteld; neem contact op met uw netwerkbeheerder.
Stap 2. Het basis-CA-certificaat installeren
Installeer het basis-CA-certificaat voor uw RADIUS-server als voor uw netwerk wederzijdse verificatie is vereist. Gebruik de opdracht az sphere device certificate add met de volgende parameters:
| Parameter | Type | Beschrijving | Ondersteunde versie |
|---|---|---|---|
| -c, --certificate | Tekenreeks | Hiermee geeft u de id van het basis-CA-certificaat toe te voegen. Een tekenreeks-id (maximaal 16 tekens). Geldige tekens zijn hoofdletters (A-Z), kleine letters (a-z), cijfers (0-9), onderstrepingsteken (_), punt (.) en afbreekstreepje (-). Deze id wordt ook gebruikt in Wi-Fi configuraties voor EAP-TLS-netwerken. | Azure Sphere CLI |
| --cert-type | Tekenreeks | Hiermee geeft u het basis-CA-certificaat dat moet worden toegevoegd. Voer 'rootca' in. | Azure Sphere CLI |
| --private-key-file | Tekenreeks | Hiermee geeft u het pad naar een rootca persoonlijke sleutel certificaat .pem-bestand. U kunt een relatief of absoluut pad opgeven. | Azure Sphere CLI |
Bijvoorbeeld:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Stap 3. Het Wi-Fi-netwerk toevoegen
Nadat u de certificaten hebt geïnstalleerd, voegt u het EAP-TLS-netwerk toe op uw apparaat. Gebruik de opdracht az sphere device wifi add met de volgende parameters:
| Parameter | Type | Beschrijving | Ondersteunde versie |
|---|---|---|---|
| -s, --ssid | Tekenreeks | Hiermee geeft u de SSID van het netwerk. Netwerk-SSID's zijn hoofdlettergevoelig. | Azure Sphere CLI |
| --client-cert-id | Tekenreeks | [EAP-TLS] Hiermee geeft u de id (maximaal 16 tekens) die het clientcertificaat identificeert (met zowel de openbare als de persoonlijke sleutel). Vereist voor het instellen van een EAP-TLS-netwerk. | Azure Sphere CLI |
| --client-id <user@domain> | Tekenreeks | [EAP-TLS] Hiermee geeft u de id die wordt herkend voor verificatie door de RADIUS-server van het netwerk. | Azure Sphere CLI |
| --config-name | Tekenreeks | Hiermee geeft u een tekenreeks op (maximaal 16 tekens) die de naam voor de netwerkconfiguratie opgeeft. | Azure Sphere CLI |
| --root-ca-cert-id | Tekenreeks | [EAP-tLS] Hiermee geeft u de id (maximaal 16 tekens) op die het basis-CA-certificaat van de server identificeert voor EAP-TLS-netwerken waar het apparaat de server verifieert. | Azure Sphere CLI |
Bijvoorbeeld:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Stap 4. De netwerkconfiguratie opnieuw laden
Nadat u de certificaten hebt geïnstalleerd en het EAP-TLS-netwerk hebt ingesteld, moet u de netwerkconfiguratie opnieuw laden om ervoor te zorgen dat deze de meest recente inhoud van het certificaatarchief gebruikt. Gebruik de opdracht az sphere device wifi reload-config .
Bijvoorbeeld:
az sphere device wifi reload-config
Stap 5. Controleer of het netwerk is verbonden
Als u wilt controleren of uw apparaat is verbonden met het netwerk, gebruikt u de opdracht az sphere device wifi show-status . Controleer de uitvoer om te zien of het netwerk dat u hebt gemaakt, wordt weergegeven, ingeschakeld en verbonden is.
az sphere device wifi show-status
De opdracht az sphere device wifi show geeft de details van een bepaald netwerk weer. Gebruik deze opdracht met de --id parameter om het clientcertificaat, het basis-CA-certificaat en de clientidentiteit weer te geven die zijn geconfigureerd voor het netwerk. Bijvoorbeeld:
az sphere device wifi show --id 1