Share via

EAP-TLS gebruiken

  • Artikel

Azure Sphere ondersteunt het gebruik van Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) om verbinding te maken met Wi-Fi netwerken. EAP-TLS wordt niet ondersteund via Ethernet.

EAP-TLS voor Wi-Fi is een veelgebruikte verificatiemethode in scenario's die gericht zijn op beveiliging. Het biedt aanzienlijk meer beveiliging dan het gebruik van het SSID-wachtwoord als een globaal geheim, maar vereist extra werk om ervoor te zorgen dat het Azure Sphere-apparaat en het netwerk correct zijn geconfigureerd en geverifieerd.

De EAP-TLS-protocolspecificatie wordt beschreven in RFC 5216. Het Azure Sphere-besturingssysteem implementeert het EAP-TLS-protocol niet rechtstreeks; In plaats daarvan bevat het een opensource-wpa_supplicant-onderdeel waarmee het protocol wordt geïmplementeerd.

Terminologie

Toegangspunt (AP): Een netwerkhardwareapparaat waarmee andere Wi-Fi apparaten verbinding kunnen maken met een bekabeld netwerk.

Certificaat: Een openbare sleutel en andere metagegevens die zijn ondertekend door een CA.

Certificeringsinstantie (CA): Een entiteit die digitale certificaten ondertekent en uitgeeft.

CA-certificaat: Het basis-CA-certificaat waarnaar de verificatiecertificaat van de RADIUS-server is gekoppeld. Deze openbare sleutel kan worden opgeslagen op het Azure Sphere-apparaat.

Clientcertificaat: Het certificaat en de persoonlijke sleutel die worden gebruikt om te verifiëren bij het netwerk. Het clientcertificaat en de gekoppelde persoonlijke sleutel worden opgeslagen op het Azure Sphere-apparaat.

Sleutelpaar: Een cryptografisch gebonden set sleutels. In veel scenario's betekent een sleutelpaar een openbare sleutel en een persoonlijke sleutel; in het Azure Sphere EAP-TLS-scenario geeft sleutelpaar echter het clientcertificaat en de persoonlijke sleutel aan.

Persoonlijke sleutel: Een sleutel die niet mag worden weergegeven voor een entiteit, behalve de vertrouwde eigenaar.

Openbare-sleutelinfrastructuur (PKI): De set rollen, beleidsregels, hardware, software en procedures die nodig zijn voor het maken, beheren, distribueren, gebruiken, opslaan en intrekken van digitale certificaten en het beheren van versleuteling met openbare sleutels.

Remote Authentication Dial-In User Service (RADIUS): Een netwerkprotocol dat werkt op poort 1812 en gecentraliseerd beheer van verificatie, autorisatie en accounting (AAA of Triple A) biedt voor gebruikers die verbinding maken met en gebruikmaken van een netwerkservice. Een RADIUS-server ontvangt verificatiegegevens van een client, valideert deze en schakelt vervolgens toegang tot andere netwerkbronnen in.

Rivest–Shamir–Adleman (RSA): Een cryptosysteem met openbare sleutel dat is gebaseerd op RFC 3447).

Supplicant: De draadloze client. Het Azure Sphere-apparaat is een supplicant.

Overzicht van EAP-TLS-verificatie

Het volgende diagram geeft een overzicht van het proces waarmee een Azure Sphere-apparaat het EAP-TLS-protocol gebruikt om te verifiëren.

EAP_TLS verificatie

  1. Wanneer een Azure Sphere-apparaat toegang tot een netwerkresource vereist, maakt het contact met een draadloos toegangspunt (AP). Na ontvangst van de aanvraag vraagt de AP om de identiteit van het apparaat en neemt vervolgens contact op met de RADIUS-server om het verificatieproces te initiëren. Communicatie tussen het toegangspunt en het apparaat gebruikt het EAP-protocol voor inkapseling via LAN (EAPOL).

  2. Het toegangspunt codeert de EAPOL-berichten opnieuw in radius-indeling en verzendt ze naar de RADIUS-server. De RADIUS-server biedt verificatieservices voor het netwerk op poort 1812. Het Azure Sphere-apparaat en de RADIUS-server voeren het verificatieproces uit via het toegangspunt, dat de berichten van de ene naar de andere doorgeeft. Wanneer de verificatie is voltooid, verzendt de RADIUS-server een statusbericht naar het apparaat. Als de verificatie slaagt, opent de server de poort voor het Azure Sphere-apparaat.

  3. Na een geslaagde verificatie heeft het Azure Sphere-apparaat toegang tot andere netwerk- en internetbronnen.

Serververificatie en Apparaatverificatie beschrijven het verificatieproces in meer detail.

Serververificatie

Serververificatie is de eerste stap in wederzijdse EAP-TLS-verificatie. Bij wederzijdse verificatie verifieert niet alleen de RADIUS-server het apparaat, maar ook de server. Serververificatie is niet strikt vereist, maar we raden u ten zeerste aan uw netwerk en apparaten te configureren om dit te ondersteunen. Serververificatie helpt ervoor te zorgen dat een rogue- of bedriegende server de beveiliging van het netwerk niet in gevaar kan komen.

Als u serververificatie wilt inschakelen, moet uw RADIUS-server beschikken over een serververificatiecertificaat dat is ondertekend door een CA. Het certificaat voor serververificatie is een 'leaf' aan het einde van de certificaatketen van de server, die optioneel een tussenliggende CA kan bevatten en uiteindelijk wordt beëindigd in een basis-CA.

Wanneer een apparaat toegang aanvraagt, verzendt de server de volledige certificaatketen naar het apparaat. Azure Sphere dwingt geen tijdvalidatiecontroles af voor het serververificatiecertificaat of de serververificatieketen, omdat het apparaat de tijd van het besturingssysteem niet kan synchroniseren met een geldige tijdbron totdat het is geverifieerd bij het netwerk. Als het apparaat is geconfigureerd om een basis-CA te vertrouwen die overeenkomt met de basis-CA van de server, wordt de identiteit van de server gevalideerd. Als het apparaat geen overeenkomende basis-CA heeft, mislukt de serververificatie en heeft het apparaat geen toegang tot netwerkbronnen. U moet de RootCA op het apparaat van tijd tot tijd kunnen bijwerken, zoals beschreven in Een basis-CA-certificaat bijwerken.

Apparaatverificatie

Nadat de serververificatie is voltooid, verzendt het apparaat het clientcertificaat om de referenties vast te stellen. Het apparaat kan ook een client-id doorgeven. De client-id is optionele informatie die sommige netwerken nodig hebben voor verificatie.

De specifieke vereisten voor een geslaagde apparaatverificatie kunnen variëren, afhankelijk van hoe uw specifieke netwerk is geconfigureerd. De netwerkbeheerder kan aanvullende informatie nodig hebben om de geldigheid van uw Azure Sphere-apparaten te bewijzen. Ongeacht de configuratie moet u het apparaatcertificaat van tijd tot tijd kunnen bijwerken, zoals beschreven in Een clientcertificaat bijwerken.

Azure Sphere EAP-TLS-platform

Het Azure Sphere EAP-TLS-platform biedt de volgende mogelijkheden voor netwerkconfiguratie en -beheer:

  • Laad een . PEM-bestand met het clientcertificaat en de persoonlijke sleutel van het apparaat voor Wi-Fi EAP-TLS-verbindingen.
  • Configureer de Wi-Fi-interface voor het gebruik van EAP-TLS. De. PEM-bestand dat het clientcertificaat van het apparaat bevat, moet aanwezig zijn op het apparaat.
  • Maak verbinding met een bestaand niet-EAP-TLS-netwerk om een apparaatcertificaat en persoonlijke sleutel op te halen, een EAP-TLS-netwerk in te schakelen en verbinding te maken met het EAP-TLS-netwerk.
  • Schakel toepassingen in om het DAA-certificaat (apparaatverificatie en attestation) te gebruiken dat wordt gebruikt voor HTTPS-verbindingen om te verifiëren bij een certificaatarchief.
  • WifiConfig-API voor het beheren van Wi-Fi netwerken.
  • Certstore-API voor het beheren van certificaten.

Alle andere EAP-TLS-netwerkonderdelen zijn de verantwoordelijkheid van de lokale netwerkbeheerder.

EAP-TLS-netwerk instellen

De installatie van het EAP-TLS-netwerk is de verantwoordelijkheid van uw netwerkbeheerder. De netwerkbeheerder moet de PKI (Public Key Infrastructure) definiëren en ervoor zorgen dat alle netwerkonderdelen voldoen aan het bijbehorende beleid. Netwerkinstallatie en -configuratie omvat, maar is niet beperkt tot, de volgende taken:

  • Stel de RADIUS-server in, verwerf en installeer het CA-certificaat en stel de criteria vast voor het bewijzen van de identiteit van een apparaat.
  • Configureer uw Azure Sphere-apparaten met de hoofd-CA van de RADIUS-server, zodat ze de server kunnen verifiëren.
  • Verkrijg een clientcertificaat en persoonlijke sleutel voor elk apparaat en laad deze op het apparaat.

Het verkrijgen en implementeren van EAP-TLS-certificaten beschrijft hoe u certificaten kunt verkrijgen en implementeren in verschillende netwerkscenario's.

Het certificaat en de persoonlijke sleutel voor clientverificatie moeten worden opgegeven in PEM-indeling. De persoonlijke sleutel kan worden opgegeven in PKCS1- of PKCS8-syntaxis, met of zonder een symmetrisch sleutelwachtwoord voor de persoonlijke sleutel. Het basis-CA-certificaat moet ook worden opgegeven in PEM-indeling.

De volgende tabel bevat de informatie die wordt gebruikt bij het configureren van een EAP-TLS-netwerk voor Azure Sphere.

Item Beschrijving Details
Clientcertificaat Ondertekend CA-certificaat dat de openbare sleutel voor het clientcertificaat bevat. Vereist. Maximale grootte: 8 KiB
Maximale lengte van id-tekenreeks: 16 tekens
Persoonlijke clientsleutel Persoonlijke sleutel die is gekoppeld aan het clientcertificaat. Vereist. Maximale grootte: 8 Kib
RSA ondersteund; ECC-sleutels worden niet ondersteund
Wachtwoord voor persoonlijke sleutel client Wachtwoord dat wordt gebruikt om de persoonlijke sleutel van de client te versleutelen. Optionele. Minimale grootte: 1 bytes
Maximale grootte: 256 bytes
Lege tekenreeks en null-tekenreeks worden als hetzelfde geïnterpreteerd
Client-id ASCII-tekenreeks die wordt doorgegeven aan de RADIUS-server en aanvullende informatie biedt over het apparaat. Vereist voor sommige EAP-TLS-netwerken. Maximale grootte: 254 bytes
Formaat: user@domainname.com
Basis-CA-certificaat Basis-CA-certificaat van het verificatiecertificaat van de RADIUS-server. Moet op elk apparaat worden geconfigureerd. Optioneel, maar sterk aanbevolen; neem contact op met uw netwerkbeheerder. Maximale grootte: 8 KiB
Maximale lengte van id-tekenreeks: 16 tekens

Belangrijk

U bent verantwoordelijk voor alle PKI- en RADIUS-serverinstellingen voor uw netwerk, inclusief het beheren van het verlopen van certificaten.