Adquirir e implantar certificados para redes EAP-TLS

  • Artigo

Importante

Esta é a documentação do Azure Sphere (herdado). O Azure Sphere (herdado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).

Antes que um dispositivo do Azure Sphere possa se conectar a uma rede EAP-TLS, ele deve ter um certificado do cliente que o servidor RADIUS possa usar para autenticar o dispositivo. Se a rede exigir autenticação mútua, cada dispositivo também precisará ter um Certificado de Autoridade de Certificação raiz para que ele possa autenticar o servidor RADIUS.

A forma como você adquire e implanta esses certificados depende dos recursos de rede disponíveis para seus dispositivos.

  • Se a rede EAP-TLS for a única rede disponível, você precisará implantar os certificados manualmente.
  • Se outra forma de rede, como uma rede aberta, estiver disponível, você poderá usar uma abordagem de inicialização. Na abordagem de inicialização, um aplicativo do Azure Sphere de alto nível adquire os certificados da rede aberta e os usa para se conectar à rede EAP-TLS.

Cuidado

Como as IDs de certificado são de todo o sistema, um comando azsphere ou uma chamada de função que adiciona um novo certificado pode substituir um certificado que foi adicionado por um comando ou chamada de função anterior, potencialmente causando falhas de conexão de rede. Recomendamos que você desenvolva procedimentos de atualização de certificado bem definidos e escolha IDs de certificado com cuidado. Confira IDs de Certificado para obter detalhes.

Implantação manual

Se a rede EAP-TLS for a única rede disponível para seus dispositivos, você precisará implantar os certificados manualmente. A implantação manual envolve a aquisição dos certificados usando um computador em rede ou Linux e, em seguida, o carregamento dos certificados em cada dispositivo do Azure Sphere usando a CLI do Azure Sphere. Essa abordagem requer uma conexão física entre o computador PC ou Linux e o dispositivo Azure Sphere.

Adquirir os certificados manualmente

A CA raiz e os certificados do cliente devem estar no . PEM para carregar no dispositivo do Azure Sphere. Você precisará adquirir o Certificado de Autoridade de Certificação raiz do servidor apropriado, juntamente com o certificado do cliente e a chave privada (e, opcionalmente, uma senha para sua chave privada) para seu dispositivo. Cada certificado deve ser gerado e assinado pelo servidor apropriado em sua rede EAP-TLS. O administrador de rede ou a equipe de segurança pode fornecer os detalhes de que você precisa para obter os certificados.

Salve os certificados no arquivo . PEM em seu computador computador ou Linux e, em seguida, use a CLI do Azure Sphere para armazená-los no dispositivo do Azure Sphere.

Armazenar os certificados usando a CLI

Anexe o dispositivo Azure Sphere ao seu computador PC ou Linux em rede e use o comando azsphere para armazenar os certificados no dispositivo.

Para armazenar o Certificado de Autoridade de Certificação raiz no dispositivo Azure Sphere:

azsphere device certificate add --cert-id "server-key-xyz" --cert-type rootca --public-key-file <filepath_to_server_ca_public.pem>

Para armazenar o certificado do cliente no dispositivo Azure Sphere:

azsphere device certificate add --cert-id "client-key-abc" --cert-type client --public-key-file <filepath_to_client_public.pem> --private-key-file <filepath_to_client_private.pem> --private-key-password "_password_"

Implantação de inicialização

Para conectar dispositivos Azure Sphere em números grandes ou em muitos locais, considere usar uma abordagem de inicialização. Para usar esse método, seus dispositivos devem ser capazes de se conectar a uma rede por meio da qual eles podem acessar um servidor que possa fornecer os certificados. Seu aplicativo do Azure Sphere de alto nível se conecta ao servidor pela rede disponível, solicita os certificados e os armazena no dispositivo.

A figura a seguir resume esse processo.

Fluxo de certificados durante a implantação de inicialização

  1. O aplicativo no dispositivo Azure Sphere se conecta à rede aberta e contata o Serviço de Segurança do Azure Sphere para obter o certificado DAA dele. Em seguida, ele instala o certificado DAA no dispositivo. O dispositivo deve usar esse certificado para autenticar-se com o serviço de emissão de certificados.

  2. Depois, o aplicativo se conecta ao serviço de emissão de certificados que o administrador da rede designou. Ele apresenta o certificado DAA dele para validar a identidade dele com o servidor e solicita o Certificado de Autoridade de Certificação raiz para o servidor RADIUS na rede EAP-TLS, juntamente com o certificado do cliente e a chave privada. O serviço pode passar outras informações para o aplicativo, como a identidade do cliente, bem como a senha da chave privada, se necessário. Em seguida, o aplicativo instala o certificado do cliente, a chave privada do cliente e o Certificado de Autoridade de Certificação raiz no dispositivo. Em seguida, ele pode se desconectar da rede aberta.

  3. O aplicativo configura e habilita a rede EAP-TLS. Ele fornece o certificado do cliente e a chave privada para provar a identidade do dispositivo. Se a rede der suporte à autenticação mútua, o aplicativo também autenticará o servidor RADIUS usando o Certificado de Autoridade de Certificação raiz.

Autenticar o dispositivo e obter o certificado do cliente durante a inicialização

Um dispositivo Azure Sphere pode usar o certificado DAA (autenticação e atestado de dispositivo) dele para se autenticar em um serviço que pode fornecer os outros certificados necessários. O certificado DAA está disponível no Serviço de Segurança do Azure Sphere.

Para obter o certificado DAA:

  1. Especifique a ID de locatário do Azure Sphere na seção DeviceAuthentication do manifesto do aplicativo para o aplicativo de alto nível.
  2. Chame DeviceAuth_CurlSslFunc do aplicativo de alto nível para obter a cadeia de certificados para o locatário do Azure Sphere atual.

Se o manifesto do aplicativo incluir a ID de locatário do Azure Sphere para o dispositivo atual, a função DeviceAuth_CurlSslFunc usará a cadeia de certificados do cliente DAA para se autenticar se o serviço de destino exigir autenticação mútua TLS.

Obter o Certificado de Autoridade de Certificação raiz para o servidor RADIUS

Para obter o Certificado de Autoridade de Certificação raiz para o servidor RADIUS, o aplicativo se conecta a um ponto de extremidade do servidor do certificado que pode ser acessado na própria rede dele e pode fornecer o certificado. O administrador de rede deve ser capaz de fornecer informações sobre como se conectar ao ponto de extremidade e recuperar o certificado.

Instalar os certificados usando a API CertStore

O aplicativo usa a API CertStore para instalar os certificados no dispositivo. A função CertStore_InstallClientCertificate instala o certificado do cliente e CertStore_InstallRootCACertificate instala o Certificado de Autoridade de Certificação raiz para o servidor RADIUS. Gerenciar certificados em aplicativos de alto nível fornece informações adicionais sobre como usar a API CertStore para o gerenciamento de certificados.

O Aplicativo de exemplo de certificados mostra como um aplicativo pode usar essas funções.