Configurar la red EAP-TLS desde el CLI
Para configurar una red EAP-TLS mediante el comando az sphere, necesitará el certificado de CA raíz para el servidor RADIUS de su red y el certificado de cliente para su dispositivo. Los certificados deben tener el formato .pem en sintaxis PKCS1 o PKCS8. Consulte Adquirir e implementar certificados para redes EAP-TLS para obtener información sobre los certificados y dónde obtenerlos. Puede usar OpenSSL para convertir un archivo PFX a formato .pem en Linux y en el subsistema de Windows para Linux.
Precaución
Dado que los id. de certificado son de todo el sistema, un comando az sphere o una llamada de función que agrega un certificado nuevo puede sobrescribir un certificado agregado por una llamada de función o comando anterior, lo que puede provocar errores en la conexión de red. Le recomendamos encarecidamente que desarrolle procedimientos claros de actualización de certificados y elija cuidadosamente los identificadores de certificado.
Consulte Identificadores de certificado para obtener más información sobre cómo Azure Sphere usa identificadores de certificado.
Sigue estos pasos para configurar la red desde la línea de comandos.
Paso 1. Instalar el certificado de cliente en el dispositivo
Instale la información del certificado de cliente, incluidos el certificado público, la clave privada y la contraseña, si se requieren en la red. Utilice el comando az sphere device add con los siguientes parámetros:
| Parámetro | Tipo | Descripción | Versión compatible |
|---|---|---|---|
| -c, --certificate | Cadena | Especifica el identificador del certificado de cliente que se va a agregar. Un identificador de cadena (hasta 16 caracteres). Los caracteres válidos incluyen letras mayúsculas (A-Z), minúsculas (a-z), números (0-9), subrayado (_), punto (.) y guión (-). Este identificador también se utiliza en Wi-Fi configuraciones para las redes EAP-TLS. | Azure Sphere CLI |
| --cert-type | Cadena | Especifica el tipo de certificado de cliente que se va a agregar. Escriba "cliente". | Azure Sphere CLI |
| --private-key-file | Cadena | Especifica la ruta de acceso a un archivo .pem de certificado de clave privada de cliente. Necesario al agregar un certificado de tipo "cliente". Puede proporcionar una ruta de acceso relativa o absoluta. | Azure Sphere CLI |
| -w, --private-key-password | Cadena | Especifica una contraseña opcional para la clave privada del cliente. La contraseña es necesaria al agregar una clave privada de certificado de cliente cifrada. | Azure Sphere CLI |
Por ejemplo:
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Para agregar un certificado de cliente, la ruta de acceso del archivo de clave pública y la ruta del archivo de clave privada son necesarias en todas las redes. Solo necesita la contraseña de la clave privada si la clave privada está cifrada; ponte en contacto con el administrador de red.
Paso 2. Instalar el certificado de CA raíz
Instale el certificado de CA raíz para su servidor RADIUS, si su red requiere autenticación mutua. Utilice el comando az sphere device add con los siguientes parámetros:
| Parámetro | Tipo | Descripción | Versión compatible |
|---|---|---|---|
| -c, --certificate | Cadena | Especifica el identificador del certificado de CA raíz que se va a agregar. Un identificador de cadena (hasta 16 caracteres). Los caracteres válidos incluyen letras mayúsculas (A-Z), minúsculas (a-z), números (0-9), subrayado (_), punto (.) y guión (-). Este identificador también se utiliza en Wi-Fi configuraciones para las redes EAP-TLS. | Azure Sphere CLI |
| --cert-type | Cadena | Especifica el certificado de CA raíz que se va a agregar. Escribe "rootca". | Azure Sphere CLI |
| --private-key-file | Cadena | Especifica la ruta de acceso a un archivo .pem de certificado de clave privada rootca. Puede proporcionar una ruta de acceso relativa o absoluta. | Azure Sphere CLI |
Por ejemplo:
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Paso 3. Agregar la red Wi-Fi
Después de instalar los certificados, agregue la red EAP-TLS en su dispositivo. Utilice el comando az sphere device wifi add con los siguientes parámetros:
| Parámetro | Tipo | Descripción | Versión compatible |
|---|---|---|---|
| -s, --ssid | Cadena | Especifica el SSID de la red. Los IDS de red distinguen mayúsculas de minúsculas. | Azure Sphere CLI |
| --client-cert-id | Cadena | [EAP-TLS] Especifica el identificador (hasta 16 caracteres) que identifica el certificado de cliente (que contiene la clave pública y la privada). Necesario para configurar una red EAP-TLS. | Azure Sphere CLI |
| --client-id <user@domain> | Cadena | [EAP-TLS] Especifica el ID reconocido para la autenticación por el servidor RADIUS de la red. | Azure Sphere CLI |
| --config-name | Cadena | Especifica una cadena (hasta 16 caracteres) que especifica el nombre de la configuración de red. | Azure Sphere CLI |
| --root-ca-cert-id | Cadena | [EAP-tLS] Especifica el identificador (hasta 16 caracteres) que identifica el certificado de CA raíz del servidor para las redes EAP-TLS donde el dispositivo autentica el servidor. | Azure Sphere CLI |
Por ejemplo:
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Paso 4. Volver a cargar la configuración de red
Después de que haya instalado los certificados y configurado la red EAP-TLS, usted necesita volver a cargar la configuración de la red para asegurarse de que utiliza el contenido más reciente del almacén de certificados. Utilice el comando az sphere device wifi reload-config .
Por ejemplo:
az sphere device wifi reload-config
Paso 5. Comprobar que la red está conectada
Para verificar que el dispositivo se ha conectado a la red, utilice el comando az sphere device wifi show-status . Compruebe la salida para ver que la red que creó aparece en la lista, está habilitada y conectada.
az sphere device wifi show-status
El comando az sphere device wifi show muestra los detalles de una red en particular. Utilice este comando con el --id parámetro para enumerar el certificado de cliente, el certificado de CA raíz y la identidad de cliente que se configuran para la red. Por ejemplo:
az sphere device wifi show --id 1