Configurer un réseau EAP-TLS à partir de l’interface CLI
Pour configurer un réseau EAP-TLS à l’aide de la commande az sphere, vous avez besoin du certificat d’autorité de certification racine pour le serveur RADIUS de votre réseau et du certificat client pour votre appareil. Les certificats doivent être au format .pem dans la syntaxe PKCS1 ou PKCS8. Consultez Acquérir et déployer des certificats pour les réseaux EAP-TLS pour en savoir plus sur les certificats et où les obtenir. Vous pouvez utiliser OpenSSL pour convertir un fichier PFX au format .pem sur Linux et sur le sous-système Windows pour Linux.
Attention
Étant donné que les ID de certificat sont à l’échelle du système, une commande az sphere ou un appel de fonction qui ajoute un nouveau certificat peut remplacer un certificat qui a été ajouté par une commande ou un appel de fonction antérieur, ce qui peut entraîner des échecs de connexion réseau. Nous vous recommandons vivement de développer des procédures de mise à jour de certificat claires et de choisir soigneusement les ID de certificat.
Pour plus d’informations sur la façon dont Azure Sphere utilise les ID de certificat, consultez ID de certificat.
Procédez comme suit pour configurer le réseau à partir de la ligne de commande.
Étape 1. Installer le certificat client sur l’appareil
Installez les informations du certificat client, notamment le certificat public, la clé privée et le mot de passe, si nécessaire sur votre réseau. Utilisez la commande az sphere device certificate add avec les paramètres suivants :
| Paramètre | Type | Description | Version prise en charge |
|---|---|---|---|
| -c, --certificate | String | Spécifie l’identificateur du certificat client à ajouter. Identificateur de chaîne (jusqu’à 16 caractères). Les caractères valides incluent des majuscules (A-Z), des lettres minuscules (a-z), des chiffres (0-9), un trait de soulignement (_), un point (.) et un trait d’union (-). Cet identificateur est également utilisé dans les configurations Wi-Fi pour les réseaux EAP-TLS. | Azure Sphere CLI |
| --cert-type | String | Spécifie le type de certificat client à ajouter. Entrez « client ». | Azure Sphere CLI |
| --private-key-file | String | Spécifie le chemin d’accès à un fichier .pem de certificat de clé privée client. Obligatoire lors de l’ajout d’un certificat de type « client ». Vous pouvez fournir un chemin d’accès relatif ou absolu. | Azure Sphere CLI |
| -w, --private-key-password | String | Spécifie un mot de passe facultatif pour la clé privée du client. Le mot de passe est requis lors de l’ajout d’une clé privée de certificat client chiffrée. | Azure Sphere CLI |
Par exemple :
az sphere device certificate add --certificate myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Pour ajouter un certificat client, le chemin d’accès au fichier de clé publique et le chemin du fichier de clé privée sont requis sur chaque réseau. Vous avez besoin du mot de passe de la clé privée uniquement si la clé privée est chiffrée ; case activée avec votre administrateur réseau.
Étape 2. Installer le certificat d’autorité de certification racine
Installez le certificat d’autorité de certification racine pour votre serveur RADIUS, si votre réseau nécessite une authentification mutuelle. Utilisez la commande az sphere device certificate add avec les paramètres suivants :
| Paramètre | Type | Description | Version prise en charge |
|---|---|---|---|
| -c, --certificate | String | Spécifie l’identificateur du certificat d’autorité de certification racine à ajouter. Identificateur de chaîne (jusqu’à 16 caractères). Les caractères valides incluent des majuscules (A-Z), des lettres minuscules (a-z), des chiffres (0-9), un trait de soulignement (_), un point (.) et un trait d’union (-). Cet identificateur est également utilisé dans les configurations Wi-Fi pour les réseaux EAP-TLS. | Azure Sphere CLI |
| --cert-type | String | Spécifie le certificat d’autorité de certification racine à ajouter. Entrez « rootca ». | Azure Sphere CLI |
| --private-key-file | String | Spécifie le chemin d’accès à un fichier .pem de certificat de clé privée rootca. Vous pouvez fournir un chemin d’accès relatif ou absolu. | Azure Sphere CLI |
Par exemple :
az sphere device certificate add --certificate myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Étape 3. Ajouter le réseau Wi-Fi
Après avoir installé les certificats, ajoutez le réseau EAP-TLS sur votre appareil. Utilisez la commande az sphere device wifi add avec les paramètres suivants :
| Paramètre | Type | Description | Version prise en charge |
|---|---|---|---|
| -s, --ssid | String | Spécifie le SSID du réseau. Les SSID réseau respectent la casse. | Azure Sphere CLI |
| --client-cert-id | String | [EAP-TLS] Spécifie l’identificateur (jusqu’à 16 caractères) qui identifie le certificat client (contenant à la fois la clé publique et la clé privée). Requis pour configurer un réseau EAP-TLS. | Azure Sphere CLI |
| --client-id <user@domain> | String | [EAP-TLS] Spécifie l’ID reconnu pour l’authentification par le serveur RADIUS du réseau. | Azure Sphere CLI |
| --config-name | String | Spécifie une chaîne (jusqu’à 16 caractères) qui spécifie le nom de la configuration réseau. | Azure Sphere CLI |
| --root-ca-cert-id | String | [EAP-tLS] Spécifie l’identificateur (jusqu’à 16 caractères) qui identifie le certificat d’autorité de certification racine du serveur pour les réseaux EAP-TLS où l’appareil authentifie le serveur. | Azure Sphere CLI |
Par exemple :
az sphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Étape 4. Recharger la configuration réseau
Une fois que vous avez installé les certificats et configuré le réseau EAP-TLS, vous devez recharger la configuration réseau pour vous assurer qu’elle utilise le contenu le plus récent du magasin de certificats. Utilisez la commande az sphere device wifi reload-config .
Par exemple :
az sphere device wifi reload-config
Étape 5. Vérifier que le réseau est connecté
Pour vérifier que votre appareil est connecté au réseau, utilisez la commande az sphere device wifi show-status. Vérifiez la sortie pour voir que le réseau que vous avez créé est répertorié, activé et connecté.
az sphere device wifi show-status
La commande az sphere device wifi show affiche les détails d’un réseau particulier. Utilisez cette commande avec le --id paramètre pour répertorier le certificat client, le certificat d’autorité de certification racine et l’identité client configurés pour le réseau. Par exemple :
az sphere device wifi show --id 1