Configurer un réseau EAP-TLS à partir de CLI
Important
Il s’agit de la documentation Azure Sphere (héritée). Azure Sphere (hérité) prend sa retraite le 27 septembre 2027 et les utilisateurs doivent migrer vers Azure Sphere (intégré) pour l’instant. Utilisez le sélecteur de version situé au-dessus du TOC pour afficher la documentation Azure Sphere (intégrée).
Pour configurer un réseau EAP-TLS avec la commande azsphere, vous avez besoin du certificat d’autorité de certification racine pour le serveur RADIUS de votre réseau et du certificat client pour votre appareil. Les certificats doivent être au format .pem, dans la syntaxe PKCS1 ou PKCS8. Pour plus d’informations sur les certificats et où les obtenir, consultez Acquérir et déployer des certificats pour les réseaux EAP-TLS. Vous pouvez utiliser OpenSSL pour convertir un fichier PFX au format .pem sur Linux et sur le sous-système Windows pour Linux.
Attention
Les ID de certificats étant à l’échelle du système, un appel de fonction ou une commande azsphere qui ajoute un nouveau certificat peut remplacer un certificat qui a été ajouté par un appel de fonction ou une commande antérieur, provoquant potentiellement des échecs de connexion réseau. Nous vous recommandons fortement de développer des procédures de mise à jour de certificats claires et de choisir les ID de certificat avec soin.
Pour plus d’informations sur la façon dont Azure Sphere utilise les ID de certificat, consultez ID de certificat.
Effectuez ces étapes pour configurer le réseau à partir de la ligne de commande.
Étape 1. Installer le certificat client sur l’appareil
Installez les informations du certificat client, y compris le certificat public ainsi que la clé privée et le mot de passe, s’ils sont requis sur votre réseau. Utilisez la commande azsphere device certificate add avec les paramètres suivants :
| Paramètre | Type | Description | Version prise en charge |
|---|---|---|---|
| -i, --cert-id | Chaîne | Spécifie l’identificateur du certificat client à ajouter. Identificateur de chaîne (jusqu’à 16 caractères). Les caractères valides incluent des lettres majuscules (A-Z), des lettres minuscules (a-z), des chiffres (0-9), un trait de soulignement (_), un point (.) et un trait d’union (-). Cet identificateur est également utilisé dans les configurations Wi-Fi pour les réseaux EAP-TLS. | Interface CLI Azure Sphere |
| --cert-type | Chaîne | Spécifie le type de certificat client à ajouter. Entrez « client ». | Interface CLI Azure Sphere |
| --private-key-file | Chaîne | Spécifie le chemin d’accès à un fichier .pem de certificat de clé privée client. Obligatoire lors de l’ajout d’un certificat de type « client ». Vous pouvez fournir un chemin relatif ou absolu. | Interface CLI Azure Sphere |
| -w, --private-key-password | Chaîne | Spécifie un mot de passe facultatif pour la clé privée du client. Le mot de passe est obligatoire lors de l’ajout d’une clé privée de certificat client chiffrée. | Interface CLI Azure Sphere |
Par exemple :
azsphere device certificate add --cert-id myClientCert --cert-type client --public-key-file C:\User\MyCerts\MyClientCert.pem --private-key-file C:\User\MyCerts\privkey.pem --private-key-password 1234
Pour ajouter un certificat client, le chemin du fichier de clé publique et le chemin du fichier de clé privée sont requis sur chaque réseau. Vous avez besoin du mot de passe de la clé privée seulement si la clé privée est chiffrée ; vérifiez auprès de votre administrateur réseau.
Étape 2. Installer le certificat d’autorité de certification racine
Installez le certificat d’autorité de certification racine pour votre serveur RADIUS si votre réseau exige une authentification mutuelle. Utilisez la commande azsphere device certificate add avec les paramètres suivants :
| Paramètre | Type | Description | Version prise en charge |
|---|---|---|---|
| -i, --cert-id | Chaîne | Spécifie l’identificateur du certificat d’autorité de certification racine à ajouter. Identificateur de chaîne (jusqu’à 16 caractères). Les caractères valides incluent des lettres majuscules (A-Z), des lettres minuscules (a-z), des chiffres (0-9), un trait de soulignement (_), un point (.) et un trait d’union (-). Cet identificateur est également utilisé dans les configurations Wi-Fi pour les réseaux EAP-TLS. | Interface CLI Azure Sphere |
| --cert-type | Chaîne | Spécifie le certificat d’autorité de certification racine à ajouter. Entrez « rootca ». | Interface CLI Azure Sphere |
| --private-key-file | Chaîne | Spécifie le chemin d’accès à un fichier .pem de certificat de clé privée rootca. Vous pouvez fournir un chemin relatif ou absolu. | Interface CLI Azure Sphere |
Par exemple :
azsphere device certificate add --cert-id myRootCA --cert-type rootca --public-key-file C:User\MyCerts\MyRootCACert.pem
Étape 3. Ajouter le réseau Wi-Fi
Après avoir installé les certificats, ajoutez le réseau EAP-TLS sur votre appareil. Utilisez la commande azsphere device wifi add avec les paramètres suivants :
| Paramètre | Type | Description | Version prise en charge |
|---|---|---|---|
| -s, --ssid | Chaîne | Spécifie le SSID du réseau. Les SSID de réseau sont sensibles à la casse. | Interface CLI Azure Sphere |
| --client-cert-id | Chaîne | [EAP-TLS] Spécifie l’identificateur (jusqu’à 16 caractères) qui identifie le certificat client (contenant à la fois la clé publique et privée). Obligatoire pour configurer un réseau EAP-TLS. | Interface CLI Azure Sphere |
| --client-id <user@domain> | Chaîne | [EAP-TLS] Spécifie l’ID reconnu pour l’authentification par le serveur RADIUS du réseau. | Interface CLI Azure Sphere |
| --config-name | Chaîne | Spécifie une chaîne (jusqu’à 16 caractères) qui spécifie le nom de la configuration réseau. | Interface CLI Azure Sphere |
| --root-ca-cert-id | Chaîne | [EAP-tLS] Spécifie l’identificateur (jusqu’à 16 caractères) qui identifie le certificat d’autorité de certification racine du serveur pour les réseaux EAP-TLS où l’appareil authentifie le serveur. | Interface CLI Azure Sphere |
Par exemple :
azsphere device wifi add --ssid myEapTlsSsid --client-cert-id myClientCert --client-id user@domain.com --root-ca-cert-id myRootCA --config-name Network1
Étape 4. Recharger la configuration du réseau
Une fois que vous avez installé les certificats et que vous avez configuré le réseau EAP-TLS, vous devez recharger la configuration du réseau pour qu’elle utilise le contenu le plus récent du magasin de certificats. Utilisez la commande azsphere device wifi reload-config.
Par exemple :
azsphere device wifi reload-config
Étape 5. Vérifier que le réseau est connecté
Pour vérifier que votre appareil s’est connecté au réseau, utilisez la commande azsphere device wifi show-status. Vérifiez la sortie pour voir si le réseau que vous avez créé est listé, activé et connecté.
azsphere device wifi show-status
La commande azsphere device wifi show affiche les détails d’un réseau particulier. Utilisez cette commande avec le paramètre --id pour afficher le certificat client, le certificat d’autorité de certification racine et l’identité du client qui sont configurés pour le réseau. Par exemple :
azsphere device wifi show --id 1
azsphere device wifi show-status
----- ------------------ --------------- ------------- --------- ------- ------------- --------- ------------- -----------------
SSID ConfigurationState ConnectionState SecurityState Frequency Mode KeyManagement WpaState IpAddress MacAddress
================================================================================================================================
<value> enabled connected psk 2412 station WPA2-PSK COMPLETED <value> <value>
----- ------------------ --------------- ------------- --------- ------- ------------- --------- ------------- -----------------