linux使用eaptls方式,为 EAP-TLS 网络获取和部署证书

最新推荐文章于 2024-02-22 15:39:42 发布
最新推荐文章于 2024-02-22 15:39:42 发布
阅读量651 收藏 1
点赞数
文章标签: linux使用eaptls方式

为 EAP-TLS 网络获取和部署证书

04/13/2020

本文内容

在 Azure Sphere 设备可以连接到 EAP-TLS 网络之前,它必须具有一个客户端证书,RADIUS 服务器可以使用该证书对设备进行身份验证。 如果你的网络需要相互身份验证,则每个设备还必须具有根 CA 证书,以便可以对 RADIUS 服务器进行身份验证。

如何获取和部署这些证书取决于设备可用的网络资源。

如果 EAP-TLS 网络是唯一可用的网络,则需手动部署证书。

如果有其他形式的网络,如开放式网络,则可以采用“启动”方法。 在启动方法中,Azure Sphere 高级应用程序从开放式网络获取证书,然后将其连接到 EAP-TLS 网络。

注意

因为证书 ID 都是在系统范围内应用,所以,添加新证书的 azsphere 命令或函数调用会覆盖由先前的命令或函数调用添加的证书,因而可能会导致网络连接失败。 强烈建议你制定清晰的证书更新过程,并仔细选择证书 ID。 有关详细信息,请参阅证书 ID。

手动部署

如果 EAP-TLS 网络是设备唯一可用的网络,则需手动部署证书。 手动部署涉及到使用联网电脑或 Linux 计算机获取证书,然后使用 azsphere 命令行接口 (CLI) 将证书加载到每个 Azure Sphere 设备上。 此方法要求在电脑或 Linux 计算机与 Azure Sphere 设备之间建立物理连接。

手动获取证书

根 CA 和客户端证书必须采用 .pem 格式才能加载到 Azure Sphere 设备上。 你将需要从相应服务器获取根 CA 证书,以及设备的客户端证书和私钥(还可以选择为你的私钥提供密码)。 每个证书都必须由你的 EAP-TLS 网络中的相应服务器生成和签名。 网络管理员或安全团队可提供获取证书所需的详细信息。

在电脑或 Linux 计算机上以 .pem 格式保存证书,然后使用 Azure Sphere CLI 将其存储在 Azure Sphere 设备上。

使用 CLI 存储证书

将 Azure Sphere 设备连接到联网电脑或 Linux 计算机,并使用 azsphere 命令将证书存储在设备上。

要将根 CA 证书存储到 Azure Sphere 设备上:

azsphere device certificate add --certid "server-key-xyz" --certtype rootca --publickeyfilepath

要将客户端证书存储到 Azure Sphere 设备上:

azsphere device certificate add --certid "client-key-abc" --certtype client --publickeyfilepath --privatekeyfilepath --privatekeypassword "_password_"

启动部署

要将大量 Azure Sphere 设备连接到多个位置,请考虑使用“启动”方法。 要使用此方法,你的设备必须能够连接到网络,用户可以通过该网络访问提供证书的服务器。 高级别 Azure Sphere 应用程序通过可用网络连接到服务器,请求证书,并将其存储在设备上。

下图概述了这一过程。

5a1f6e0c17ceff04a9dc12ea7e911581.png

Azure Sphere 设备上的应用程序连接到开放式网络并与 Azure Sphere 安全服务联系以获取其 DAA 证书。 然后,它将在设备上安装 DAA 证书。 设备应使用此证书通过证书颁发服务进行身份验证。

接下来,应用程序将连接到网络管理员指定的证书颁发服务。 它提供其 DAA 证书,用于通过服务器验证其身份,并请求 EAP-TLS 网络上 RADIUS 服务器的根 CA 证书以及客户端证书和私钥。 如果需要,服务可能会将其他信息传递到应用程序,如客户端标识和私钥密码。 然后,应用程序会在设备上安装客户端证书、客户端私钥和根 CA 证书。 然后,它可以从开放式网络断开连接。

应用程序配置并启用 EAP-TLS 网络。 它提供客户端证书和私钥来证明设备的身份。 如果网络支持相互身份验证,则应用程序还会通过使用根 CA 证书对 RADIUS 服务器进行身份验证。

在启动过程中对设备进行身份验证并获取客户端证书

Azure Sphere 设备可以使用其设备身份验证和证明 (DAA) 证书对可提供其他所需证书的服务进行身份验证。 可以从 Azure Sphere 安全服务获取 DAA 证书。

要获取 DAA 证书:

在高级别应用程序的应用程序清单的 DeviceAuthentication 部分中指定 Azure Sphere 租户 ID。

从高级别应用程序调用 DeviceAuth_CurlSslFunc,以获取当前 Azure Sphere 租户的证书链。

如果应用程序清单包含当前设备的 Azure Sphere 租户 ID,且目标服务需要 TLS 相互身份验证,则“DeviceAuth_CurlSslFunc” 函数将使用 DAA 客户端证书链进行身份验证。

获取 RADIUS 服务器的根 CA 证书

若要获取 RADIUS 服务器的根 CA 证书,应用程序将连接到可在其网络上访问并可提供证书的证书服务器终结点。 网络管理员应该能够提供有关如何连接到终结点和检索证书的信息。

使用 CertStore API 安装证书

应用程序使用 CertStore API 将证书安装到设备上。 “CertStore_InstallClientCertificate” 函数安装客户端证书,“CertStore_InstallRootCACertificate” 安装用于 RADIUS 服务器的根 CA 证书。 在高级别应用程序中管理证书提供有关使用 CertStore API 进行证书管理的其他信息。

证书示例应用程序展示了应用程序如何使用这些函数。

weixin_39637919
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
详细介绍了EAP-PEAL 和ESP-TLS的技术原理, 认证流程分析和数据抓包分析。帮助理解该两种认证方式在WLAN网络中的应用,特别有助于排错和问题定位。
Radius协议、EAP协议、EAP-MSCHAPv2、EAP-TLSEAP-TTLSEAP-PEAP
cqwei1987的博客
07-09 1万+
本文主要对Radius协议、EAPEAP-MSCHAPv2、EAP-TLSEAP-TTLSEAP-PEAP,从协议流程、数据格式等方面进行简单介绍。
WIFI认证之EAP-TLS
08-05
WIFI认证之EAP-TLS,已通过调试,可以直接使用
树莓派最新的安装,设置与教程,助你一次性设置完毕树莓派。(以macOS为例,包含windows和linux)史上最详细!一次性完成所有设置!
Springsoda的博客
09-13 1万+
全网最全!本文详细描述了树莓派的安装,调试与优化,包含了绝大多数设置所需要的知识,一篇文章开启你的树莓派之旅。注意:本文不含任何项目!
树莓派——配置Linux内核适合树莓派
NRWHF的博客
11-14 1434
树莓派——配置Linux内核适合树莓派
EAP-TLS/EAP-TTLS/EAP-PEAP
qq_39529180的博客
05-22 1万+
原文:http://blog.chinaunix.net/uid-26422163-id-3457357.html IEEE的802.1X使用EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP-MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟...
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 1401
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
EAP-TLS认证过程
myxmu的专栏
02-10 1万+
EAP-TLS认证过程如下:  1)客户端发出EAP-start消息请求认证;  2)AP发出请求帧,要求客户端输入用户名;  3)客户机响应请求,将用户名信息通过数据帧发送至AP;  4)AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器;  5)RADIUS服务器验证用户名合法后向客户端发送数字 证书;  6)客户端通过数字证书验证服务器的身份;
Android手机进行无线EAP-TLS证书认证配置
chris的专栏
08-11 2万+
原文地址:https://networklessons.com/wireless/eap-tls-certificates-for-wireless-on-android/ 待翻译.
IKEv2协议中的EAP-TLS认证处理流程
redwingz的博客
12-18 4265
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和carol主机。 carol主机配置 carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...
树莓派Linux内核编译
打不倒的程序猿
07-01 1663
树莓派运行linux系统,内核代码开源,我们可以自己修改内核代码、编写驱动。本文介绍树莓派内核理解知识,如何获取linux内核代码,并完成编译、内核替换。基于原文,搭配老师笔记作了改动:http://nicekwell.net/blog/20171108/shu-mei-pai-nei-he-kai-fa-shuo-ming-xia-zai-dai-ma-bian-yi-ti-huan-nei-he.html树莓派的github主页:https://github.com/raspberrypi,里面包含了l
树莓派Linux内核配置
weixin_54794458的博客
02-25 1150
Linux 树莓派 内核配置
树莓派 Linux 操作系统大全
电气罐头
03-22 5191
树莓派是 ARM 架构的卡片电脑,可以安装非常多的 Linux 发行版。而且它太流行了,即使有些 Linux 发行版没有官方支持树莓派,也有社区会维护树莓派的适配版,比如 ChromiumOS 等。 这些操作系统有被设计用于桌面操作的,比如 Raspbian、Ubuntu META、ChromiumOS;有被设计用于多媒体影音的,比如 OSMC、LibreELEC、Volumio;有被设计用于物联网的,比如 Ubuntu Core、Mozilla WebThings;有被设计用于特定领域的,比如黑客工具包
EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(二)
最新发布
DIANZI520SUA的专栏
02-22 1016
该篇简单描述了使用freeradius与MySQL进行连接验证测试。
Android Wi-Fi EAP-TLS/EAP-PEAP/EAP-TTLS(扩展认证协议)简介
回眸^_^已劃句點
07-23 1万+
1 扩展认证协议 英语: Extensible Authentication Protocol ,縮寫為 EAP,是一个在[无线网络][0]或點對點連線中普遍使用的认证框架。它被定义在RFC 3748中,并且使RFC 2284过时,后又被RFC 5247更新。EAP不仅可以用于无线局域网,還可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5
获取SSL证书private key私钥文件的步骤
蔚可云的博客
02-15 5096
众所周知,证书请求文件CSR与私钥文件Private Key是成对出现的,只能一次性生成,即使填写完全一致的信息,再次生成的证书请求CSR文件、私钥Private Key与首次生成的CSR文件、Private Key文件也不能混用。 注意: 必须使用与私钥文件Private Key一起生成的CSR文件申请SSL证书,否则签发的SSL证书与你的私钥Private Key不匹配,会导致SSL证书无法部署到服务器上,影响您的使用! 打开在线CSR生成工具,填写相对应的资料,然后点击生成CSR即可。 生成CS
linux使用eaptls方式,使用WLC和ISE了解并配置EAP-TLS
weixin_32719533的博客
05-14 692
简介本文档介绍如何使用可扩展身份验证协议(EAP) — 传输层安全(TLS)来设置具有802.1x安全性的无线局域网(WLAN)。先决条件要求Cisco 建议您了解以下主题:802.1x身份验证过程证书使用的组件本文档中的信息基于以下软件和硬件版本:WLC 5508版本8.3身份服务引擎(ISE)版本2.1本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默...
扩展认证协议:EAP-TLS/EAP-TTLS/EAP-PEAP
weixin_34088838的博客
07-15 1552
IEEE的802.1X使用EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP- MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟少,如果 要窃取信息需要物理上连接网络,而无线网完全不同,无线网信号没有物理边界,所以要使用802....
EAP协议类型
热门推荐
布谷鸟
05-17 2万+
EAP协议类型 ——*——Stonex CWNP无线网络 可扩展身份认证协议(Extensible Authentication Portocol,EAP)最早定义在RFC2284中,是一种支持多种认证方法的认证框架,而不是一个认证机制。EAP最初被设计用于PPP,后来被RFC 3748更新,用于基于端口的802.1X访问控制,最后又被RFC 5247所更新。 EAP是一种非常灵活的
倍福EAP协议概述
weixin_41883890的博客
06-05 1102
产品描述通过EtherCAT自动化协议(EAP)设备,可以在通过以太网连接的PC之间循环,高度确定性地交换所需变量。EAP设备之间的通信是根据发布者/订阅者原则进行的,并且由EtherCAT技术小组(ETG)(ETG 1005 –参见网页 www.ethercat.org)指定。必须为TwinCAT EAP设备安装用于TwinCAT的实时以太网驱动程序,以便进行高度确定的通信。与TwinCAT 2网络变量的比较TwinCAT EAP设备基于TwinCAT 2熟悉的网络变量(NWV),并包含一些扩展。EAP

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值