[参考译文] CC3235S：证书验证

Chris、您好！

这取决于 CC3235器件的模式。 如果您的器件在开发模式下进行刷写、则应能够通过 Unifhash 读回证书。 但这取决于证书文件的创建方式(安全标志、令牌等)。 我不知道如何轻松简单地验证设备中上传的证书。

1月

大家好、Jan

谢谢你。

我是在开发人员模式下完成的、尚未添加任何文件安全性。 我来试一下。

您是否知道在连接失败时从 network_terminal 获取错误代码的简单方法？ 即使我无法连接、我看到的只是"0"。 我希望看到类似"sl_error_BSD_ESEC_handshake_failure"的东西,但 sl_WlanConnect ()的返回值似乎没有任何信息。

此致

克里斯蒂安

尊敬的 Christian：

API sl_WlanConnect ()只是开始连接尝试。 如果连接不成功、您可以从异步处理程序获取某些错误代码(例如、断开原因代码208,209,210)。 对于诊断 EAP 连接问题非常重要的是来自 RADIUS 服务器的日志。  确保在 RADIUS 服务器上启用 TLS 1.0。 例如，在 FreeRADIUS 中，TLS 1.0默认情况下不允许。

1月

Chris、

这是一个与我们启动的并行线程。

只是想在这里加上,我能够决定更多的 NWP 代码,我可以看到 wlanconnect()确实使用 EAP ,所以就 network_terminal 而言,你应该可以。 但是、在日志中、我只能看到收到一条 EAP 消息(我假设这是来自 AP 的 EAP 身份请求)、但握手在此停止。 因此、我尝试将 AP 设置为企业模式、虽然目前我没有 RADIUS 服务器、但我能够看到身份请求和响应消息(也在空气监听器上)。 此时、甚至不会使用证书(我未对其进行编程)。 只有在 Identity Response 到达 RADIUS 服务器并且 RADIUS 服务器将 EAP 请求发送回设备之后，才应使用证书。 因此、在本例中、我认为它与证书无关。 是否确定 AP 后面的 RADIUS 服务器可用？

在这种情况下、无疑需要 NWP 日志来进行调试(空气监听器也是一项优势)。 正如 Jan 提到的，也很高兴看到 RADIUS 服务器日志。

什洛米

大家好！

可以使用笔记本电脑和 WPA Enterprise 连接到 AP。 因此、我想这不是不运行 Radius 的问题。

我厌倦了在 NPS 上启用 TLS 1.0。 但我不是服务器管理员。

"怎么了? Shlomi，我在私人信息中向您发送了 RADIUS 服务器的日志。 那里看不到太多、对吧？  

我买了一个可以被置于监控模式的 WLAN 适配器，我安装了 Wireshark。 是否有简单的指南介绍如何在空中嗅探？

Jan、 我应该观察哪个异步处理程序？

非常感谢、此致

克里斯

Chris、您好！

可以检查 SimpleLinkWlanEventHandler ()和 EVENT SL_WLAN_EVENT_DISCONNECT。 但根据问题的类型、您可能无法看到调用此处理程序。

1月

好的、我可以验证在服务器上是否启用了 TLS 1.0。

在 SimpleLinkWlanEventHandler ()中，我只看到从 AP 引发了断开事件。

您好！

您看到了什么原因代码(pWlanEvent->Data.Disconnect.ReasonCode)？

这是 CC3220的行为、但我希望 CC3235也应该这样做：

ReasonCode =208

• EAP 用户错误或密码错误(根据 EAP 模式)
• 无法根据 CA 文件验证 RADIUS 服务器
• 私钥错误(对于某些 EAP 模式)
• 在 RADIUS 服务器上未启用 TLS 1.0
• 其他原因(RADIUS 服务器未运行、RADIUS 服务器配置错误、不支持 EAP 方法)

重构代码)= 209

• 缺少 CA 文件
• 文件系统中的证书错误

ReasonCode)= 210

• 证书已过期(或未在 NWP 内设置时间)

1月

原因代码为209。 您好。 现在我必须找出证书有什么问题。

您好！

我认为错误209来自基本证书检查(例如文件缺失、证书格式错误)。 也许 Shlomi 可以提供更多的细节,这个原因代码。

1月

不是我确定的,我使用 TLS 1.0 ,我录制了一个新日志... Shlomi、您可能可以看到 something.e2e.ti.com/.../4722.putty.log

如果涉及到证书、那么理解文档并不容易。 从 network_terminal 获得此错误消息

用户：wlanconnect -s "XYZ"-t WPA2 -p "dummy"-ent "name"
[错误]-致命错误：检测到中止 NWP 事件：AbortType=2、AbortData=0x24c

[wlanconnect]：连接到 AP:XYZ 时超时  

我尝试重做 DER 证书。 NWP 用户指南显示"服务器根 CA 文件–此文件必须为 PEM 格式"。 几行之后(也在服务器身份验证中)、其名称为："root CA–sys/cert/ca.der"

现在的真相是什么？ 我是否需要 DER 文件或 PEM 文件？

您好！

要求采用二进制格式=.der 格式。 我希望 CC3235和 CC3235相同。

我知道文档中有一个拼写错误。 甚至 TI 员工都知道这一点、但我不确定文档为什么没有更新。

1月

Shlomi、我在私人对话中将 PEM 格式的证书发送给您。

尊敬的 Shlomi：

CC3220和 CC3235之间是否存在差异。 因为我100%确信 CC3220需要.DER 来支持 EAP (EAP 不能与.PEM 一起使用)。

1月

我无法100%确定、但根据 CC3235日志、我可以看到从 PEM 转换为 DER、因此我假设它能够同时得到这两种转变。

我对文档有另一个问题。  SimpleLink Wi-Fi 证书处理 SWPU332A 以"1.3.1 DER (*。DER 扩展名)格式"声明、DER 格式与 PKCS#10兼容。 OpenSSL 似乎无法做到这一点。  

这是文档中的一个问题吗？或者我需要 openssl 的特殊版本吗？

把它脱机到友谊区。

Chris、您好！

我可以使用运行 TLS1.0和 PEAP0 MSCHAPv2的企业服务器进行测试、并可以进行连接。

我使用的证书都是 PEM 格式、但文件名是上述的常规保留名称。

在内部有一个由 PEM--> DER 进行的转换。 不确定它是否可以直接与 DER 配合使用(没有时间检查)。

请注意、在使用 Uniflash 并创建这些文件时、该工具应检测到这些是 PEM 格式的文件、并会弹出您以将 CR+LF 转换为 CR。 您应该同意。

再说一次、只有一个像样的 NWP 日志会告诉我更多信息、出于某种原因、在您的案例中、它不是一个完整的日志。

您能仔细检查一下吗？

此致、

什洛米

你好，Shlomi

感谢您的支持。 当我告诉客户我们需要在服务器端允许 TLS 1.0时、我被告知交换机架构。 对我来说，有道理的是，一个注重安全(因此希望 WPA Enterprise)的最终用户不会为了旧的受损标准而打开他的服务器。

如果您能将此评论传递给您的管理层、我将不胜感激。 我本来希望使用 CC3235、但正如我所说、该问题是一个障碍。

也许我们将再次听到 Eachother 的说法。  

祝你一切顺利

克里斯

Chris、您好！

从技术角度来看、使用带 WPA2 EAP 的 TLS 1.0并不是安全问题。 但根据我的经验,许多大公司,包括微软和谷歌有政策"没有 TLS 1.0在任何地方"。 由于 CC32xx/CC31xx 的这一限制、WPA EAP 功能实际上是无用的。

附注：我与 TI 讨论过这个主题几次。 他们无法说服我在 CC32xx/CC31xx (第2代、第3代)器件上为 WPA2 EAP 实现 TLS 1.2。 从我的观点来看、似乎 TI 将开发资源集中到较新的器件上、而他们不想将资源分配到较旧器件的新功能上。

1月