[参考译文] CC3235SF：如何将证书添加到文件系统的用户文件文件夹中

您好！

我在您的 syscfg 下没有看到这些文件。

基本上、 如果文件确实存在、则不应获得 SL_ERROR_FS_FILE_NOT_EXISTS、因为这是一个系统文件、因此使用令牌进行保护。 如果尝试读取系统文件、 由于没有令牌、因此应该会出现 SL_ERROR_FS_INVALID_TOKEN_SECURITY_ALERT 错误。

我建议首先使用 Uniflash 并显示如何设置文件。 可表示为：

然后、您甚至可以使用在线用户文件读取这些文件(如果模式是开发模式、而不是生产模式)。

此致、

什洛米

这是 uniflash 的外观。 我之前已经添加了 ca.der 文件并创建了 cert 文件夹。 当我从 uniflash 创建并加载.sli 文件时、即使禁用了服务器身份验证、它仍会抛出企业(EAP-TLS)缺少的证书209错误、这意味着它没有在其中看到文件。

如何获取该文件以匹配 code composer studio 中的 syscfg 文件？ 或者我能否在 CCS 而不是 Uniflash 中添加/更改文件系统？ uniflash 和 CCS 中显示的内容似乎存在断开、但我不确定它们是如何链接的。 (我没有设置我刚接管的这个项目、因此我不知道最初是如何创建的。)

我一直无法在 uniflash 中加载文件、但我找到了如何使用 Code Composer Studio 中的项目来加载文件。  

当我尝试打开文件时、我现在正确地看到了 您所述的 SL_ERROR_FS_INVALID_TOKEN_SECURITY_ALERT。 当文件被删除后、我将收到 SL_ERROR_FS_FILE_NOT_EXISTS。

但是、尝试使用 EAP-TLS 连接企业网络时、我仍然收到209 SL_WLAN_DISCONNECT_MISSINK_CERT 错误。 我已证明文件位于如上所示的/sys/cert/ca.der 位置。 我禁用了服务器身份验证、因此它应该能够连接或提供我可以想象的不同类型的错误。 这种方法有什么问题吗？  

SL_WLAN_ENT_EAP_METHOD_PEAP0_MSCHAPv2也进行连接、因此我知道服务器身份验证禁用功能正常、因为我可以使用此选项进行连接。

尊敬的 Derrick：

我不知道这是 您尝试的 EAP-TLS 方法。

TLS 类型的方法需要完整的证书和密钥列表。

这意味着您还需要有客户端证书和密钥(请参阅上面的我的快照)。

这是从服务器端进行客户端身份验证而不是从服务器进行身份验证所必需的(为此，只需要 ca.der)。

因此，绕过服务器身份验证实际上只是绕过 ca.der，但没有办法绕过服务器请求的客户端身份验证(因为这将是安全漏洞)。

此致、

什洛米

噢、哎呀。 很有道理。 我已加载客户端证书和密钥、现在我在 尝试连接后的范围内收到 SL_DEVICE_EVENT_FATAL_DEVICE_ABORT。 我已确认这些证书可用于不使用此芯片的其他器件。 这些文件也是正确的 PEM 格式。 有时、断开错误(SL_WLAN_DISCONNECT_UNSPECIFIC)会恰好出现在致命中止事件之前。

致命错误具有以下参数：

数据命令超时代码：2
数据器件生效代码：2
数据设备生效值：588
数据无命令确认：2

我使用适用于 SL_WLAN_ENT_EAP_METHOD_PEAP0_MSCHAPv2和 SL_WLAN_SEC_TYPE_WPA_WPA2 的相同过程进行连接、即添加配置文件并使用自动连接。 我也尝试过手动连接、但该路径仍然失败、并出现致命错误。 上面的代码中是否有任何内容可以提示问题可能是什么？ 谢谢！

您好！

这些错误并未对其进行细分、因为它们反映了 NWP 中的内部错误。

这个特定问题似乎与缓冲区分配失败有关。

我怀疑它与证书/密钥的格式有关。

您是否可以尝试 将客户端密钥(在/sys/cert/private.key 中)从 PEM 转换为 DER 格式？

您可以为此打开 enssl (例如 openssl RSA -inform pem -in PrivateKey.pem -outform der -out PrivateKey.der)。

此致、

什洛米

我测试了你的建议,这仍然导致了致命错误。 我还测试了 PEM 或 DER 格式与服务器证书、客户端证书和私钥的所有组合。 它们都会产生相同的误差。

我不确定文件何时被读取/处理、但错误仅发生在路由器范围内。 如果您尝试连接但不在范围内，则不会出现致命错误。

我下载了最新的 SDK。 我现在没有收到致命错误、但也没有收到任何连接或断开事件。 在 ironwifi 上、此处还没有任何此类连接尝试的活动。 我已经确认  SL_WLAN_ENT_EAP_METHOD_PEAP0_MSCHAPv2 仍然有效、并且我已经使用了第二个器件、所有这些测试的结果都相同。

PEAP 和 TLS 之间的参数是否可能有所不同(除了明显的 SlWlanSecParamsExt.EapMethod 之外)。

我使用的是 CC3235SF。

您好！

此时、查看 NWP 日志来了解 EAP 连接期间 CC3235端发生的情况会很有用。 如果您可以在连接故障期间收集这些日志、这将非常有用。 有关详细信息、请参阅 NWP 编程人员指南第20.1节的说明： http://www.ti.com/lit/swru455

如果您已正确捕获日志、这些日志将采用二进制格式。 这是正常的、因为日志只能由 TI 解码。 但是、在您将收集的日志提供给我之前、您可以对这些日志执行完整性检查。 如果从冷启动中成功捕获 NWP 日志、您应该在原始日志中看到一些 ASCII 纯文本、最显著的是/sys/servicepack.ucf NWP SP 文件。 此外、该字符串之前的3个字节的二进制数据将为0x27 0xCA 0x2F。 如果您检查字符串+这3个字节并在日志中看到它、那么它应该可以由我的工具正确捕获并可解码。

此致、

什洛米

好的、当您有它时告诉我。

该主题表示底层 TLS 协议限制在 TLS1.0。

我不认为这是你的情况,因为如果这是问题,任何方法都不会起作用。

我们的评估板没有为我们细分用于收集日志文件的引脚。 无法获得与 工作环境协同工作的 Launchpad 器件。 能否安全地为您提供我们的证书、以确认您的设备在正常工作时实际上可以连接？  

您好！

由于我目前没有 RADIUS 服务器来测试、因此需要一些时间。

因此、这可能是我无法估算的时间。

你可以请求友谊,我将接受,所以我们有一个安全的渠道。

此致、

什洛米