[参考译文] CC3235SF：EAP-TLS 证书和密钥的确切要求是什么？

您好！

以下是一些重要事项：

• 您是否在 FreeRADIUS 服务器上启用了 TLS 1.0？ CC3235仅支持 TLS 1.0。 默认情况下、在 FreeRADIUS 服务器上禁用 TLS 1.0。 您需要在 mods-enabled/eap 处设置选项 tls_min_version ="1.0"。
• 您使用的 CC32xx SDK 版本是什么？ 您是否已在 sFlash 中上传了最新的 ServicePack？
• 文件 client.de 中似乎有两个证书 请在此文件中仅使用一个证书。
• 您是否已将 CA、证书和私钥上传至文件系统内的正确路径(/sys/cert/private.key、/sys/cert/client.der、/sys/cert/ca.der)？
• 请确保在 CC32xx RTC 中设置了正确的时间、或禁用了 CA 文件验证(由适当的 SL_ API 设置)。

1月

• TLS 1.0已启用、可以在 Wireshark 捕获中验证这一点
• 根据 CCStudio 工程设置、CC32xx SDK 版本为"cc32xx_sdk_7_10_00_13"。 对于服务包、我们已在"image.syscfg"中启用了"Use ServicePack from SDK"选项。
• 由于我们不知道应该是什么、因此我们已在" client.der""中添加了完整的证书链。 但我们也可以更改此设置。 我再次对其进行了测试、但测试失败也是如此。
• CA 证书、客户端证书和客户端密钥位于项目中 userFiles 目录的正确路径中、因此应自动上传这些证书。
• 时间设置正确。 如果设置不正确、将失败并显示"SL_WLAN_DISCONNECT_CERTIFICATE_EXPIRED"。

在新文件测试中、我再次捕获了通信数据。 我上传捕获和文件。

e2e.ti.com/.../userFiles_2D00_and_2D00_wireshark_2D00_capture.zip

您好！

• 根据提供的信息、我无法确定您的 RADIUS 服务器身份验证失败的原因。 我没有深入探讨您的证书,但根据快速查看证书看起来不错。 您拥有 RSA 2048、即使没有上传 ServicePack 也是可以的(SDK 3.30版本增加了对 EA RSA4096的支持)。 您是否在 FreeRADIUS 服务器日志中看到任何错误？ 要消除其他可能的问题、您可以使用 EAP-PEAP0-MSCHAPv2进行测试吗？ 要消除 CA 文件的潜在问题、可以通过以下方法使用禁用的 CA 进行测试：

  caDis = 0;
  retVal = sl_WlanSet(SL_WLAN_CFG_GENERAL_PARAM_ID, SL_WLAN_GENERAL_PARAM_DISABLE_ENT_SERVER_AUTH, 1, &caDis);

• 您可以使用 Uniflash 软件验证 CA、证书和私钥是否正确上传至文件系统中。
• 可使用 sl_ API 调用 sl_DeviceGet ()选项 SL_DEVICE_General -> SL_DEVICE_GENERAL_VERSION 来验证 ServicePack 版本。

1月

我刚刚发现了最奇怪的事情：在 CCStudio 中更换 userFiles 并刷写电路板似乎并不能替代电路板上的文件。 相反、我需要删除 userFiles (证书/密钥)、刷写板、在文件系统中放入新的 userFiles 并再次刷写板。

上传类似这样的正确文件后、连接过程会失败、并出现 FatalErrorEvent。 SlDeviceFatal_t ID 为1、即 SL_DEVICE_EVENT_FATAL_DEVICE_ABORT。  有什么想法吗？ 如何进一步调查中止原因？

不过、我想回应你的意见：

• 目前、我们没有 PEAPv0-MSCHAPv2设置、因此如果可以进行测试、则必须对此进行研究。 从该测试中可以获得哪些见解？
• 我们已经测试了启用和禁用的 CA 检查。 BTW、至少根据文档、Cadis 需要为1才能禁用服务器身份验证。
• 在 Uniflash 中、我们无法再次下载证书/密钥、因为文件受保护并且 Uniflash 会请求令牌。 我们可以从哪里获得正确的令牌？

检查 ServicePack 版本可得到：

芯片823132185
MAC 31.3.7.0.1.
PHY 3.1.0.26
NWP 4.13.0.2
ROM 8738
主机3.0.1.71

您好！

很难解释为什么您会看到 NWP 的致命中止。 有关更多详细信息、需要捕获 NWP 日志(请参阅SWRU455第20章)。 很遗憾、我没有用于解码 NWP 日志的工具。 您将需要等待 TI 方面的回答。

• 通过使用 PEAPv0-MSCHAPv2进行测试、我想验证 EAP 身份验证是否能在您的情况下与 RADIUS 服务器正常工作。 我们将确保罪魁祸首是您的证书。
• 否。Cadis 需要设置为0。 文档错误。 TI 在文档中了解该问题。 但不要问我为什么他们不更新文档。
• 请使用供应商令牌创建安全文件(您可以选择自己的令牌)。 之后、您将能够使用 sl_ API 调用通过的 Uniflash 从您的代码操作此文件。
• 您已在设备内上传了正确的服务包

1月

我们可以在哪里以及如何"使用供应商令牌创建安全的文件"？

对于其他部分：我真的是来自这里的想法。 TI 会不会有任何支持？ 我们看到器件正在中止、但我们不知道原因。

您好！

若要更深入地了解您看到 NWP 的原因、需要捕获 NWP 日志。 没有其他选择。 捕获到 NWP 日志后、您可以将二进制文件上传到该线程中。

请使用 Uniflash 创建并上传您的证书文件。 您可以使用不安全的文件或具有供应商令牌的安全文件(选中 Secure、选中 Vendor 并添加令牌的数量)。

1月

尊敬的 Tobee：

有关如何使用令牌创建文件的更多信息、请参阅网络处理器指南第8节。

https://www.ti.com/lit/ug/swru455m/swru455m.pdf

关于中止错误、您能否分享您如何设置设备和启动连接。 如果可能的话可以共享您的代码、或者对它进行伪代码。 另外、如果您可以发送 NWP 日志、我可以查看错误。 如果您需要获取日志设置方面的帮助、请告知我。

此致！

Rogelio

• CCStudio 在上传证书/密钥文件时、使用哪个(些)令牌？
• 我们将从固件中删除特定于客户的部件并在之后共享。

我会发布 Connect_To_Wlan 函数的代码并上传 NWP 日志。 在主循环中、我们只运行 ProcessEvents 函数并输出一些事件/错误记录：

空 Connect_To_Wlan (){ 
char *ssid ="RADIUSTEST"； 
char *键=""； 
char *用户=" user@example.org； 
char * anon_user =""； 

int16_t 状态； 

SlDeviceVersion_t 版本； 
_u8 pConfigOpt； 
_U16 pConfigLen； 
pConfigLen = sizeof (ver)； 
pConfigOpt = SL_DEVICE_GENERAL_VERSION； 
状态= sl_DeviceGet (sl_device_General、&pConfigOpt、&pConfigLen、(_u8 *)(&ver))； 
if (status)｛ 
TERM_WRITE ("sl_DeviceGet 失败、出现错误：%d\n\n\r"、状态)； 
其他{ 
TERM_WRITE ("sl_DeviceGet ok\n")； 
TERM_WRITE ("芯片%d\nMAC 31.%d.%d.%d.%d.%d\nPHY %d.%d.%d.%d.%d.%d\nNWP %d.%d.%d.%d.%d.%d\nROM %d\nhost %d.%d.%d.%d.%d\n\n"、 
版本 ChipId、 
ver.FwVersion[0]、ver.FwVersion[1]、 
ver.FwVersion[2]、ver.FwVersion[3]、 
Ver.PhyVersion[0]、Ver.PhyVersion[1]、 
Ver.PhyVersion[2]、Ver.PhyVersion[3]、 
ver.NwpVersion[0]、ver.NwpVersion[1]、ver.NwpVersion[2]、ver.NwpVersion[3]、 
版本 RomVersion、 
SL_MAJORY_VERSION_NUM、SL_MINOR_VERSION_NUM、SL_VERSION_NUM、SL_SUB_VERSION_NUM)； 
} 

_u8 param = 0；// 1表示禁用服务器身份验证 
STATUS = SL_WlanSet (SL_WLAN_CFG_GENERAL_PARAM_ID、SL_WLAN_GENERAL_PARAM_DISABLE_ENT_SERVER_AUTH、1、&PARAM)； 
if (status)｛ 
TERM_WRITE ("sl_WlanSet 失败、出错：%d\n\r"、status)； 
其他{ 
TERM_WRITE ("sl_WlanSet ok\n")； 
} 

SlDateTime_t DateTime={0}； 
DateTime.tm_day =(_u32) 11; 
DateTime.tm_mon =(_u32) 7； 
DateTime.tm_year =(_u32) 2024； 
DateTime.tm_hour =(_u32) 12; 
DateTime.tm_min =(_u32) 00； 
DateTime.tm_sec =(_u32) 00； 
状态= sl_DeviceSet (SL_DEVICE_General、SL_DEVICE_GENERAL_DATE_TIME、sizeof (SlDateTime_t)、(_u8*)(&DateTime))； 
if (status) 
｛ 
TERM_WRITE ("sl_DeviceSet 失败、出错：%d\n\n\r"、状态)； 
其他{ 
TERM_WRITE ("sl_DeviceSet ok\n")； 
} 

 //连接 WPA-Enterprise、请参阅 SimpleLink Wi-FiCC3x20、CC3x3x 网络处理器(修订版 M)用户指南第76页 
SlWlanSecParams_t SecParams； 
SlWlanSecParamsExt_t SecExtParams； 
SecParams。 类型= SL_WLAN_SEC_TYPE_WPA_ENT； 
SecParams。 key = key； 
SecParams。 KeyLen = strlen (key)； 
SecExtParams。 user = user； 
SecExtParams。 UserLen = strlen (user)； 
SecExtParams。 AnonUser = anon_user； 
SecExtParams。 AnonUserLen = strlen (anon_user)； 
SecExtParams。 EapMethod = SL_WLAN_ENT_EAP_METHOD_TLS； 
状态= sl_WlanConnect ((_i8*) SSID、strlen (SSID)、0、&SecParams、&SecExtParams)； 

if (status)｛ 
TERM_WRITE ("sl_WlanConnect 失败、出错：%d\n\r"、status)； 
其他{ 
TERM_WRITE ("sl_WlanConnect ok\n")； 
} 
} 

e2e.ti.com/.../2024_2D00_07_2D00_11-14_2D00_44_2D00_17_2D00_cc3235sf_2D00_nwp_2D00_log.txt.zip

谢谢、请给我一些时间来浏览日志。

此致！

Rogelio

您好！

您是否找到一些时间来查看日志？ 或者 我们什么时候可以在这里期待更新？

此致

尊敬的 Tobee：

我上星期生病了,所以没有时间不幸。 我将在本周找到时间、请在本周稍后等待回复。

此致！

Rogelio

尊敬的 RogelioD：

您是否会很快找到时间来查看日志？ 我们真的是来自想法。

此致

您好、截止日期：

只是一个想法。 似乎您正在使用 PKCS#8。 你能用 PKCS#1测试吗?

默认情况下、使用 OpenSSL 3.0 PKCS#8、可以使用 switch -transparent 将其切换到 PKCS#1。

1月

 我爱你,爱你。" 芯片连接成功、获得 IP 地址、可以 ping 通芯片！

非常感谢您-您让我的一天如此美好！！  

因此 NWP 在使用 PKCS#8时崩溃、我们需要使用 PKCS#1。 我们应该知道这一点吗？ 此文档是否在任何地方提供？

尊敬的 Tobee：

不要问我、为什么任何 TI 文档中都没有提到该限制。 与此类似的是、在任何地方都没有提及 EAP 安全的 TLS 1.0限制。 我放弃了提及 TI 文档中的错误、因为我看不到任何结果。

直到昨天我才知道 PKCS#8可能存在的问题。 两年多来、我没有积极与 CC32xx 合作、过去我使用 PKCS#1测试了 EAP 安全。 但目前我在 NETX Duo 项目积极工作。 在 NETX 讨论了 Git 对 PKCS#1的限制。 由于 CC32xx 对 EAP 安全使用略微过时的 TLS 堆栈、因此我知道罪魁祸首是否相同。 我检查了你的私钥,发现是 PKCS#8。 因此,我在上面写了这样的评论。 你不应该责怪我,我不知道这一点。 我将根据 CC32xx 开发的经验进行回答。 在这个论坛上回答(2.9k 发布)只是我的良好意愿,我从来没有得到一分钱为这. 我不是 TI 员工、我无法访问任何内部 TI 换向。 我有权访问与您相同的公共文档。

1月

尊敬的 Jand：

如果这听起来像是为任何事情责备你,我很抱歉。 这不是预期目标。

 没有正确记录这些事情显然不是你的责任。 恰恰相反,你是英雄,找到了这个月老问题的解决方案。

非常感谢您的支持！

此致