Saltar al contenido principal

Automating Enterprise WiFi Security: The SCEP Certificate Deployment Guide

Esta guía técnica explica cómo automatizar la seguridad de las redes WiFi corporativas mediante el despliegue de certificados SCEP. Ofrece un diseño detallado de la arquitectura y los pasos de implementación para desplegar la autenticación 802.1X EAP-TLS en redes corporativas y de invitados.

📖 5 min de lectura📝 1,248 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a esta sesión técnica. Estoy aquí para guiarle a través de nuestra última guía: Automatización de la Seguridad WiFi de nivel Empresarial, centrándonos específicamente en el despliegue de certificados SCEP. Si gestiona redes para hoteles, cadenas de retail o espacios públicos, ya sabe que depender de claves precompartidas o de un Captive Portal simple para el acceso del personal es una enorme vulnerabilidad de seguridad. Hoy vamos a hablar del estándar de oro: la autenticación 802.1X mediante EAP-TLS. Profundicemos en la arquitectura. El principal desafío con EAP-TLS no es el protocolo en sí; es la logística de distribuir certificados de cliente únicos a miles de dispositivos, ya sean ordenadores portátiles con Windows, iPads o tabletas de punto de venta. Aquí es donde entran en juego las plataformas de gestión de dispositivos móviles (MDM), como Microsoft Intune o Jamf. Pero, ¿cómo se entregan esos certificados de forma segura? Por lo general, tiene dos opciones: PKCS o SCEP. Permítame ser absolutamente claro en esto: para la autenticación WiFi, lo que busca es SCEP. Ese es el Protocolo de Registro de Certificados Simple (Simple Certificate Enrollment Protocol). He aquí por qué es importante. Con SCEP, el MDM indica al dispositivo final que genere su propia clave privada localmente. Esa clave permanece bloqueada en el hardware seguro del dispositivo. Nunca viaja por la red. El dispositivo simplemente envía una Solicitud de Firma de Certificado a su Entidad de Certificación a través de una pasarela, que suele ser un servidor NDES. Compare esto con PKCS, donde la Entidad de Certificación genera la clave privada de forma centralizada y la envía a través de la red al dispositivo. Aunque PKCS tiene su utilidad (por ejemplo, para el cifrado de correo electrónico, donde se requiere el depósito de claves), la transmisión de claves privadas por la red es un riesgo que simplemente no necesita asumir para la autenticación de red. Mantenga las claves en el dispositivo. Utilice SCEP. Ahora, hablemos de la implementación. Si se queda con una sola cosa de esta sesión, que sea esta regla de oro: Confianza antes de la Autenticación. No puede simplemente enviar un perfil WiFi y esperar que funcione. Hay una secuencia de despliegue estricta de tres pasos que debe seguir. Paso uno: Desplegar el Certificado Raíz de Confianza. Antes de que un dispositivo pueda solicitar un certificado de cliente, o confiar en su servidor RADIUS, debe confiar en la Entidad de Certificación emisora. Envíe este perfil primero. Paso dos: Configurar y enviar el Perfil de Certificado SCEP. Esto le indica al dispositivo cómo comunicarse con la pasarela SCEP, qué formato usar para su nombre de sujeto y para qué sirve realmente el certificado; en este caso, Autenticación de Cliente. Debe vincular este perfil a la Raíz de Confianza que desplegó en el paso uno. Paso tres: Desplegar el Perfil WiFi 802.1X. Aquí es donde se une todo. Se especifica el SSID, se selecciona WPA3-Enterprise, se establece el tipo de EAP en EAP-TLS y se apunta al certificado SCEP para la autenticación del cliente. Este es un error crítico muy común que vemos constantemente. Un cliente nos llama y dice: "Los certificados están en el dispositivo, pero el perfil de WiFi muestra un error en Intune". Casi siempre se trata de una discrepancia en la asignación de grupos de destino. Si asigna el perfil SCEP a un grupo de 'Usuarios', pero asigna el perfil de WiFi a un grupo de 'Dispositivos', el MDM no podrá resolver la dependencia. Haga coincidir exactamente sus destinos en los tres perfiles. Veamos un escenario del mundo real. Imagine un hotel de 200 habitaciones. Tienen 150 dispositivos iOS gestionados para el servicio de limpieza. Actualmente, utilizan una red con contraseña estándar y el personal comparte continuamente la contraseña con los huéspedes. Es una pesadilla. Al migrar a WPA2-Enterprise con EAP-TLS a través de SCEP, el director de TI elimina la contraseña por completo. Los dispositivos iOS se autentican silenciosamente en segundo plano utilizando sus certificados. ¿But qué pasa si un empleado de limpieza pierde un dispositivo o deja la empresa? Deshabilitar su cuenta de Active Directory no es suficiente, porque el certificado de ese dispositivo sigue siendo criptográficamente válido. Esto nos lleva a un control de seguridad crítico: la verificación estricta de la CRL. Debe configurar su servidor RADIUS para que verifique la Lista de revocación de certificados. Si se pierde un dispositivo, se revoca el certificado en la CA. El servidor RADIUS detecta la revocación en la CRL y bloquea inmediatamente el acceso a la red. Sin una verificación estricta de la CRL, su postura de seguridad estará incompleta. Para concluir, la transición a la implementación automatizada de certificados SCEP ofrece un enorme ROI. Verá una reducción del 70 al 80 por ciento en los tickets de soporte técnico relacionados con la WiFi porque los usuarios no se quedarán bloqueados ni escribirán mal las contraseñas. Y lo que es más importante, eliminará el riesgo de robo de credenciales, garantizando el cumplimiento de marcos normativos como PCI DSS y GDPR. Automatizar la seguridad WiFi empresarial no consiste solo en restringir el acceso; se trata de hacer que el camino seguro sea el más sencillo para sus usuarios. Gracias por escucharnos y no olvide consultar la guía escrita para conocer todos los detalles de configuración paso a paso.

header_image.png

执行摘要

对于酒店、零售和公共部门的企事业单位而言,依靠预共享密钥或基础 Captive Portal 进行网络访问会引入严重的安全漏洞。现代网络架构要求使用 EAP-TLS 进行 802.1X 认证,以确保每个设备在访问网络之前都经过密码学验证。对于 IT 经理和网络架构师来说,挑战在于如何高效地向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书。

本指南为使用简单证书注册协议 (SCEP) 进行自动化 WiFi 证书部署提供了权威的架构蓝图和分步实施策略。通过将您的移动设备管理 (MDM) 平台与 SCEP 网关和证书颁发机构 (CA) 集成,您可以将受信任的根证书和客户端证书静默推送到受管终端。我们将探讨 SCEP 与 PKCS 之间的关键区别,详细介绍成功部署所需的精确步骤顺序,并概述实际的风险缓解策略,以确保您的 WiFi 网络保持安全和高效。

收听配套播客简报:

技术深度解析:SCEP 架构与 EAP-TLS

在设计企业 WiFi 证书部署策略时,核心架构决策是如何安全地交付证书。该过程的行业标准是 SCEP。SCEP 自动执行证书注册过程,允许设备使用标准化协议安全地向证书颁发机构请求证书。

SCEP 相比 PKCS 的优势

虽然 Microsoft Intune 等平台同时支持 SCEP 和公钥加密标准 (PKCS),但它们的运行机制根本不同。在 SCEP 工作流中,MDM 服务指示终端生成自己的私钥和公钥对。然后,设备创建证书签名请求 (CSR),并通过网络设备注册服务 (NDES) 服务器将其发送到您的 CA。CA 对请求进行签名并将公钥证书返回给设备。

SCEP 的关键安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的安全隔离区中。这使得 SCEP 成为 802.1X 认证的强烈推荐方法。相反,使用 PKCS 时,CA 会集中生成两个密钥并通过网络传输。PKCS 更适合需要密钥托管的用例(例如 S/MIME 邮件加密),而不是网络认证。

scep_vs_pkcs_comparison.png

802.1X 与 EAP-TLS 认证

IEEE 802.1X 标准为集中式网络访问管理提供了框架。它定义了如何在局域网 (EAPoL) 上传输可扩展身份验证协议 (EAP) 数据包,以便在客户端、接入点和认证服务器(通常是 RADIUS 服务器)之间进行认证。

EAP-TLS 是 802.1X 网络中最安全的认证协议。它需要双向认证:客户端验证 RADIUS 服务器的证书,RADIUS 服务器验证客户端的证书。这种严格的验证过程确保只有已注册设备上经过身份验证和授权的用户才能获得访问权限,从而保护网络免受双面恶魔 (Evil Twin) 攻击等威胁。

实施指南:部署顺序

成功配置 802.1X 的自动化证书部署需要严格遵守特定顺序。配置文件依赖关系决定了在配置认证之前必须先建立信任。无论您使用 Microsoft Intune、Jamf 还是其他 MDM 平台,这都适用。

步骤 1:部署受信任的根证书

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前,它必须信任颁发证书的证书颁发机构。

  1. 导出您的根 CA 证书和任何中间 CA 证书。
  2. 在您的 MDM 平台中,创建一个受信任的证书配置文件。
  3. 上传证书文件并将此配置文件部署到您的目标设备组。

步骤 2:配置 SCEP 证书配置文件

建立信任后,配置 SCEP 配置文件以指示设备如何获取其客户端证书。

  1. 创建一个新的 SCEP 证书配置配置文件。
  2. 配置使用者名称格式。对于用户驱动的认证,使用用户主体名称 (UPN)。对于设备认证,使用设备 ID。
  3. 将密钥用法设置为数字签名和密钥加密。
  4. 为增强型密钥用法指定客户端认证。
  5. 将此配置文件链接到步骤 1 中创建的受信任根证书配置文件。
  6. 提供您的 SCEP 网关或 NDES 服务器的外部 URL。

步骤 3:部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。

  1. 创建一个 WiFi 配置配置文件。
  2. 输入与您的接入点广播完全一致的 SSID。
  3. 选择 WPA2-EnterpriseWPA3-Enterprise 作为安全类型。
  4. 将 EAP 类型设置为 EAP-TLS。
  5. 选择步骤 2 中创建的 SCEP 证书配置文件进行客户端认证。
  6. 指定用于服务器验证的受信任根证书,以确保设备仅连接到您合法的 RADIUS 服务器。

scep_architecture_overview.png

企业环境最佳实践

在实施 SCEP 证书部署时,请遵循以下与厂商无关的最佳实践,以确保合规性和可靠性。

保护 SCEP 网关安全

SCEP 网关或 NDES 服务器必须能够从互联网访问,以便远程设备在到达现场之前能够配置证书。然而,将内部服务器直接暴露给互联网会带来重大的安全风险。请使用应用代理发布该 URL。这可以在不打开入站防火墙端口的情况下提供安全的远程访问,并允许您对注册流程应用条件访问策略。

强制执行严格的 CRL 检查

证书部署只是安全方程式的一半,吊销同样至关重要。如果员工离职,禁用其目录帐户可能无法立即撤销其 WiFi 访问权限(如果其客户端证书仍然有效)。请配置您的 RADIUS 服务器以强制执行严格的证书吊销列表 (CRL) 检查。确保您的 CRL 分发点高度可用;如果 RADIUS 服务器无法访问 CRL,身份验证将失败,从而导致大范围的服务中断。

硬件集成

确保您的网络基础设施支持所需的协议。Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件无缝集成。配置这些系统以将身份验证请求转发到您的集中式 RADIUS 基础设施。

故障排除与风险缓解

即使经过精心规划,证书部署也可能会遇到问题。以下是常见的失败模式和缓解策略。

依赖关系失败

一个常见问题是设备接收到了受信任的根证书和 SCEP 证书,但 WiFi 配置文件应用失败。这几乎总是由于 MDM 内的组目标不匹配引起的。如果 SCEP 配置文件分配给用户组,而 WiFi 配置文件分配给设备组,则 MDM 无法解析该依赖关系。请审核您的分配,并确保所有相关配置文件都部署到完全相同的目录组。

注册错误

如果设备无法检索 SCEP 证书且网关日志显示 HTTP 403 错误,则服务帐户可能在证书模板上缺乏必要的权限,或者防火墙上的 URL 过滤阻止了 SCEP 使用的特定查询字符串参数。请验证连接器帐户在 CA 模板上是否具有读取和注册权限,并检查防火墙日志以确保 SCEP URL 未被阻止。

投资回报率与业务影响

过渡到自动化的 802.1X 证书部署可在安全和运营方面带来可衡量的回报。

基于密码的 WiFi 由于密码过期、锁定和拼写错误,会产生大量的支持工单。基于证书的身份验证对用户是无感的,通常可减少 70% 至 80% 与 WiFi 相关的服务台工单量。

此外,EAP-TLS 消除了凭据窃取和中间人攻击的风险。这对于符合 PCI DSS 和 GDPR 等框架至关重要。对于多分支机构的零售业务或大型连锁酒店,自动化此流程可确保从第一天起就获得统一、零接触的配置体验,在保障网络边界安全的同时,显著降低运营开销。

Definiciones clave

SCEP

Simple Certificate Enrollment Protocol (Protocolo de inscripción de certificados simple). Un protocolo que automatiza el proceso de solicitud e instalación de certificados digitales en dispositivos, donde la clave privada se genera localmente.

El método recomendado para desplegar certificados de autenticación de WiFi a escala a través de plataformas MDM.

PKCS

Public Key Cryptography Standards (Estándares de criptografía de clave pública). Un método de despliegue en el que la Autoridad de Certificación genera tanto la clave pública como la privada y las transmite al dispositivo final.

A menudo utilizado para el cifrado de correo electrónico S/MIME, pero menos ideal para WiFi debido a la transmisión de la clave privada por la red.

802.1X

Un estándar de la IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

La línea de base obligatoria para la seguridad WiFi empresarial, que sustituye a las vulnerables claves precompartidas.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security (Protocolo de autenticación extensible - Seguridad de la capa de transporte). Un protocolo de autenticación que requiere que tanto el cliente como el servidor presenten certificados digitales válidos.

Considerado el método de autenticación más seguro para redes 802.1X, eliminando las vulnerabilidades basadas en contraseñas.

NDES

Network Device Enrollment Service (Servicio de inscripción de dispositivos de red). Un rol de servidor que actúa como pasarela, permitiendo que los dispositivos sin credenciales de dominio obtengan certificados a través de SCEP.

Un componente de infraestructura necesario al implementar el despliegue de certificados SCEP con Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service (Servicio de usuario de marcación de autenticación remota). Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad.

El servidor que valida los certificados de cliente contra el directorio y concede acceso a la red.

CRL

Certificate Revocation List (Lista de revocación de certificados). Una lista publicada por la Autoridad de Certificación que contiene los números de serie de los certificados que han sido revocados.

Los servidores RADIUS deben comprobar la CRL para garantizar que el certificado presentado sigue siendo válido y no ha sido comprometido.

CSR

Certificate Signing Request (Solicitud de firma de certificado). Un bloque de texto codificado que se entrega a una Autoridad de Certificación al solicitar un certificado SSL/TLS.

Generado por el dispositivo durante el proceso de inscripción SCEP para solicitar un certificado firmado.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita desplegar un acceso WiFi seguro para el personal en 150 dispositivos iOS gestionados que utilizan los equipos de limpieza y mantenimiento. Actualmente utilizan una red WPA2-PSK, pero el personal sigue compartiendo la contraseña con los huéspedes. ¿Cómo debería el director de TI implementar una solución segura y automatizada?

El director de TI debería migrar el WiFi del personal a WPA2-Enterprise utilizando la autenticación 802.1X EAP-TLS. Debe configurar su MDM (por ejemplo, Jamf) para enviar un payload SCEP a los dispositivos iOS. La secuencia de despliegue es: 1) Enviar el certificado de la CA raíz para que los dispositivos confíen en la red. 2) Enviar el perfil SCEP, indicando a los dispositivos que soliciten un certificado de cliente a la CA a través de la pasarela SCEP. 3) Enviar el perfil de WiFi configurado para WPA2-Enterprise y EAP-TLS, vinculándolo al certificado SCEP. Los puntos de acceso de la red (por ejemplo, HPE Aruba) se configuran para autenticar a los clientes contra un servidor RADIUS central. Cuando el personal llega, sus dispositivos se autentican automáticamente utilizando el certificado, sin necesidad de introducir ninguna contraseña.

Comentario del examinador: Este enfoque elimina por completo la vulnerabilidad de las contraseñas compartidas. Al utilizar SCEP y EAP-TLS, el hotel garantiza que solo los dispositivos gestionados y autorizados puedan acceder al WiFi del personal. Las claves privadas permanecen seguras en los dispositivos iOS y, si se pierde un dispositivo o un empleado se marcha, el certificado se puede revocar de forma centralizada mediante la CRL, interrumpiendo inmediatamente el acceso a la red.

Una cadena de tiendas está desplegando nuevas tabletas de punto de venta (POS) en 50 establecimientos. Para cumplir con los requisitos de la norma PCI DSS, las tabletas deben conectarse a una red inalámbrica segura. El arquitecto de red tiene previsto utilizar Microsoft Intune para el despliegue. ¿Qué decisiones de arquitectura garantizan el cumplimiento y la seguridad?

Para cumplir con los requisitos de PCI DSS sobre criptografía y autenticación seguras, el arquitecto debe desplegar 802.1X EAP-TLS. Utilizando Microsoft Intune, debe seleccionar SCEP en lugar de PKCS para el despliegue de certificados. Esto garantiza que la clave privada se genere en el TPM de la tableta POS y nunca se transmita por la red. Debe configurar un servidor NDES publicado de forma segura a través de Azure AD Application Proxy. Por último, debe configurar el servidor RADIUS para exigir una comprobación estricta de la CRL, lo que garantiza que si una tableta POS se ve comprometida, su certificado pueda revocarse y el acceso a la red se bloquee de inmediato.

Comentario del examinador: Elegir SCEP en lugar de PKCS es la decisión crítica en este caso para cumplir con la norma PCI DSS, ya que evita la transmisión de la clave privada. Publicar el servidor NDES a través de un proxy de aplicación protege la infraestructura de registro. La comprobación estricta de la CRL es obligatoria; sin ella, un certificado revocado podría seguir permitiendo que un dispositivo comprometido acceda a la red de pago.

Preguntas de práctica

Q1. Está implementando una nueva red WiFi 802.1X para un campus corporativo utilizando Microsoft Intune. Ha configurado el perfil de raíz de confianza, el perfil SCEP y el perfil WiFi. Sin embargo, durante las pruebas, los dispositivos reciben los certificados pero el perfil WiFi se muestra como 'Error' en la consola de Intune. ¿Cuál es la causa más probable?

Sugerencia: Considere cómo el MDM resuelve las dependencias entre los perfiles.

Ver respuesta modelo

La causa más probable es una discrepancia en la asignación de grupos. Intune requiere que los perfiles dependientes se asignen exactamente al mismo grupo de Azure AD. Si el perfil SCEP está asignado a un grupo de Usuarios y el perfil WiFi está asignado a un grupo de Dispositivos, Intune no puede resolver la dependencia, lo que genera un error.

Q2. Una empresa de retail quiere automatizar la implementación de certificados para las tabletas de sus gerentes de tienda. Están debatiendo entre usar SCEP o PKCS. Su principal preocupación es la seguridad, específicamente la protección de las claves privadas. ¿Qué protocolo deberían elegir y por qué?

Sugerencia: Piense en dónde se genera la clave privada en cada protocolo.

Ver respuesta modelo

Deberían elegir SCEP. En un flujo de trabajo SCEP, la clave privada se genera localmente en la tableta y se almacena en su enclave seguro; nunca sale del dispositivo. Con PKCS, la Entidad Certificadora genera la clave privada y la transmite por la red al dispositivo, lo que introduce una posible vulnerabilidad de seguridad.

Q3. Un empleado deja la empresa y su cuenta de Active Directory se deshabilita. Sin embargo, el equipo de TI nota que el dispositivo del empleado sigue conectado a la red WiFi corporativa. La red utiliza autenticación EAP-TLS. ¿Qué configuración falta en el servidor RADIUS?

Sugerencia: Deshabilitar una cuenta no invalida automáticamente un certificado emitido previamente.

Ver respuesta modelo

Al servidor RADIUS le falta la verificación estricta de la Lista de Revocación de Certificados (CRL). Incluso si la cuenta de directorio está deshabilitada, el certificado del cliente sigue siendo criptográficamente válido hasta que expira o se revoca explícitamente. El servidor RADIUS debe estar configurado para verificar la CRL para garantizar que a los certificados revocados se les deniegue el acceso a la red.

Continúe leyendo esta serie

Cómo segregar de forma segura las redes WiFi de empleados y de invitados

Esta guía técnica autorizada proporciona a los responsables de TI estrategias prácticas para segregar de forma segura las redes WiFi de empleados, invitados e IoT utilizando VLANs y 802.1X. Detalla cómo proteger la infraestructura empresarial, mantener el cumplimiento de PCI-DSS y aprovechar los Captive Portals para capturar datos de origen.

Leer la guía →

La mejor filtración DNS: una guía completa para empresas

Esta guía de referencia técnica explica cómo la filtración DNS empresarial protege las redes públicas al bloquear dominios maliciosos en la capa de resolución - antes de que se establezca una conexión. Proporciona a los directores de TI, arquitectos de redes y equipos de operaciones de las instalaciones la arquitectura de despliegue, la configuración del firewall y el contexto de cumplimiento normativo que necesitan para proteger el WiFi de invitados en entornos de hostelería, comercio minorista y sector público. Purple Shield bloquea el malware, las botnets y el contenido inapropiado a nivel de DNS en más de 80.000 instalaciones activas.

Leer la guía →

Comprensión de Cisco SUDI: Identidad con Anclaje por Hardware en el Control de Acceso Seguro a la Red

Esta guía explica cómo Cisco SUDI proporciona una identidad con anclaje por hardware y criptográficamente segura para la infraestructura de red empresarial. Aprenda a sustituir las direcciones MAC suplantables por certificados 802.1AR inmutables para proteger el control de acceso a la red de su recinto.

Leer la guía →