Saltar al contenido principal

Gestión de certificados digitales para la autenticación WiFi EAP-TLS

Esta guía técnica de referencia detalla la gestión del ciclo de vida de los certificados digitales para la autenticación WiFi EAP-TLS. Proporciona estrategias prácticas para implementar, renovar y revocar certificados a escala en redes corporativas utilizando integraciones de SCEP y MDM.

📖 4 min de lectura📝 892 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Hable en un inglés británico con un tono seguro, autoritario y conversacional, como un consultor senior que informa a un cliente. Ritmo pausado, dicción clara, cálido pero directo. Pausas naturales ocasionales para enfatizar: Bienvenido a la serie de informes técnicos de Purple. Hoy hablaremos de la gestión de certificados EAP-TLS - concretamente, de cómo ejecutar un programa de autenticación WiFi basado en certificados a escala sin que se convierta en una carga operativa a tiempo completo. [pausa media] Si es usted responsable de la red WiFi corporativa o del personal en múltiples ubicaciones - ya sea un grupo hotelero, un sector minorista, un campus universitario o un patrimonio del sector público - este informe es para usted. Vamos a cubrir todo el ciclo de vida de los certificados: desde la configuración de su jerarquía de CA, pasando por el despliegue automatizado a través de SCEP y MDM, hasta la renovación y revocación. Y hablaremos de dónde suelen fallar las cosas, porque fallan, y de cómo evitar las trampas más comunes. [pausa media] Empecemos por lo fundamental. EAP-TLS - es decir, Extensible Authentication Protocol con Transport Layer Security - es el estándar de oro para la autenticación WiFi 802.1X. A diferencia de PEAP, que depende de un nombre de usuario y una contraseña, EAP-TLS utiliza una autenticación mutua basada en certificados. El dispositivo demuestra su identidad con un certificado de cliente. El servidor RADIUS demuestra su identidad con un certificado de servidor. Ambas partes se verifican mutuamente. No hay contraseña que pescar con phishing. No hay credenciales que robar. Por eso tanto la norma PCI-DSS 4.0 como la guía de confianza cero del NCSC apuntan a la autenticación basada en certificados para las redes del personal. [pausa media] Ahora, la arquitectura. Necesita tres cosas para que EAP-TLS funcione. En primer lugar, una infraestructura de clave pública - su jerarquía de CA. En segundo lugar, un mecanismo para introducir los certificados en los dispositivos - es decir, SCEP o su plataforma MDM. En tercer lugar, un servidor RADIUS que confíe en su CA y pueda validar los certificados de cliente en tiempo real. [pausa media] La jerarquía de CA es donde la mayoría de las organizaciones tienen problemas al principio. El patrón correcto es un modelo de tres niveles. Tiene una CA raíz en la parte superior - esta debe estar fuera de línea, aislada de la red, y sólo se conecta en línea para firmar su certificado de CA intermedia. La CA intermedia - a veces llamada CA emisora - es la que realmente firma los certificados del día a día. Está en línea, pero su clave privada está bien protegida. Por debajo de ella, se emiten dos tipos de certificados: certificados de servidor para su infraestructura RADIUS y certificados de cliente para sus dispositivos y usuarios. [pausa media] ¿Por qué es esto importante? Porque si su CA raíz se ve comprometida, tendrá que reconstruir toda su PKI desde cero y volver a registrar cada dispositivo. Mantenerla fuera de línea elimina ese riesgo. La CA intermedia puede sustituirse sin tocar la raíz. Ese es el argumento de resiliencia operativa para el modelo de tres niveles. [pausa media] Hablemos de los periodos de validez de los certificados. Se ha producido un cambio muy importante en el sector. Apple, Google y Mozilla han pasado a exigir periodos máximos de validez de los certificados más cortos. En el caso de los certificados de servidor TLS, el máximo actual es de 398 días. Para los certificados de cliente en redes WiFi corporativas, se dispone de más flexibilidad (lo habitual es de uno a dos años), pero la tendencia es hacia periodos de validez más cortos y una renovación automatizada en lugar de gestionar manualmente certificados de larga duración. La razón es sencilla: un periodo de validez más corto limita el tiempo de exposición en caso de que un certificado se vea comprometido. [medium pause] Esto nos lleva a la automatización. La gestión manual de certificados no es escalable. Si tienes 500 dispositivos, es posible gestionar las renovaciones a mano. Si tienes 5000 dispositivos en 50 ubicaciones, no es viable. Necesitas SCEP (Simple Certificate Enrolment Protocol) o su sucesor moderno, EST. SCEP se integra directamente con las plataformas MDM, incluidas Microsoft Intune, Jamf Pro y VMware Workspace ONE. El MDM envía un perfil de configuración SCEP al dispositivo. El dispositivo genera un par de claves, envía una solicitud de firma de certificado a tu servidor SCEP y recibe un certificado firmado, todo ello sin ninguna interacción del usuario. [medium pause] Para los dispositivos Windows en un entorno de Active Directory, existe una alternativa: el registro automático controlado por políticas de grupo a través de Active Directory Certificate Services. El dispositivo se autentica en el dominio, la CA emite un certificado automáticamente y este se renueva antes de que caduque sin ninguna intervención manual. Esta es la vía más sencilla para las infraestructuras con una gran presencia de Windows. [medium pause] Pasemos ahora a la revocación. Este es el aspecto en el que las organizaciones suelen invertir menos, y es el más crítico cuando algo sale mal. Si un dispositivo se pierde o es robado, o si un empleado deja la empresa, es necesario revocar su certificado de inmediato. Existen dos mecanismos: CRL (Certificate Revocation Lists) y OCSP (Online Certificate Status Protocol). [medium pause] CRL es el mecanismo más antiguo. Tu CA publica una lista de números de serie de certificados revocados en una URL conocida. El servidor RADIUS descarga esta lista periódicamente y realiza la comprobación. El problema de la CRL es la latencia: si tu CRL tiene un periodo de validez de 24 horas, un certificado revocado aún puede autenticarse hasta 24 horas después de su revocación. [medium pause] OCSP es la alternativa en tiempo real. El servidor RADIUS envía una consulta al respondedor OCSP para cada intento de autenticación y recibe una respuesta en directo que indica si el certificado es válido o está revocado. El inconveniente es que tu respondedor OCSP se convierte en una dependencia crítica: si no está disponible, debes decidir si permites el acceso o lo bloqueas. Para entornos de alta seguridad, bloquear el acceso es la opción adecuada. Para entornos operativos donde la disponibilidad es lo más importante, puedes configurar un breve periodo de gracia de OCSP. [medium pause] Permíteme presentarte dos escenarios concretos para ilustrar esto de forma práctica. [medium pause] Primero: un grupo hotelero de 150 propiedades. Utilizaban PEAP con una contraseña compartida para el WiFi del personal. La rotación de contraseñas era trimestral, lo que significaba un intervalo de dos semanas cada trimestre en el que el personal se quedaba sin acceso o utilizaba la contraseña antigua. Pasaron a EAP-TLS utilizando Microsoft Intune para el despliegue de certificados. Perfiles SCEP distribuidos a todos los dispositivos Windows y iOS. Active Directory Certificate Services como CA. El resultado: cero eventos de rotación de contraseñas, renovación de certificados gestionada automáticamente 30 días antes de su expiración y, cuando un miembro del personal se marchaba, su certificado se revocaba en el MDM a los pocos minutos de desactivar su cuenta en Microsoft Entra ID. El equipo de TI estimó que ahorraron aproximadamente 40 horas al trimestre en restablecimientos de contraseñas y tickets de soporte. [medium pause] Segundo: una cadena de tiendas multisede con 3.000 dispositivos de personal en 200 tiendas. El reto aquí era la diversidad de dispositivos, una combinación de portátiles Windows, terminales de mano Android y dispositivos iOS. Utilizaban Jamf Pro para los dispositivos Apple y Microsoft Intune para Windows y Android, ambos apuntando al mismo servidor SCEP respaldado por una CA intermedia de Microsoft ADCS. La infraestructura de WiFi era Cisco Meraki, con autenticación RADIUS gestionada por un servicio RADIUS alojado en la nube e integrado con Purple. La decisión clave de diseño fue emitir certificados con una validez de 12 meses y configurar la renovación automática a los 60 días antes de la expiración. Esto proporcionó un margen de renovación cómodo sin generar costes operativos adicionales. [medium pause] Ahora, los errores comunes. Hay cuatro que veo de forma constante. [medium pause] Primero: no probar la revocación. Las organizaciones configuran su PKI, despliegan los certificados y nunca llegan a probar si la revocación funciona de extremo a extremo. Pruébelo. Revoque un certificado de prueba, confirme que el servidor RADIUS detecta la revocación dentro del plazo previsto y confirme que se deniega el acceso al dispositivo. [medium pause] Segundo: el abismo de las expiraciones masivas. Si emite todos sus certificados al mismo tiempo con el mismo periodo de validez, todos expirarán a la vez. Escalone la emisión o, como mínimo, escalone los activadores de renovación. Una tasa de fallo de renovación del 10 % en 5.000 dispositivos simultáneamente es un incidente grave. [medium pause] Tercero: no distribuir el certificado de la CA raíz a todos los dispositivos antes de desplegar EAP-TLS. Si el dispositivo no confía en su CA raíz, rechazará el certificado del servidor RADIUS y la autenticación fallará. Esto parece obvio, pero pilla desprevenidas a las organizaciones cuando tienen dispositivos BYOD o portátiles de contratistas que no están registrados en el MDM. [medium pause] Cuarto: la disponibilidad del respondedor OCSP. Si su respondedor OCSP se cae y su servidor RADIUS está configurado para denegar el acceso ante errores de OCSP, toda su red WiFi dejará de funcionar. Añada redundancia a su infraestructura OCSP o configure un periodo de gracia corto con la monitorización adecuada. [medium pause] Muy bien, pasemos a las preguntas rápidas. [medium pause] ¿Puedo utilizar una CA pública para los certificados de cliente EAP-TLS? Técnicamente sí, pero en la práctica no. Las CA públicas no emiten certificados de cliente para dispositivos arbitrarios. Necesita su propia CA para los certificados de cliente. Para el certificado del servidor RADIUS, una CA pública es adecuada y simplifica la distribución de la confianza. [medium pause] ¿Qué pasa con el BYOD? El BYOD es el caso más complejo. No se pueden enviar certificados a dispositivos no gestionados a través de un MDM. Las opciones incluyen un portal de control de acceso a la red que emita certificados de corta duración tras la autenticación del usuario, o simplemente mantener el BYOD en un SSID independiente con un método de autenticación diferente. [medium pause] ¿Cómo interactúa esto con WPA3? WPA3-Enterprise exige un modo de seguridad de 192 bits para entornos sensibles, lo que requiere conjuntos de cifrado específicos. EAP-TLS es totalmente compatible con WPA3-Enterprise y es, de hecho, el método de autenticación recomendado. [medium pause] En resumen. La gestión de certificados EAP-TLS no es sencilla, pero es manejable si se define correctamente la arquitectura desde el principio. Jerarquía de CA de tres niveles. Registro automatizado mediante SCEP o MDM. Ciclos de vida de certificados cortos con renovación automatizada. Revocación en tiempo real mediante OCSP. Pruébelo todo, especialmente la revocación. E integre el ciclo de vida de sus certificados con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - para que la revocación de certificados se active automáticamente cuando se desactive una cuenta. [medium pause] Si utiliza servidores RADIUS vinculados a Purple, los puntos de integración son la URL de su servidor SCEP, el certificado de su servidor RADIUS y su endpoint CRL u OCSP. La arquitectura de Purple, independiente del hardware, permite que esto funcione en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y el resto de la lista de hardware habitual; no está limitado a las herramientas de PKI de un único proveedor. [medium pause] Siguientes pasos: audite su inventario de certificados actual. Si no sabe cuántos certificados tiene, cuándo caducan y quién los ha emitido, eso es lo primero que debe solucionar. A partir de ahí, el camino hacia la automatización completa está claramente definido. Gracias por su atención.

header_image.png

Resumen ejecutivo

La gestión de certificados digitales para la autenticación WiFi mediante EAP-TLS representa un gran desafío operativo para los equipos de TI de las empresas. A medida que las organizaciones eliminan progresivamente la autenticación basada en credenciales para alinearse con el cumplimiento de Zero Trust, la carga operativa se traslada del restablecimiento de contraseñas a la gestión del ciclo de vida de los certificados. Esta guía detalla los patrones de arquitectura necesarios para implementar, renovar y revocar certificados del lado del cliente a escala en entornos corporativos complejos.

Para los CTO y arquitectos de red, el objetivo está claro: implementar una infraestructura de clave pública (PKI) robusta que se integre a la perfección con las plataformas de gestión de dispositivos móviles (MDM) existentes. Al automatizar la emisión de certificados mediante el Protocolo simple de inscripción de certificados (SCEP) y ejecutar la revocación en tiempo real, se elimina la intervención manual. Este enfoque protege el perímetro de la red, cumple con los marcos de cumplimiento, incluido PCI-DSS 4.0, y garantiza una conectividad continua para más de 80.000 sedes físicas que ejecutan hardware corporativo.

Análisis técnico detallado

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) representa el estándar de oro para el control de acceso a redes 802.1X. Impone la autenticación mutua. El servidor RADIUS presenta su certificado para demostrar su identidad al cliente, mientras que el cliente presenta su certificado para demostrar su identidad a la red.

Arquitectura PKI de tres niveles

Una jerarquía PKI plana introduce un riesgo inaceptable. El patrón recomendado es una arquitectura de tres niveles:

  1. Entidad de certificación raíz (Root CA): El anclaje de confianza definitivo. Este servidor permanece fuera de línea y aislado de la red. Su única función es firmar certificados de CA intermedias.
  2. CA intermedia (CA emisora): Este servidor permanece en línea y se encarga de la firma diaria de certificados de cliente y servidor. Si se ve comprometido, puede ser revocado por la Root CA sin necesidad de reconstruir toda la infraestructura de confianza.
  3. Certificados de entidad final: Estos son los certificados reales que se implementan en los servidores RADIUS y en los dispositivos de los clientes.

pki_trust_chain_diagram.png

Ciclos de vida de los certificados y estándares criptográficos

El sector exige ciclos de vida de los certificados más cortos para limitar la ventana de exposición en caso de que una clave se vea comprometida. Aunque los certificados TLS públicos están limitados a 398 días, los certificados de cliente internos utilizados para la autenticación WiFi suelen utilizar un periodo de validez de 365 días.

Los requisitos criptográficos exigen un mínimo de claves RSA de 2048 bits o criptografía de curva elíptica (ECC) mediante la curva P-256. El modo WPA3-Enterprise de 192 bits requiere conjuntos de cifrado específicos, y EAP-TLS es el único método de autenticación que cumple plenamente con estos requisitos.

Guía de implementación

Desplegar EAP-TLS en sedes distribuidas requiere una integración estrecha entre su proveedor de identidad, su plataforma MDM y el hardware de red. La superposición en la nube de Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Paso 1: Establecer la cadena de confianza

Antes de que cualquier dispositivo pueda autenticarse, debe confiar en el servidor RADIUS. Despliegue el certificado de la CA raíz en todos los dispositivos gestionados a través de su MDM. Para los dispositivos no gestionados, debe proporcionar un portal de incorporación de arranque para instalar el perfil de confianza.

Paso 2: Automatizar la emisión a través de SCEP

Generar certificados manualmente es inviable. Implemente SCEP para automatizar este flujo de trabajo:

  1. El MDM (por ejemplo, Microsoft Intune) envía una carga útil de SCEP al dispositivo.
  2. El dispositivo genera una clave privada localmente.
  3. El dispositivo envía una solicitud de firma de certificado (CSR) al servidor SCEP.
  4. La CA emite el certificado y el dispositivo lo instala en su almacén de claves respaldado por hardware.

Paso 3: Configurar políticas de RADIUS

Configure su servidor RADIUS para requerir EAP-TLS. Asegúrese de que el servidor valide el Nombre alternativo del sujeto (SAN) en el certificado del cliente con su directorio de identidad (Microsoft Entra ID, Okta o Google Workspace) para confirmar que la cuenta de usuario sigue activa.

certificate_lifecycle_infographic.png

Buenas prácticas

  • Automatizar la renovación con antelación: configure los perfiles MDM para activar la renovación del certificado al menos 30 días antes de su vencimiento. Esto evita fallos de autenticación repentinos en sedes enteras.
  • Aplicar almacenes de claves por hardware: exija que las claves privadas se generen y almacenen dentro del Módulo de plataforma segura (TPM) o Secure Enclave del dispositivo. Las claves deben configurarse como no exportables.
  • Implementar revocación en tiempo real: confiar en listas de revocación de certificados (CRL) estáticas introduce latencia. Implemente el Protocolo de estado de certificados en línea (OCSP) para que el servidor RADIUS pueda verificar el estado del certificado en tiempo real durante la autenticación.

Resolución de problemas y mitigación de riesgos

Los modos de fallo más comunes en los despliegues de EAP-TLS están relacionados con la confianza y el tiempo.

Fallos en el anclaje de confianza

Si un dispositivo cliente rechaza el certificado del servidor RADIUS, la autenticación fallará de forma silenciosa. Esto sucede cuando falta el certificado de la CA raíz en el almacén de confianza del dispositivo. Verifique los registros de despliegue del MDM para asegurarse de que el perfil de confianza se aplica antes que el perfil de WiFi. Para obtener más diagnósticos sobre problemas de conectividad, consulte Resolución de problemas de WiFi pública: cómo solucionar fallos de 'Conectado, sin internet' y de redirección a la página de bienvenida .

Acantilados de vencimiento

La emisión simultánea de miles de certificados genera un pico de renovación al límite. Si el servidor SCEP experimenta un tiempo de inactividad durante esta ventana, los dispositivos se desconectarán de la red. Escalone las implementaciones iniciales para distribuir la carga de renovación.

Tiempos de espera de OCSP

Si el servidor RADIUS no puede comunicarse con el respondedor OCSP, debe decidir si permite el acceso de forma permisiva (fail-open) o lo restringe (fail-closed). Para las redes empresariales, restringir el acceso es la práctica estándar. Asegúrese de que su infraestructura de OCSP sea de alta disponibilidad y esté distribuida geográficamente.

ROI e impacto empresarial

La transición a EAP-TLS requiere un esfuerzo de ingeniería inicial, pero el rendimiento operativo es significativo. Una organización con 5000 usuarios suele dedicar 40 horas al mes a resolver restablecimientos de contraseñas y bloqueos de RADIUS causados por las rotaciones de contraseñas de PEAP.

Al automatizar los ciclos de vida de los certificados, puede eliminar estos tickets de soporte. Además, cumple con los estrictos requisitos de control de acceso de ISO 27001 y PCI-DSS, lo que reduce los costes indirectos de auditoría. Cuando se integra con Guest WiFi y WiFi Analytics , Purple proporciona una visión unificada del acceso a la red para todos los tipos de usuarios, simplificando los informes de cumplimiento en ubicaciones distribuidas.

Definiciones clave

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Un marco de autenticación que requiere que tanto el cliente como el servidor demuestren su identidad mediante certificados digitales.

El estándar del sector para proteger redes WiFi corporativas sin depender de contraseñas vulnerables.

SCEP

Simple Certificate Enrolment Protocol. Un protocolo utilizado por las plataformas MDM para automatizar de forma segura la solicitud e instalación de certificados digitales en los dispositivos.

Esencial para escalar las implementaciones de EAP-TLS más allá de unas pocas docenas de dispositivos al eliminar la gestión manual de certificados.

RADIUS

Remote Authentication Dial-In User Service. El protocolo de red que proporciona una gestión centralizada de la autenticación, autorización y contabilidad.

El componente del servidor que valida el certificado del cliente y le indica al punto de acceso que conceda acceso a la red.

OCSP

Online Certificate Status Protocol. Un protocolo de internet utilizado para obtener el estado de revocación de un certificado digital X.509 en tiempo real.

Sustituye a las CRL estáticas para garantizar que un certificado revocado sea bloqueado de la red de inmediato.

Root CA

Root Certificate Authority. La autoridad criptográfica de nivel superior en una infraestructura de clave pública, utilizada para firmar CA subordinadas.

Debe mantenerse altamente segura y fuera de línea para proteger toda la cadena de confianza de la organización.

SAN

Subject Alternative Name. Una extensión de X.509 que permite asociar varios valores a un certificado de seguridad, como direcciones de correo electrónico o UPN.

Utilizado por el servidor RADIUS para asignar el certificado a una cuenta de usuario específica en el directorio de identidades.

MDM

Mobile Device Management (Gestión de dispositivos móviles). Software utilizado por los departamentos de TI para supervisar, gestionar y proteger los dispositivos móviles de los empleados.

El mecanismo de entrega que envía la configuración SCEP y los perfiles de WiFi a los dispositivos de los usuarios finales.

CRL

Certificate Revocation List (Lista de revocación de certificados). Una lista de certificados digitales que han sido revocados por la CA emisora antes de su fecha de caducidad prevista.

Un método heredado para comprobar la validez de los certificados que sufre problemas de latencia en comparación con OCSP.

Ejemplos prácticos

Un grupo hotelero de 150 propiedades necesita proteger el acceso del personal en 3.000 dispositivos. Actualmente utilizan PEAP con una contraseña compartida que rota trimestralmente, lo que genera un volumen significativo de incidencias de soporte técnico. ¿Cómo deberían implementar EAP-TLS?

Implemente Microsoft Intune para gestionar todos los dispositivos corporativos. Establezca una CA intermedia de Microsoft ADCS integrada con Intune a través del Intune Certificate Connector. Envíe el certificado de la Root CA a todos los dispositivos, seguido de un perfil SCEP que solicite un certificado de cliente con una validez de 365 días. Configure el perfil de WiFi para usar EAP-TLS y apunte a los servidores RADIUS vinculados a Purple. Configure el perfil SCEP para que se renueve automáticamente cuando quede el 20 % de vida útil (73 días).

Comentario del examinador: Este enfoque elimina por completo la rotación trimestral de contraseñas. Al establecer un activador de renovación anticipada, el equipo de TI evita los vencimientos críticos de última hora. La integración directa con Intune garantiza que, cuando un miembro del personal se marcha y se deshabilita su cuenta de Entra ID, el MDM revoca el certificado y borra el perfil de WiFi de forma automática.

Una cadena minorista requiere WiFi seguro para terminales portátiles de punto de venta en 200 ubicaciones. Los dispositivos funcionan con Android y pierden la conectividad con el servidor de gestión central con frecuencia. ¿Cómo se gestiona la revocación de certificados?

Implemente OCSP para la comprobación de revocaciones en tiempo real a nivel de servidor RADIUS. Configure el servidor RADIUS para consultar al respondedor OCSP en cada intento de autenticación. Si se denuncia la pérdida de un terminal portátil, el equipo de seguridad revoca el certificado en la CA. La próxima vez que el dispositivo intente asociarse a un punto de acceso, el servidor RADIUS recibirá una respuesta de "revocado" de OCSP y denegará el acceso de inmediato.

Comentario del examinador: Confiar en el MDM para borrar un dispositivo perdido no es suficiente si el dispositivo está desconectado o protegido. Al aplicar comprobaciones de revocación en el extremo de la red a través de OCSP, el servidor RADIUS actúa como punto de control, garantizando que el certificado comprometido no pueda utilizarse incluso si el MDM no puede comunicarse con el dispositivo.

Preguntas de práctica

Q1. Está desplegando EAP-TLS para 2.000 ordenadores portátiles corporativos. La infraestructura SCEP está configurada, pero durante las pruebas, los portátiles no consiguen conectarse al WiFi. Los registros de RADIUS muestran "Unknown CA". ¿Cuál es la causa más probable?

Sugerencia: Tenga en cuenta el orden de las operaciones al desplegar los perfiles de confianza frente a los perfiles de autenticación.

Ver respuesta modelo

Los ordenadores portátiles no tienen instalado el certificado de la Root CA en su almacén de raíces de confianza. El MDM debe estar configurado para enviar la carga de datos del certificado de la Root CA a los dispositivos antes de enviar la carga de datos SCEP o el perfil WiFi EAP-TLS. Sin la Root CA, el cliente rechaza el certificado del servidor RADIUS.

Q2. Se informa de la pérdida de un dispositivo comprometido. El equipo de TI elimina el dispositivo del MDM y revoca el certificado en la CA. Sin embargo, las pruebas revelan que el dispositivo aún puede conectarse a la red durante un máximo de 12 horas. ¿Cómo se resuelve esto?

Sugerencia: Examine cómo valida el servidor RADIUS el estado de los certificados.

Ver respuesta modelo

Es probable que el servidor RADIUS dependa de una Certificate Revocation List (CRL) que solo se publica o descarga cada 12 o 24 horas. Para resolver esto, implemente el protocolo OCSP y configure el servidor RADIUS para que consulte al respondedor OCSP para obtener una validación en tiempo real durante cada intento de autenticación.

Q3. Está diseñando la política de ciclo de vida de los certificados. El equipo de seguridad desea una duración de los certificados de 30 días para minimizar los riesgos, pero al equipo de red le preocupa la carga del servidor SCEP y las caídas de conectividad. ¿Cuál es el equilibrio recomendado?

Sugerencia: Tenga en cuenta la diferencia entre los certificados web públicos y la PKI interna gestionada.

Ver respuesta modelo

Un periodo de validez de 365 días con renovación automática activada entre 60 y 90 días antes de la expiración ofrece el equilibrio óptimo. Los periodos de validez de 30 días para los certificados WiFi generan un riesgo operativo excesivo si los dispositivos se encuentran sin conexión durante su estrecho intervalo de renovación. La seguridad se mantiene mediante una sólida revocación por OCSP en tiempo real en lugar de periodos de validez agresivamente cortos.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →