Despliegue de certificados WiFi de Microsoft Intune a través de SCEP y PKCS

Esta guía proporciona una referencia técnica paso a paso para desplegar certificados de autenticación WiFi a través de Microsoft Intune utilizando SCEP y PKCS. Está diseñada para responsables de TI y arquitectos de red que implementan WiFi 802.1X sin contraseña para garantizar una conectividad segura y sin interrupciones en entornos empresariales.

📖 6 min de lectura📝 1,299 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Conclusiones clave

✓802.1X EAP-TLS es el estándar para un WiFi empresarial seguro, lo que requiere certificados de cliente en todos los dispositivos.
✓Microsoft Intune automatiza el despliegue de certificados a escala utilizando perfiles SCEP o PKCS.
✓SCEP es muy recomendable para WiFi, ya que la clave privada se genera localmente y nunca sale del dispositivo.
✓El despliegue requiere una secuencia estricta: 1) Raíz de confianza, 2) Perfil SCEP, 3) Perfil de Wi-Fi.
✓La asignación de grupos (usuario frente a dispositivo) debe ser idéntica en los tres perfiles para evitar fallos de dependencia.
✓Los servidores NDES deben publicarse a través de Azure AD App Proxy para permitir un aprovisionamiento de certificados remoto y seguro.
✓La verificación estricta de CRL en el servidor RADIUS es obligatoria para garantizar que los certificados revocados no puedan acceder a la red.

📚 Part of our core series: Seguridad y autenticación WiFi empresarial: la guía completa →

Resumen ejecutivo

Para los establecimientos empresariales, ya sea un dinámico entorno de hostelería , una operación de comercio minorista multisitio o un campus corporativo moderno, depender de claves precompartidas o de Captive Portals básicos para el WiFi del personal es una vulnerabilidad de seguridad y un cuello de botella operativo. La arquitectura de red moderna exige autenticación 802.1X mediante EAP-TLS, lo que garantiza que cada dispositivo se verifique criptográficamente antes de acceder a la red.

Sin embargo, el desafío radica en la distribución: ¿cómo desplegar certificados de cliente únicos en miles de dispositivos Windows, iOS y Android sin saturar a su servicio de soporte con tickets? Microsoft Intune resuelve esto mediante la gestión automatizada del ciclo de vida de los certificados. Al aprovechar los perfiles de certificado SCEP (Simple Certificate Enrollment Protocol) o PKCS (Public Key Cryptography Standards), los equipos de TI pueden enviar certificados raíz y de cliente de confianza de forma silenciosa a los dispositivos gestionados.

Esta guía proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para el despliegue de certificados WiFi de Intune. Exploraremos las diferencias críticas entre SCEP y PKCS, detallaremos la secuencia de despliegue exacta requerida para el éxito y describiremos estrategias de mitigación de riesgos en el mundo real para garantizar que su Guest WiFi y sus redes corporativas sigan siendo seguras y eficientes.

Escuche el informe del podcast complementario: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

Análisis técnico profundo: SCEP frente a PKCS

Al diseñar su estrategia de despliegue de certificados WiFi de Intune, la primera decisión arquitectónica es seleccionar el mecanismo de entrega de certificados. Intune admite tanto SCEP como PKCS, pero funcionan de manera fundamentalmente diferente.

SCEP (Simple Certificate Enrollment Protocol)

SCEP es el estándar de la industria para el registro de dispositivos empresariales. En un flujo de trabajo de SCEP, el servicio de Intune indica al dispositivo final que genere su propio par de claves privada y pública. A continuación, el dispositivo crea una solicitud de firma de certificado (CSR) y la envía a través de un servidor de Servicio de inscripción de dispositivos de red (NDES) a su entidad de certificación (CA). La CA firma la solicitud y devuelve el certificado público al dispositivo.

La ventaja crítica de seguridad de SCEP es que la clave privada nunca sale del dispositivo. Se genera localmente, se almacena en el enclave seguro del dispositivo (como el TPM en Windows o el Secure Enclave en iOS) y nunca se transmite a través de la red. Esto hace que SCEP sea el enfoque firmemente recomendado para la autenticación 802.1X.

PKCS (Public Key Cryptography Standards)

Por el contrario, con PKCS, la entidad de certificación genera tanto la clave pública como la privada de forma centralizada. A continuación, el Microsoft Intune Certificate Connector exporta de forma segura este par de claves y lo envía al dispositivo de destino.

Aunque PKCS elimina la necesidad de desplegar y mantener un servidor NDES (lo que simplifica la infraestructura), introduce un riesgo de seguridad teórico porque la clave privada se transmite a través de la red. PKCS suele ser más adecuado para casos de uso en los que se requiere el depósito de claves (key escrow), como el cifrado de correo electrónico S/MIME, en lugar de la autenticación de red.

Guía de implementación: la secuencia de despliegue

Configurar correctamente un perfil de WiFi de Intune para 802.1X requiere cumplir estrictamente una secuencia de despliegue específica. Las dependencias de los perfiles de Intune dictan que se debe establecer la confianza antes de poder configurar la autenticación.

Paso 1: Desplegar el perfil de certificado raíz de confianza

Antes de que cualquier dispositivo pueda solicitar un certificado de cliente o confiar en su servidor RADIUS, debe confiar en la entidad de certificación emisora.

Exporte su certificado de CA raíz (y cualquier certificado de CA intermedia) como archivos .cer.
En el centro de administración de Microsoft Endpoint Manager, vaya a Dispositivos > Perfiles de configuración > Crear perfil.
Seleccione la plataforma de destino (por ejemplo, Windows 10 y posterior) y elija el tipo de perfil Certificado de confianza.
Cargue el archivo .cer y despliegue este perfil en sus grupos de dispositivos de destino.

Regla general: Dirija siempre los perfiles a los mismos grupos (ya sean usuarios o dispositivos) en todos los perfiles relacionados para evitar discrepancias en el despliegue.

Paso 2: Configurar el perfil de certificado SCEP

Una vez establecida la confianza, configure el perfil SCEP para indicar a los dispositivos cómo obtener su certificado de cliente.

Cree un nuevo perfil de configuración y seleccione Certificado SCEP.
Configure el Formato del nombre del sujeto. Para la autenticación basada en usuario, lo estándar es CN={{UserPrincipalName}}. Para la autenticación de dispositivos, utilice CN={{AAD_Device_ID}}.
Establezca el Uso de la clave (Key usage) en Digital signature y Key encipherment.
En Uso de clave extendido (Extended key usage), especifique Client Authentication (OID: 1.3.6.1.5.5.7.3.2).
Vincule este perfil al perfil de certificado raíz de confianza creado en el Paso 1.
Proporcione la URL externa de su servidor NDES.

Paso 3: Desplegar el perfil de WiFi 802.1X

El paso final consiste en enviar la configuración de WiFi que vincula los certificados al SSID de la red.

Cree un perfil de configuración de Wi-Fi.
Introduzca el Nombre de la red (SSID) exactamente como lo transmiten sus puntos de acceso inalámbricos .
Seleccione WPA2-Enterprise o WPA3-Enterprise como tipo de seguridad.
Establezca el Tipo de EAP en EAP-TLS.
En la configuración de autenticación, seleccione el perfil de certificado SCEP creado en el Paso 2 como el certificado de autenticación de cliente.
Especifique el certificado Trusted Root para la validación del servidor, garantizando que el dispositivo solo se conecte a su servidor RADIUS legítimo.

Mejores prácticas y estándares del sector

Al implementar el despliegue de certificados WiFi de Intune, siga estas mejores prácticas independientes del proveedor para garantizar el cumplimiento y la fiabilidad.

Ubicación y seguridad del servidor NDES

El servidor NDES debe ser accesible desde internet para permitir que los dispositivos remotos aprovisionen certificados antes de llegar a las instalaciones. Sin embargo, exponer un servidor interno directamente a internet supone un riesgo de seguridad significativo.

Recomendación: Publique la URL de NDES mediante Azure AD Application Proxy. Esto proporciona un acceso remoto seguro sin abrir puertos de entrada en el firewall y le permite aplicar políticas de Acceso condicional al flujo de inscripción.

RADIUS y comprobación de CRL

El despliegue de certificados es solo la mitad de la ecuación de seguridad; la revocación es igual de crítica. Si se rescinde el contrato de un empleado, deshabilitar su cuenta de Active Directory puede no revocar inmediatamente su acceso WiFi si su certificado de cliente sigue siendo válido y el servidor RADIUS no comprueba estrictamente la Lista de revocación de certificados (CRL).

Recomendación: Configure su Network Policy Server (NPS) o servidor RADIUS para exigir una comprobación estricta de la CRL. Asegúrese de que sus Puntos de distribución de CRL (CDP) tengan una alta disponibilidad; si el servidor RADIUS no puede acceder a la CRL, la autenticación fallará, lo que provocará una interrupción generalizada del servicio.

Para obtener más información sobre el diseño de redes seguras, considere revisar Los beneficios principales de SD WAN para las empresas modernas .

Resolución de problemas y mitigación de riesgos

Incluso con una planificación meticulosa, el despliegue de certificados puede presentar problemas. A continuación se detallan los fallos más comunes y las estrategias de mitigación.

Problema: El perfil WiFi no se aplica

Síntoma: El dispositivo recibe los certificados Trusted Root y SCEP, pero el perfil WiFi aparece como 'Error' o 'No aplicable' en Intune.

Causa principal: Esto casi siempre se debe a una discrepancia en la asignación de grupos. Si el perfil SCEP está asignado a un Grupo de usuarios, pero el perfil WiFi está asignado a un Grupo de dispositivos, Intune no puede resolver la dependencia.

Mitigación: Audite sus asignaciones. Asegúrese de que los perfiles Trusted Root, SCEP y WiFi estén desplegados exactamente en el mismo grupo de Azure AD.

Problema: Errores NDES 403 Forbidden

Síntoma: Los dispositivos no logran recuperar el certificado SCEP y los registros de IIS de NDES muestran errores HTTP 403.

Causa principal: La cuenta de servicio de Intune Certificate Connector carece de los permisos necesarios en la plantilla de certificado, o el filtrado de URL de su firewall está bloqueando los parámetros de cadena de consulta específicos utilizados por SCEP.

Mitigación: Verifique que la cuenta del conector tenga permisos de 'Lectura' y 'Inscripción' en la plantilla de la CA. Revise los registros del firewall para asegurarse de que no se estén bloqueando las URL que contienen ?operation=GetCACaps.

ROI e impacto empresarial

La transición al despliegue de certificados 802.1X de Microsoft Intune ofrece un retorno medible tanto en seguridad como en operaciones.

Reducción de tickets de soporte: El acceso WiFi basado en contraseñas genera un volumen significativo de tickets de soporte (caducidad de contraseñas, bloqueos de cuentas, errores de escritura). La autenticación basada en certificados es invisible para el usuario, lo que suele reducir el volumen de soporte relacionado con WiFi entre un 70 % y un 80 %.
Mejora de la postura de seguridad: EAP-TLS elimina el riesgo de robo de credenciales y de ataques Man-in-the-Middle (MitM). Esto es fundamental para cumplir con marcos como PCI DSS y GDPR, especialmente en entornos de Sanidad y comercio minorista.
Incorporación fluida: Para las organizaciones que gestionan grandes flotas de dispositivos Apple junto con Windows, la integración de Intune con los flujos de trabajo de MDM existentes (consulte nuestra guía sobre Jamf y RADIUS: Autenticación WiFi basada en certificados para flotas de dispositivos Apple ) garantiza una experiencia de aprovisionamiento unificada y sin intervención desde el primer día.

Definiciones clave

SCEP (Simple Certificate Enrollment Protocol)

Un protocolo que permite a los dispositivos solicitar certificados digitales a una entidad de certificación (CA), donde la clave privada se genera y se almacena de forma segura en el propio dispositivo.

El método recomendado para desplegar certificados de autenticación WiFi debido a su alta seguridad y escalabilidad.

PKCS (Public Key Cryptography Standards)

Un conjunto de estándares donde tanto la clave pública como la privada son generadas por la entidad de certificación y luego se entregan de forma segura al dispositivo final.

A menudo utilizado para el cifrado de correo electrónico S/MIME, pero menos ideal para WiFi debido a la transmisión de la clave privada a través de la red.

NDES (Network Device Enrollment Service)

Un rol de Microsoft Windows Server que actúa como puente, permitiendo que los dispositivos sin credenciales de dominio obtengan certificados a través de SCEP.

Un componente de infraestructura necesario al implementar el despliegue de certificados SCEP con Microsoft Intune.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

El método de autenticación 802.1X más seguro, que requiere que tanto el servidor como el cliente presenten certificados digitales válidos.

El protocolo de autenticación de destino que los perfiles de certificado y WiFi de Intune están diseñados para habilitar.

CRL (Certificate Revocation List)

Una lista publicada por la entidad de certificación que contiene los números de serie de los certificados que han sido revocados antes de su fecha de caducidad.

Crítico para la seguridad; los servidores RADIUS deben verificar la CRL para garantizar que los empleados que han dejado la empresa no puedan acceder al WiFi utilizando un certificado que, de otro modo, sería válido.

Intune Certificate Connector

Un agente de software instalado en un servidor Windows local (on-premises) que actúa como intermediario para las solicitudes entre Microsoft Intune y la entidad de certificación interna.

Requerido para despliegues tanto de SCEP (para validar solicitudes) como de PKCS (para exportar claves).

Subject Alternative Name (SAN)

Una extensión de un certificado digital que permite asociar múltiples valores (como el UPN, el correo electrónico o la dirección MAC) al certificado.

Configurado en el perfil SCEP de Intune para garantizar que el servidor RADIUS pueda identificar con precisión al usuario o dispositivo.

Azure AD Application Proxy

Una función que proporciona acceso remoto seguro a aplicaciones web locales sin necesidad de una VPN ni de abrir puertos de entrada en el cortafuegos.

El método de mejores prácticas para publicar de forma segura la URL del servidor NDES interno en internet para el registro de dispositivos remotos.

Ejemplos prácticos

Una cadena de tiendas nacional con 500 ubicaciones está migrando de WPA2-Personal (clave precompartida) a WPA3-Enterprise para las tabletas de sus empleados de tienda (dispositivos dedicados de Android Enterprise). Utilizan Intune como MDM. ¿Cómo deberían diseñar la arquitectura del despliegue de certificados?

Desplegar un servidor NDES publicado a través de Azure AD App Proxy.
Crear un perfil de certificado SCEP basado en dispositivo en Intune, ya que se trata de dispositivos dedicados (tipo quiosco) no vinculados a un usuario específico. Utilizar CN={{AAD_Device_ID}} para el nombre del sujeto (Subject Name).
Desplegar el perfil de CA raíz en el grupo de dispositivos de Azure AD 'All Store Tablets'.
Desplegar el perfil SCEP en el mismo grupo 'All Store Tablets'.
Crear un perfil de Wi-Fi configurado para WPA3-Enterprise, EAP-TLS, que haga referencia al perfil SCEP, y desplegarlo en el mismo grupo.
Configurar los servidores RADIUS centrales para autenticar los certificados de dispositivo contra los objetos de equipo de Active Directory.

Comentario del examinador: Este enfoque identifica correctamente que los dispositivos dedicados requieren certificados basados en dispositivo (no basados en usuario). Al dirigir los perfiles a grupos de dispositivos de manera coherente en los tres perfiles, el arquitecto evita el fallo de despliegue más común en Intune. El uso de Azure AD App Proxy para NDES garantiza que las tabletas puedan renovar los certificados de forma segura sin necesidad de VPN.

Un gran centro de conferencias utiliza Purple para su [WiFi Analytics](/products/wifi-analytics) y Guest WiFi, pero necesita proteger su red interna de personal. El personal utiliza una combinación de portátiles Windows propiedad de la empresa y dispositivos iOS personales (BYOD). ¿Cómo gestionan el despliegue de Intune para los dispositivos BYOD?

Requerir a los usuarios de BYOD que registren sus dispositivos iOS a través de Intune User Enrollment (creando una partición de trabajo segura).
Crear un perfil de certificado SCEP basado en usuario utilizando CN={{UserPrincipalName}}.
Desplegar los perfiles de CA raíz, SCEP y Wi-Fi en un grupo de usuarios de Azure AD (por ejemplo, 'All Staff').
Cuando el usuario registra su dispositivo personal, Intune envía los perfiles específicamente a la partición de trabajo gestionada.
El dispositivo se conecta al SSID del personal utilizando la identidad del usuario, lo que permite al servidor RADIUS aplicar un control de acceso basado en roles (asignación de VLAN) según su pertenencia a grupos de AD.

Comentario del examinador: Esta solución aplica correctamente el registro de usuarios (User Enrollment) para una gestión de BYOD que preserva la privacidad. Al dirigir los perfiles a grupos de usuarios, los certificados siguen al empleado independientemente del dispositivo que registre. La integración del control de acceso basado en roles a través de RADIUS demuestra un diseño de red avanzado.

Preguntas de práctica

Q1. Ha desplegado los perfiles de CA raíz, SCEP y Wi-Fi en sus dispositivos Windows 10. Los certificados se instalan correctamente, pero el perfil de Wi-Fi no se aplica y muestra 'Error' en la consola de Intune. ¿Cuál es la causa más probable?

Sugerencia: Compruebe cómo se asignan los perfiles a los grupos de Azure AD.

Ver respuesta modelo

La causa más probable es una discrepancia en la asignación de grupos. Si el perfil SCEP se asignó a un grupo de usuarios, pero el perfil de Wi-Fi se asignó a un grupo de dispositivos, Intune no puede resolver la dependencia entre ellos. Los tres perfiles (raíz, SCEP, Wi-Fi) deben dirigirse exactamente al mismo tipo de grupo.

Q2. Su equipo de seguridad exige que las claves privadas nunca se transmitan a través de la red, incluso si están cifradas. ¿Qué método de despliegue de certificados debe utilizar en Intune y qué servidor de infraestructura adicional se requiere?

Sugerencia: Piense en dónde se genera el par de claves.

Ver respuesta modelo

Debe utilizar SCEP (Simple Certificate Enrollment Protocol). Dado que SCEP indica al dispositivo final que genere la clave privada localmente, esta nunca viaja por la red. Este despliegue requiere un servidor de Servicio de inscripción de dispositivos de red (NDES) para actuar como puente hacia la entidad de certificación.

Q3. Un empleado remoto aprovisiona un portátil nuevo en casa a través de Windows Autopilot. Los perfiles de Intune se despliegan correctamente, pero el dispositivo no puede obtener el certificado SCEP. ¿Qué configuración de infraestructura es probable que falte?

Sugerencia: ¿Cómo llega el dispositivo a la CA interna desde internet?

Ver respuesta modelo

Es probable que el servidor NDES no se haya publicado en internet. Para que los dispositivos remotos puedan solicitar certificados antes de llegar a la oficina corporativa, la URL de NDES debe ser accesible externamente, idealmente publicada de forma segura a través de Azure AD Application Proxy.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a gran escala.