Jamf and RADIUS: Certificate-Based WiFi Authentication for Apple Device Fleets

Esta guía de referencia técnica proporciona a los responsables de TI, arquitectos de red y CTO pasos prácticos para implementar la autenticación WiFi 802.1X basada en certificados para flotas de dispositivos Apple utilizando Jamf Pro y RADIUS. Cubre el flujo de trabajo completo de aprovisionamiento de certificados SCEP, la estructura del perfil de configuración de WiFi, los requisitos de integración de RADIUS y escenarios de implementación reales en entornos sanitarios y empresariales. La guía es esencial para cualquier organización que busque eliminar las vulnerabilidades de WiFi basadas en contraseñas, reducir la carga de trabajo del servicio de asistencia y cumplir con los estándares de acceso a la red PCI DSS y GDPR.

📖 9 min de lectura📝 2,102 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al Informe Técnico de Purple. Soy su anfitrión, y hoy nos sumergiremos en un tema de infraestructura crítico para entornos empresariales Apple: la implementación de la autenticación WiFi basada en certificados utilizando Jamf Pro y RADIUS.

Si es un administrador de TI, arquitecto de redes o director de operaciones de instalaciones, conoce el dolor que causa el WiFi basado en contraseñas. Los usuarios cambian sus contraseñas de Active Directory y, de repente, sus iPhones, iPads y MacBooks se desconectan de la red. Los tickets de soporte se disparan. La seguridad se ve comprometida porque las contraseñas se pueden compartir, pescar mediante phishing o interceptar.

La solución de nivel empresarial es 802.1X EAP-TLS. Eso es autenticación basada en certificados. Sin contraseñas. El dispositivo se autentica a sí mismo mediante un certificado criptográfico. Y cuando gestiona una flota de dispositivos Apple, la forma estándar del sector para implementar esos certificados y las configuraciones de WiFi correspondientes es a través de la gestión de dispositivos móviles, concretamente Jamf Pro.

Analicemos la arquitectura. En el extremo, tiene sus puntos de acceso empresariales. Detrás de ellos, su servidor RADIUS, tal vez FreeRADIUS, Cisco ISE o Microsoft NPS. Y gestionando los dispositivos, tiene Jamf Pro.

La magia ocurre a través de un protocolo llamado SCEP (Simple Certificate Enrollment Protocol). SCEP permite a Jamf indicarle a un dispositivo Apple: ve y habla con esta autoridad de certificación y obtén un certificado único.

Este es el flujo paso a paso. En primer lugar, configura un perfil de configuración en Jamf Pro. Este perfil contiene dos cargas útiles cruciales. La primera es la carga útil SCEP. Esta le indica al dispositivo macOS o iOS la URL de su servidor SCEP y proporciona una contraseña de desafío dinámica. El dispositivo genera una solicitud de firma de certificado (CSR) y la envía al servidor SCEP. El servidor SCEP valida el desafío, firma el certificado y lo emite de vuelta al dispositivo.

Ahora el dispositivo tiene un certificado único vinculado a la identidad. Pero necesita saber qué hacer con él. Ahí es donde entra la segunda carga útil: la carga útil de WiFi. En Jamf, configura la carga útil de WiFi para WPA2 o WPA3 Enterprise. Selecciona EAP-TLS como el tipo de EAP aceptado. Y, lo que es crucial, vincula esta carga útil de WiFi a la carga útil SCEP que acaba de crear. Le está indicando al dispositivo: cuando te conectes al SSID corporativo, utiliza el certificado que obtuviste de este proceso SCEP para autenticarte.

Cuando el usuario entra en la oficina, el MacBook detecta el SSID. Inicia una conexión 802.1X. El punto de acceso pasa la solicitud al servidor RADIUS. El servidor RADIUS y el MacBook intercambian certificados para establecer una confianza mutua. El servidor RADIUS valida el certificado del MacBook frente a la autoridad de certificación. Si es válido, no está revocado y cumple con las políticas requeridas, el servidor RADIUS envía un mensaje Access-Accept al punto de acceso y el dispositivo se conecta a la red. Sin interrupciones. Cero interacción del usuario.

Hablemos de los errores de implementación más comunes. El problema número uno que vemos son los fallos en la cadena de confianza de los certificados. Para que EAP-TLS funcione, el dispositivo Apple debe confiar en el certificado del servidor RADIUS, y el servidor RADIUS debe confiar en el certificado del dispositivo. En su perfil de Jamf WiFi, debe definir explícitamente los nombres de los certificados de servidor de confianza e incluir el certificado de la CA raíz en el perfil. Si pasa esto por alto, iOS y macOS fallarán silenciosamente en la conexión, o pedirán al usuario que confíe manualmente en el certificado, lo que anula por completo el propósito del despliegue de MDM.

Otro error común es el desafío de registro SCEP inicial. Si el dispositivo intenta obtener su certificado SCEP a través de la misma red WiFi a la que necesita el certificado para acceder, se encuentra ante el dilema del huevo y la gallina. Necesita una red de incorporación, o bien los dispositivos deben recibir sus perfiles a través de Ethernet o datos móviles antes de conectarse a la WiFi corporativa.

Ahora, veamos un escenario del mundo real. Una importante red de hospitales estaba desplegando cinco mil iPads para el personal clínico. Utilizaban PEAP con nombres de usuario y contraseñas. Cada noventa días, las contraseñas de Active Directory caducaban. La mañana siguiente a la expiración, cientos de enfermeros no podían acceder a los historiales de los pacientes porque sus iPads se desconectaban de la WiFi. Al cambiar a SCEP y EAP-TLS gestionados por Jamf, eliminaron por completo las rotaciones de contraseñas para el acceso a la red. Los certificados eran válidos durante un año y Jamf los renovaba automáticamente a los treinta días de su vencimiento a través de SCEP. Los tickets de soporte técnico por problemas de WiFi disminuyeron en un ochenta y cinco por ciento.

Permítame ofrecerle una sesión rápida de preguntas y respuestas. Pregunta: ¿Puedo usar PEAP con Jamf en lugar de EAP-TLS? Técnicamente sí, pero perderá la ventaja clave de la autenticación sin contraseña. EAP-TLS es el estándar recomendado. Pregunta: ¿Necesito una CA interna o puedo usar una CA pública? Para la autenticación RADIUS, se recomienda encarecidamente una CA interna porque usted controla la emisión y revocación de los certificados de los dispositivos. Pregunta: ¿Qué ocurre cuando un dispositivo se desvincula de Jamf? El certificado debe revocarse a nivel de CA, y el servidor RADIUS debe comprobar la lista de revocación de certificados para denegar el acceso.

Entonces, ¿cuáles son las conclusiones clave? Primero: deje atrás PEAP y las contraseñas. EAP-TLS es el estándar de oro para las flotas de Apple. Segundo: aproveche las cargas útiles dinámicas de SCEP de Jamf Pro para emitir certificados únicos vinculados al dispositivo sin intervención manual. Tercero: asegúrese de que las cadenas de confianza de sus certificados estén definidas explícitamente en sus perfiles de configuración para evitar fallos silenciosos. Cuarto: planifique su red de incorporación con cuidado; los dispositivos necesitan una vía de acceso al servidor SCEP antes de poder unirse a la WiFi segura. Y quinto: utilice certificados basados en dispositivos para hardware compartido y certificados basados en usuarios para despliegues individuales.

Este ha sido nuestro análisis técnico en profundidad sobre Jamf y RADIUS por hoy. Para obtener pasos de configuración más detallados y diagramas de arquitectura, consulte la guía escrita completa en la plataforma Purple. Gracias por su atención.

Conclusiones clave

✓EAP-TLS es el estándar de oro para la autenticación WiFi empresarial: elimina las contraseñas por completo y requiere que tanto el dispositivo como el servidor RADIUS demuestren su identidad mediante certificados digitales.
✓Jamf Pro automatiza la distribución de certificados a flotas de Apple a escala utilizando el protocolo SCEP, con contraseñas de desafío dinámicas por dispositivo que garantizan que solo los dispositivos gestionados puedan registrarse.
✓Un despliegue de WiFi de Jamf exitoso requiere dos cargas de datos vinculadas en un único Perfil de Configuración: una carga de datos SCEP para obtener el certificado y una carga de datos WiFi que haga referencia a ese certificado como identidad.
✓El fallo de despliegue más común es una cadena de confianza de certificados incompleta: el perfil de WiFi de Jamf debe incluir explícitamente la CA raíz y especificar el CN del servidor RADIUS en el campo Nombres de Certificados de Servidor de Confianza.
✓Los certificados basados en dispositivos (SAN = dirección MAC) son esenciales para el hardware compartido, ya que garantizan la conectividad de red al arrancar antes de que cualquier usuario inicie sesión.
✓Planifique la red de incorporación con cuidado: los dispositivos necesitan una ruta de red al servidor SCEP antes de poder recibir su certificado y unirse al SSID seguro 802.1X.
✓La renovación automática de certificados (configurada a los 30 días antes de la expiración) y la revocación inmediata tras la retirada del dispositivo son requisitos operativos no negociables para un despliegue seguro y resiliente.

Resumen Ejecutivo

La gestión del acceso seguro a la red WiFi para una flota de dispositivos Apple en un entorno empresarial presenta un desafío operativo y de seguridad significativo cuando se depende de la autenticación tradicional basada en contraseñas. Los usuarios cambian sus credenciales de Active Directory e inmediatamente sus iPhones, iPads y MacBooks se desconectan de la red, lo que genera tickets de soporte, interrumpe los flujos de trabajo y expone a la organización a ataques basados en credenciales.

Para los responsables de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios y organizaciones del sector público, la solución es la autenticación 802.1X basada en certificados utilizando EAP-TLS. Al aprovechar Jamf Pro para distribuir certificados criptográficos únicos a través de SCEP (Simple Certificate Enrollment Protocol) e integrarlo con un servidor RADIUS, las organizaciones pueden lograr un acceso WiFi sin contraseña y sin fricciones para cada dispositivo Apple gestionado. Esta guía proporciona un enfoque práctico y neutral respecto al proveedor para implementar la autenticación de certificados WiFi de Jamf RADIUS, garantizando una seguridad sólida, el cumplimiento de estándares como PCI DSS y GDPR, y una reducción medible de los costes de soporte.

Análisis Técnico Detallado

La Arquitectura 802.1X EAP-TLS

La base de la autenticación WiFi basada en certificados es el estándar IEEE 802.1X combinado con el protocolo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Para obtener una introducción detallada sobre el estándar 802.1X en sí, consulte nuestra guía sobre Autenticación 802.1X: Asegurando el Acceso a la Red en Dispositivos Modernos .

A diferencia de PEAP (Protected EAP), que depende de un nombre de usuario y contraseña, EAP-TLS requiere que tanto el dispositivo cliente como el servidor de autenticación demuestren sus identidades mediante certificados digitales. Esta autenticación mutua es lo que convierte a EAP-TLS en el estándar de oro para implementaciones empresariales. El modelo de tres partes consta de los siguientes componentes.

Componente	Rol	Ejemplos
Suplicante	El dispositivo Apple que solicita acceso a la red	MacBook, iPhone, iPad
Autenticador	El dispositivo de borde de red que aplica el control de acceso	Punto de Acceso WiFi, WLC
Servidor de Autenticación	Valida los certificados y autoriza el acceso	FreeRADIUS, Cisco ISE, Microsoft NPS

El Punto de Acceso actúa como un guardián, bloqueando todo el tráfico hasta que el servidor RADIUS envía un mensaje Access-Accept. Este es el núcleo del modelo de Control de Acceso a la Red basado en puertos (PNAC) de IEEE 802.1X.

SCEP y Jamf Pro: Distribución de Certificados Escalable

El desafío con EAP-TLS a gran escala es la distribución de certificados. Instalar manualmente un certificado único en 500 iPads no es una operación viable. Aquí es donde la integración de Jamf Pro y SCEP Jamf se convierte en el habilitador crítico.

SCEP (Simple Certificate Enrollment Protocol) es un protocolo ligero que permite a un dispositivo solicitar y recibir automáticamente un certificado firmado de una Autoridad de Certificación (CA). Jamf Pro actúa como el orquestador, enviando un Perfil de Configuración a cada dispositivo Apple. Este perfil contiene una carga útil SCEP que indica al dispositivo que se comunique con el servidor SCEP, proporciona una contraseña de desafío dinámica y especifica los atributos de certificado requeridos, como el Nombre Alternativo del Sujeto (SAN), que normalmente se asocia con la dirección MAC o el número de serie del dispositivo.

El mecanismo de contraseña de desafío dinámica es particularmente importante. En un despliegue SCEP integrado con Jamf, Jamf genera una contraseña de desafío única y de un solo uso para cada dispositivo. Esto garantiza que solo los dispositivos registrados en Jamf Pro —y, por tanto, gestionados corporativamente— puedan obtener con éxito un certificado de la CA. Este es un control de seguridad crítico que evita que dispositivos no autorizados se registren.

Atributos RADIUS para la autenticación de dispositivos Apple

Cuando el servidor RADIUS recibe un Access-Request del punto de acceso, evalúa varios atributos para tomar su decisión de autorización. Para despliegues Apple 802.1X, los atributos RADIUS más relevantes son los siguientes.

Atributo RADIUS	Descripción	Relevancia para Apple
`User-Name` (Attr 1)	La identidad presentada por el suplicante	Normalmente el CN del sujeto o el SAN del certificado
`NAS-IP-Address` (Attr 4)	La IP del punto de acceso	Utilizado para políticas específicas de AP
`Called-Station-Id` (Attr 30)	El BSSID y el SSID del AP	Permite la aplicación de políticas basadas en el SSID
`EAP-Message` (Attr 79)	El paquete EAP encapsulado	Contiene los datos del saludo TLS
`Tunnel-Type` (Attr 64)	Especifica el tipo de asignación de VLAN	Utilizado para la asignación dinámica de VLAN post-autenticación
`Tunnel-Medium-Type` (Attr 65)	Especifica el medio para el túnel	Requerido para el etiquetado de VLAN 802.1Q
`Tunnel-Private-Group-Id` (Attr 81)	El ID de VLAN a asignar	Permite la segmentación de red basada en roles

El atributo Tunnel-Private-Group-Id es particularmente potente en despliegues empresariales. Al devolver diferentes ID de VLAN según los atributos del certificado (por ejemplo, departamento, tipo de dispositivo), el servidor RADIUS puede segmentar dinámicamente la red sin necesidad de utilizar SSIDs independientes.

Guía de implementación

El despliegue de la autenticación WiFi de certificados para dispositivos Apple a través de Jamf Pro sigue una secuencia estructurada. Desviarse de este orden es la causa principal de los despliegues fallidos.

Paso 1: Establecer la infraestructura de su Autoridad de Certificación

Antes de configurar Jamf, su infraestructura de CA debe estar lista. Para entornos de Microsoft, esto suele ser Active Directory Certificate Services (AD CS) con el rol Network Device Enrollment Service (NDES), que actúa como servidor SCEP. Para entornos que no son de Microsoft, las opciones incluyen EJBCA, HashiCorp Vault PKI o CA basadas en la nube como AWS Private CA.

Asegúrese de que la jerarquía de su CA esté clara: una CA raíz que se mantiene fuera de línea y una o más CA emisoras que firman los certificados de los dispositivos. El servidor RADIUS necesitará su propio certificado firmado por esta misma jerarquía de CA.

Paso 2: Configurar el payload de SCEP en Jamf Pro

Vaya a Ordenadores (o Dispositivos móviles) > Perfiles de configuración > Nuevo. Añada un payload de Certificado y seleccione SCEP como origen del certificado. Los campos críticos son los siguientes.

URL: El endpoint de SCEP (por ejemplo, http://ndes.sudominio.com/certsrv/mscep/mscep.dll).
Nombre: Un nombre descriptivo que aparecerá en el llavero del dispositivo.
Asunto: El nombre distinguido (DN) del certificado. Utilice variables de Jamf como CN=$COMPUTERNAME para ordenadores o CN=$JSSID para dispositivos móviles.
Nombre alternativo del sujeto (SAN): Establezca el tipo de SAN en RFC 822 Name con el valor $MACADDRESS@sudominio.com, o DNS Name con $COMPUTERNAME.sudominio.com. Esto es lo que el servidor RADIUS leerá para identificar el dispositivo.
Tipo de desafío: Seleccione Dinámico para utilizar el proxy SCEP integrado de Jamf, que genera contraseñas de desafío por dispositivo.
Tamaño de clave: RSA de 2048 bits como mínimo. Se recomiendan 4096 bits para nuevas implementaciones.
Uso de clave: Habilite tanto Firma como Cifrado.

Paso 3: Configurar el payload de WiFi

En el mismo perfil de configuración, añada un payload de Wi-Fi. Los ajustes clave para Apple 802.1X son los siguientes.

SSID: El nombre exacto de su SSID corporativo seguro.
Tipo de seguridad: WPA2 Enterprise o WPA3 Enterprise (recomendado si el hardware lo admite).
Protocolos — Tipos de EAP aceptados: Seleccione únicamente TLS. Desactive PEAP, TTLS y todos los demás tipos para imponer exclusivamente EAP-TLS.
Autenticación — Certificado de identidad: Seleccione el payload de SCEP que creó en el Paso 2. Este es el vínculo crítico entre el certificado y la conexión WiFi.
Confianza — Nombres de certificados de servidor de confianza: Introduzca el nombre común (CN) exacto del certificado de su servidor RADIUS (por ejemplo, radius.sudominio.com). Este es el elemento de configuración que más se suele pasar por alto.
Confianza — Certificados de confianza: Suba la CA raíz y cualquier certificado de CA intermedia que haya firmado el certificado del servidor RADIUS.

Paso 4: Configurar el servidor RADIUS

En su servidor RADIUS, cree una política de red que coincida con los atributos de certificado que definió en Jamf. Para Microsoft NPS, esto significa crear una Política de solicitud de conexión que coincida con el SSID a través del atributo Called-Station-Id, y una Política de red que valide el certificado frente a su CA y, opcionalmente, asigne una VLAN a través de los atributos de túnel.

Para FreeRADIUS, configure el módulo eap para usar tls y apunte a su certificado de CA, certificado de servidor y clave privada. El archivo users o el backend SQL deben configurarse para hacer coincidir el SAN del certificado con su inventario de dispositivos.

Paso 5: Definir el alcance y desplegar el perfil

En Jamf Pro, defina el alcance del perfil de configuración para los grupos de dispositivos adecuados; por ejemplo, todos los dispositivos en el grupo inteligente "Corporate Fleet". El perfil se enviará automáticamente a través de MDM. Los dispositivos que estén conectados lo recibirán en cuestión de minutos; los dispositivos que estén desconectados lo recibirán la próxima vez que se conecten.

Buenas prácticas

Implemente WPA3 Enterprise siempre que sea posible. WPA3 Enterprise con modo de 192 bits proporciona una fuerza criptográfica mejorada mediante el uso de GCMP-256 y HMAC-SHA-384, ofreciendo una protección significativamente más sólida que WPA2 Enterprise. Para entornos de Hospitality y organizaciones de Healthcare que manejan datos confidenciales, esta actualización es cada vez más un requisito de cumplimiento normativo en lugar de una simple buena práctica.

Aproveche los certificados basados en dispositivos para el hardware compartido. Para dispositivos compartidos, como iPads de puntos de venta en comercios, tabletas de conserjería de hoteles o dispositivos clínicos, utilice certificados vinculados al dispositivo en lugar de certificados vinculados al usuario. Esto garantiza que el dispositivo se conecte a la red al arrancar, antes de que cualquier usuario inicie sesión, lo que permite que las conexiones de MDM, las actualizaciones de aplicaciones y las notificaciones push funcionen correctamente. Esta es una consideración crítica para los despliegues de Retail donde los dispositivos se pueden compartir entre turnos.

Integre el acceso a la red con su postura de seguridad general. Mientras el personal utiliza 802.1X para un acceso interno seguro, asegúrese de que sus redes públicas se gestionen a través de una solución robusta de Guest WiFi para mantener una separación clara del tráfico. Combinar la autenticación del personal basada en certificados con WiFi Analytics proporciona una visibilidad completa tanto del comportamiento de los dispositivos autenticados como de la actividad de la red de invitados.

Automatice la renovación de certificados. Configure la carga útil de SCEP en Jamf para activar la renovación automática cuando falten entre 14 y 30 días para que expire un certificado. Esto evita la situación en la que un dispositivo pierde silenciosamente el acceso a la red porque su certificado caducó de la noche a la mañana. En Jamf Pro, esto se controla a través del ajuste Renewal Threshold en la carga útil de SCEP.

Mantenga una lista de revocación de certificados (CRL) o un respondedor OCSP. Cuando un dispositivo se retira del servicio, se roba o se da de baja en Jamf, su certificado debe revocarse a nivel de la CA. Configure su servidor RADIUS para verificar el endpoint de la CRL o del OCSP en cada intento de autenticación. Sin esto, un dispositivo robado con un certificado válido aún podría autenticarse en la red. For further context on modern network infrastructure decisions, the The Core SD WAN Benefits for Modern Businesses guide provides useful context on how certificate-based authentication integrates with SD-WAN overlay architectures.

Troubleshooting & Risk Mitigation

The Chicken-and-Egg Provisioning Problem. Devices need a network connection to reach the SCEP server and download their certificate, but they need the certificate to join the secure WiFi. This is the most common deployment blocker. The recommended mitigation strategies are: provisioning via Ethernet using USB-C or Lightning to Ethernet adapters; using cellular data on iPhones and cellular-capable iPads; or creating a temporary, restricted onboarding SSID with firewall rules that permit only SCEP and MDM traffic.

Silent EAP-TLS Failures on macOS. If the trust chain is incomplete, macOS may silently fail to connect without displaying a meaningful error in the UI. The only indication is in the system log. Use log stream --predicate 'subsystem == "com.apple.network"' to capture real-time authentication events. Always verify that the Trusted Server Certificate Names array in the Jamf profile exactly matches the CN in the RADIUS server's certificate.

RADIUS Timeout During High-Load Events. In environments such as stadiums or conference centres, simultaneous authentication requests from hundreds of devices can overwhelm the RADIUS server. Mitigate this by deploying RADIUS in a high-availability pair, tuning the max_requests parameter in FreeRADIUS, and ensuring the RADIUS server has sufficient CPU and memory for the expected concurrent authentication load. For large-scale venue deployments, review our guidance on Wireless Access Points Definition Your Ultimate 2026 Guide for capacity planning considerations.

Certificate Attribute Mismatch. If the SAN in the device certificate does not match what the RADIUS Network Policy expects, authentication will fail. This is particularly common when migrating from one CA to another, or when Jamf variables resolve differently than expected. Always test with a single device and inspect the RADIUS server logs to confirm the exact identity string being presented before rolling out to the full fleet.

ROI and Business Impact

Transitioning to Jamf RADIUS WiFi certificate authentication delivers measurable business value across several dimensions.

Metric	Typical Outcome
Helpdesk ticket reduction	60–85% reduction in WiFi-related support requests
Onboarding time per device	Reduced from 15–30 minutes to under 2 minutes (zero-touch)
Security incident risk	Near-elimination of credential-based WiFi attacks
Compliance posture	Meets PCI DSS Requirement 1.3 and GDPR Article 32 network controls
Certificate lifecycle	Automated renewal eliminates manual certificate management

El factor de retorno de la inversión (ROI) más significativo es la eliminación de las interrupciones por rotación de contraseñas. En una flota de 500 dispositivos donde el 10 % de los equipos se desconecta de la red cada trimestre debido a cambios de contraseña, y cada incidente requiere 20 minutos de dedicación del equipo de TI para resolverse, el ahorro anual en costes de soporte por sí solo puede justificar la inversión de la implementación durante el primer año.

Para los operadores de Transporte y entornos de grandes recintos, el caso de negocio se refuerza aún más por la capacidad de aplicar la asignación dinámica de VLAN, lo que garantiza que los dispositivos operativos, los del personal y los sistemas de gestión se segmenten automáticamente sin necesidad de reconfigurar la red manualmente.

Definiciones clave

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

El método de autenticación 802.1X más seguro, que requiere que tanto el dispositivo cliente como el servidor RADIUS se autentiquen mutuamente mediante certificados digitales. No se intercambia ni se transmite ninguna contraseña.

Cuando los equipos de TI necesitan eliminar el WiFi basado en contraseñas y aplicar un estricto cumplimiento de dispositivos, EAP-TLS es el estándar obligatorio. Es el único tipo de EAP que proporciona autenticación mutua.

SCEP (Simple Certificate Enrollment Protocol)

Un protocolo que permite a los dispositivos solicitar de forma segura y automática certificados digitales a una Autoridad de Certificación utilizando un mecanismo de desafío-respuesta.

Esencial para escalar los despliegues de certificados a través de Jamf Pro sin necesidad de que el personal de TI instale manualmente certificados en miles de dispositivos. El proxy SCEP dinámico de Jamf genera contraseñas de desafío por dispositivo.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los dispositivos que se conectan a un servicio de red.

El motor de decisión central que indica al punto de acceso WiFi si un dispositivo gestionado por Jamf tiene permitido el acceso a la red y, opcionalmente, qué VLAN asignar.

Configuration Profile

Un archivo XML (.mobileconfig) desplegado por Jamf Pro que contiene una o más cargas útiles para gestionar la configuración en dispositivos Apple, incluidos certificados, WiFi, VPN y restricciones.

Este es el vehículo utilizado para enviar la configuración SCEP, la configuración del SSID de WiFi y la cadena de confianza del certificado al iPhone, iPad o Mac.

CSR (Certificate Signing Request)

Un bloque de texto codificado generado por el dispositivo Apple que contiene la clave pública y la información de identidad, enviado a la Autoridad de Certificación para solicitar un certificado digital firmado.

El primer paso en el proceso SCEP. El dispositivo genera la CSR localmente, garantizando que la clave privada nunca salga del dispositivo, un principio fundamental de la seguridad PKI.

Subject Alternative Name (SAN)

Una extensión de un certificado X.509 que permite asociar múltiples valores de identidad con el certificado, como direcciones de correo electrónico, nombres DNS, direcciones IP o direcciones MAC.

Crucial para la autenticación RADIUS. El servidor RADIUS lee el SAN para identificar el dispositivo o usuario. En los despliegues de Jamf, el SAN se establece normalmente con la dirección MAC del dispositivo o el UPN del usuario.

Root CA (Certificate Authority)

El certificado de nivel superior en una jerarquía PKI, cuya clave privada se utiliza para firmar certificados de CA subordinadas. El certificado de la Root CA debe ser de confianza para todas las partes en la cadena de autenticación.

Debe desplegarse en los dispositivos Apple a través de Jamf para que confíen en los certificados presentados por el servidor RADIUS durante el saludo EAP-TLS. Sin esto, el saludo falla.

IEEE 802.1X

Un estándar IEEE para el Control de Acceso a Red basado en puertos (PNAC), que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN antes de que se les conceda acceso a la red.

El marco global que bloquea el tráfico de red en el punto de acceso hasta que el servidor RADIUS valida el certificado provisto por Jamf. Toda la seguridad WiFi empresarial se basa en este estándar.

Dynamic VLAN Assignment

Una función de RADIUS que asigna un dispositivo de conexión a una VLAN específica en función de los atributos de política devueltos en el mensaje Access-Accept, utilizando los atributos de túnel RADIUS 64, 65 y 81.

Permite la segmentación de red sin necesidad de múltiples SSIDs. Un único SSID corporativo puede ubicar automáticamente los iPads clínicos en la VLAN 20, los MacBooks de ejecutivos en la VLAN 30 y los dispositivos de invitados en la VLAN 100.

Ejemplos prácticos

Un hospital de 500 camas necesita desplegar 1.200 iPads compartidos para el personal clínico. Actualmente utilizan PEAP con credenciales de Active Directory, lo que provoca que cientos de dispositivos se desconecten cada 90 días cuando caducan las contraseñas. ¿Cómo deberían rediseñar su arquitectura de autenticación?

El hospital debería migrar a EAP-TLS utilizando certificados basados en dispositivos gestionados a través de Jamf Pro. La implementación consta de cuatro pasos clave. Primero, desplegar AD CS con el rol NDES para que actúe como servidor SCEP, emitiendo certificados a partir de una plantilla de certificado dedicada a "Dispositivos Clínicos". Segundo, configurar un perfil de configuración de Jamf con un payload SCEP que utilice $MACADDRESS como SAN, y un payload de WiFi dirigido al SSID clínico únicamente con EAP-TLS, confiando explícitamente en el certificado del servidor RADIUS. Tercero, configurar Microsoft NPS con una directiva de red que coincida con la plantilla de certificado de "Dispositivos Clínicos" y asigne los dispositivos a la VLAN clínica (Tunnel-Private-Group-Id = 20). Cuarto, establecer el umbral de renovación de SCEP en 30 días para garantizar la renovación automática de certificados sin intervención de TI. Los dispositivos deben aprovisionarse a través de Ethernet durante el despliegue inicial para resolver el reto de la red de incorporación.

Comentario del examinador: Este enfoque elimina por completo el problema de la rotación de contraseñas cada 90 días. Al utilizar certificados basados en dispositivos en lugar de basados en usuarios, los iPads permanecen conectados a la red incluso cuando están en un carro de carga, lo que garantiza que reciban actualizaciones críticas de MDM y notificaciones push antes de que un médico los recoja. La asignación dinámica de VLAN a través de RADIUS garantiza que los dispositivos clínicos se ubiquen automáticamente en el segmento de red correcto, cumpliendo con los requisitos de segmentación de red de HIPAA sin configuración manual.

Una agencia creativa con 300 MacBooks se traslada a una nueva oficina. Quieren un aprovisionamiento de WiFi sin intervención (zero-touch): los nuevos MacBooks deben conectarse automáticamente al SSID corporativo seguro cuando los usuarios finales los desembalen en sus escritorios, sin intervención de TI. ¿Cómo lo consiguen?

La agencia debe combinar el Registro Automatizado de Dispositivos (ADE) de Apple con Jamf Pro y un perfil de configuración cuidadosamente secuenciado. Durante el Asistente de Configuración de macOS, el MacBook se conecta a Internet a través de un SSID de incorporación abierto temporal (restringido por firewall para permitir únicamente el tráfico de activación de Apple, Jamf MDM y SCEP). Se comunica con Apple, reconoce que pertenece a la agencia a través de ADE y se registra automáticamente en Jamf Pro. Jamf Pro envía inmediatamente un perfil de configuración preconfigurado que contiene el payload SCEP y el payload de WiFi corporativo. El registro SCEP se completa a través del SSID de incorporación, el certificado se instala en el llavero y el payload de WiFi se activa. A continuación, el MacBook pasa automáticamente al SSID corporativo seguro 802.1X. Desde la perspectiva del usuario, simplemente completa el Asistente de Configuración y el portátil ya está en la red corporativa.

Comentario del examinador: Este escenario destaca la importancia crítica de la red de incorporación en los despliegues zero-touch. El payload SCEP y el payload de WiFi deben estar en el mismo perfil de configuración y asignados al grupo de Registro Previo para que se envíen inmediatamente después del registro en el MDM, antes de que el usuario llegue al escritorio. Si el perfil se asigna a un Grupo Inteligente que requiere que el dispositivo esté completamente registrado primero, puede haber un retraso durante el cual el dispositivo no tenga acceso a la red, interrumpiendo la experiencia zero-touch.

Preguntas de práctica

Q1. Has desplegado un Perfil de Configuración de Jamf con un payload SCEP y un payload de WiFi en 50 MacBooks. Los certificados SCEP se han instalado correctamente en el llavero, pero los MacBooks muestran a los usuarios un cuadro de diálogo de 'Verificar certificado' al intentar conectarse al SSID corporativo. ¿Qué elemento de configuración falta o es incorrecto?

Sugerencia: Piensa en qué información necesita el dispositivo Apple para confiar automáticamente en la identidad del servidor RADIUS sin interacción del usuario.

Ver respuesta modelo

Al payload de WiFi en el Perfil de Configuración de Jamf le falta la entrada 'Nombres de certificados de servidor de confianza' (que debe coincidir exactamente con el CN del certificado del servidor RADIUS), o bien los certificados de la CA raíz y de la CA intermedia que firmaron el certificado del servidor RADIUS no están incluidos en el payload de confianza del perfil. Sin una confianza explícita definida por el MDM, macOS e iOS requieren que el usuario verifique y acepte manualmente el certificado del servidor RADIUS durante el protocolo de enlace EAP-TLS. Se deben rellenar ambos campos: la matriz de Certificados de confianza (que contiene la cadena de la CA) y la matriz de Nombres de certificados de servidor de confianza (que contiene el CN del servidor RADIUS).

Q2. Una cadena de tiendas quiere que los iPads de sus puntos de venta se conecten a la red WiFi corporativa segura inmediatamente después de arrancar, antes de que cualquier empleado inicie sesión en la aplicación de punto de venta. El despliegue actual utiliza certificados de usuario vinculados a los UPN de los empleados individuales. Los dispositivos suelen fallar al conectarse al inicio de un turno. ¿Cuál es la causa principal y cuál es el cambio de arquitectura correcto?

Sugerencia: Considera cuándo están disponibles los diferentes tipos de certificados para la pila de red de iOS en relación con el ciclo de vida de autenticación del usuario.

Ver respuesta modelo

La causa principal es que los certificados de usuario (vinculados a un UPN) se almacenan en el llavero del usuario y solo son accesibles después de que el usuario se haya autenticado en el dispositivo. Al arrancar o en la pantalla de bloqueo de iOS, el llavero del usuario está bloqueado, por lo que la pila de WiFi no puede acceder al certificado para realizar EAP-TLS. El cambio de arquitectura correcto es cambiar a certificados de dispositivo, donde el SAN se establece con la dirección MAC o el número de serie del dispositivo. Los certificados de dispositivo se almacenan en el llavero del sistema, que es accesible en el momento del arranque antes de que cualquier usuario inicie sesión. La política de red de RADIUS debe actualizarse para que coincida con los certificados de dispositivo en lugar de los de usuario, y el payload SCEP de Jamf debe actualizarse para utilizar variables a nivel de dispositivo como $MACADDRESS o $SERIALNUMBER como SAN.

Q3. Tu organización utiliza Microsoft NPS como servidor RADIUS. Estás configurando un nuevo payload SCEP de Jamf para 200 MacBooks. La política de red de NPS está configurada para requerir que el Nombre alternativo del sujeto (SAN) del certificado coincida con una cuenta de equipo en Active Directory. ¿Qué valor de SAN deberías configurar en el payload SCEP de Jamf y qué formato espera NPS?

Sugerencia: La autenticación de certificados de equipo de NPS requiere que el SAN coincida con la identidad del equipo en Active Directory en un formato específico.

Ver respuesta modelo

Para la autenticación de certificados de equipo de NPS, el SAN debe configurarse con el tipo DNS Name con el valor $COMPUTERNAME.tudominio.com (utilizando la variable de Jamf para el nombre de host del equipo). NPS espera que el DNS Name del SAN coincida con el nombre de dominio completo (FQDN) del equipo tal como aparece en Active Directory. Alternativamente, si se utiliza el tipo de SAN User Principal Name, el formato debe ser host/$ COMPUTERNAME@TUDOMINIO.COM . La condición de la política de red de NPS debe configurarse para que coincida con el atributo 'Client Certificate SAN'. Asegúrate de que los MacBooks estén vinculados a Active Directory, o de que los nombres de los equipos en Jamf coincidan con los objetos de equipo en AD; de lo contrario, la búsqueda de NPS fallará aunque el certificado sea válido.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.