Gestión de certificados digitales para la autenticación WiFi EAP-TLS
Esta guía técnica de referencia detalla la gestión del ciclo de vida de los certificados digitales para la autenticación WiFi EAP-TLS. Proporciona estrategias prácticas para implementar, renovar y revocar certificados a escala en redes corporativas utilizando integraciones de SCEP y MDM.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico detallado
- Arquitectura PKI de tres niveles
- Ciclos de vida de los certificados y estándares criptográficos
- Guía de implementación
- Paso 1: Establecer la cadena de confianza
- Paso 2: Automatizar la emisión a través de SCEP
- Paso 3: Configurar políticas de RADIUS
- Buenas prácticas
- Resolución de problemas y mitigación de riesgos
- Fallos en el anclaje de confianza
- Acantilados de vencimiento
- Tiempos de espera de OCSP
- ROI e impacto empresarial

Resumen ejecutivo
La gestión de certificados digitales para la autenticación WiFi mediante EAP-TLS representa un gran desafío operativo para los equipos de TI de las empresas. A medida que las organizaciones eliminan progresivamente la autenticación basada en credenciales para alinearse con el cumplimiento de Zero Trust, la carga operativa se traslada del restablecimiento de contraseñas a la gestión del ciclo de vida de los certificados. Esta guía detalla los patrones de arquitectura necesarios para implementar, renovar y revocar certificados del lado del cliente a escala en entornos corporativos complejos.
Para los CTO y arquitectos de red, el objetivo está claro: implementar una infraestructura de clave pública (PKI) robusta que se integre a la perfección con las plataformas de gestión de dispositivos móviles (MDM) existentes. Al automatizar la emisión de certificados mediante el Protocolo simple de inscripción de certificados (SCEP) y ejecutar la revocación en tiempo real, se elimina la intervención manual. Este enfoque protege el perímetro de la red, cumple con los marcos de cumplimiento, incluido PCI-DSS 4.0, y garantiza una conectividad continua para más de 80.000 sedes físicas que ejecutan hardware corporativo.
Análisis técnico detallado
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) representa el estándar de oro para el control de acceso a redes 802.1X. Impone la autenticación mutua. El servidor RADIUS presenta su certificado para demostrar su identidad al cliente, mientras que el cliente presenta su certificado para demostrar su identidad a la red.
Arquitectura PKI de tres niveles
Una jerarquía PKI plana introduce un riesgo inaceptable. El patrón recomendado es una arquitectura de tres niveles:
- Entidad de certificación raíz (Root CA): El anclaje de confianza definitivo. Este servidor permanece fuera de línea y aislado de la red. Su única función es firmar certificados de CA intermedias.
- CA intermedia (CA emisora): Este servidor permanece en línea y se encarga de la firma diaria de certificados de cliente y servidor. Si se ve comprometido, puede ser revocado por la Root CA sin necesidad de reconstruir toda la infraestructura de confianza.
- Certificados de entidad final: Estos son los certificados reales que se implementan en los servidores RADIUS y en los dispositivos de los clientes.

Ciclos de vida de los certificados y estándares criptográficos
El sector exige ciclos de vida de los certificados más cortos para limitar la ventana de exposición en caso de que una clave se vea comprometida. Aunque los certificados TLS públicos están limitados a 398 días, los certificados de cliente internos utilizados para la autenticación WiFi suelen utilizar un periodo de validez de 365 días.
Los requisitos criptográficos exigen un mínimo de claves RSA de 2048 bits o criptografía de curva elíptica (ECC) mediante la curva P-256. El modo WPA3-Enterprise de 192 bits requiere conjuntos de cifrado específicos, y EAP-TLS es el único método de autenticación que cumple plenamente con estos requisitos.
Guía de implementación
Desplegar EAP-TLS en sedes distribuidas requiere una integración estrecha entre su proveedor de identidad, su plataforma MDM y el hardware de red. La superposición en la nube de Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.
Paso 1: Establecer la cadena de confianza
Antes de que cualquier dispositivo pueda autenticarse, debe confiar en el servidor RADIUS. Despliegue el certificado de la CA raíz en todos los dispositivos gestionados a través de su MDM. Para los dispositivos no gestionados, debe proporcionar un portal de incorporación de arranque para instalar el perfil de confianza.
Paso 2: Automatizar la emisión a través de SCEP
Generar certificados manualmente es inviable. Implemente SCEP para automatizar este flujo de trabajo:
- El MDM (por ejemplo, Microsoft Intune) envía una carga útil de SCEP al dispositivo.
- El dispositivo genera una clave privada localmente.
- El dispositivo envía una solicitud de firma de certificado (CSR) al servidor SCEP.
- La CA emite el certificado y el dispositivo lo instala en su almacén de claves respaldado por hardware.
Paso 3: Configurar políticas de RADIUS
Configure su servidor RADIUS para requerir EAP-TLS. Asegúrese de que el servidor valide el Nombre alternativo del sujeto (SAN) en el certificado del cliente con su directorio de identidad (Microsoft Entra ID, Okta o Google Workspace) para confirmar que la cuenta de usuario sigue activa.

Buenas prácticas
- Automatizar la renovación con antelación: configure los perfiles MDM para activar la renovación del certificado al menos 30 días antes de su vencimiento. Esto evita fallos de autenticación repentinos en sedes enteras.
- Aplicar almacenes de claves por hardware: exija que las claves privadas se generen y almacenen dentro del Módulo de plataforma segura (TPM) o Secure Enclave del dispositivo. Las claves deben configurarse como no exportables.
- Implementar revocación en tiempo real: confiar en listas de revocación de certificados (CRL) estáticas introduce latencia. Implemente el Protocolo de estado de certificados en línea (OCSP) para que el servidor RADIUS pueda verificar el estado del certificado en tiempo real durante la autenticación.
Resolución de problemas y mitigación de riesgos
Los modos de fallo más comunes en los despliegues de EAP-TLS están relacionados con la confianza y el tiempo.
Fallos en el anclaje de confianza
Si un dispositivo cliente rechaza el certificado del servidor RADIUS, la autenticación fallará de forma silenciosa. Esto sucede cuando falta el certificado de la CA raíz en el almacén de confianza del dispositivo. Verifique los registros de despliegue del MDM para asegurarse de que el perfil de confianza se aplica antes que el perfil de WiFi. Para obtener más diagnósticos sobre problemas de conectividad, consulte Resolución de problemas de WiFi pública: cómo solucionar fallos de 'Conectado, sin internet' y de redirección a la página de bienvenida .
Acantilados de vencimiento
La emisión simultánea de miles de certificados genera un pico de renovación al límite. Si el servidor SCEP experimenta un tiempo de inactividad durante esta ventana, los dispositivos se desconectarán de la red. Escalone las implementaciones iniciales para distribuir la carga de renovación.
Tiempos de espera de OCSP
Si el servidor RADIUS no puede comunicarse con el respondedor OCSP, debe decidir si permite el acceso de forma permisiva (fail-open) o lo restringe (fail-closed). Para las redes empresariales, restringir el acceso es la práctica estándar. Asegúrese de que su infraestructura de OCSP sea de alta disponibilidad y esté distribuida geográficamente.
ROI e impacto empresarial
La transición a EAP-TLS requiere un esfuerzo de ingeniería inicial, pero el rendimiento operativo es significativo. Una organización con 5000 usuarios suele dedicar 40 horas al mes a resolver restablecimientos de contraseñas y bloqueos de RADIUS causados por las rotaciones de contraseñas de PEAP.
Al automatizar los ciclos de vida de los certificados, puede eliminar estos tickets de soporte. Además, cumple con los estrictos requisitos de control de acceso de ISO 27001 y PCI-DSS, lo que reduce los costes indirectos de auditoría. Cuando se integra con Guest WiFi y WiFi Analytics , Purple proporciona una visión unificada del acceso a la red para todos los tipos de usuarios, simplificando los informes de cumplimiento en ubicaciones distribuidas.
Definiciones clave
EAP-TLS
Extensible Authentication Protocol with Transport Layer Security. Un marco de autenticación que requiere que tanto el cliente como el servidor demuestren su identidad mediante certificados digitales.
El estándar del sector para proteger redes WiFi corporativas sin depender de contraseñas vulnerables.
SCEP
Simple Certificate Enrolment Protocol. Un protocolo utilizado por las plataformas MDM para automatizar de forma segura la solicitud e instalación de certificados digitales en los dispositivos.
Esencial para escalar las implementaciones de EAP-TLS más allá de unas pocas docenas de dispositivos al eliminar la gestión manual de certificados.
RADIUS
Remote Authentication Dial-In User Service. El protocolo de red que proporciona una gestión centralizada de la autenticación, autorización y contabilidad.
El componente del servidor que valida el certificado del cliente y le indica al punto de acceso que conceda acceso a la red.
OCSP
Online Certificate Status Protocol. Un protocolo de internet utilizado para obtener el estado de revocación de un certificado digital X.509 en tiempo real.
Sustituye a las CRL estáticas para garantizar que un certificado revocado sea bloqueado de la red de inmediato.
Root CA
Root Certificate Authority. La autoridad criptográfica de nivel superior en una infraestructura de clave pública, utilizada para firmar CA subordinadas.
Debe mantenerse altamente segura y fuera de línea para proteger toda la cadena de confianza de la organización.
SAN
Subject Alternative Name. Una extensión de X.509 que permite asociar varios valores a un certificado de seguridad, como direcciones de correo electrónico o UPN.
Utilizado por el servidor RADIUS para asignar el certificado a una cuenta de usuario específica en el directorio de identidades.
MDM
Mobile Device Management (Gestión de dispositivos móviles). Software utilizado por los departamentos de TI para supervisar, gestionar y proteger los dispositivos móviles de los empleados.
El mecanismo de entrega que envía la configuración SCEP y los perfiles de WiFi a los dispositivos de los usuarios finales.
CRL
Certificate Revocation List (Lista de revocación de certificados). Una lista de certificados digitales que han sido revocados por la CA emisora antes de su fecha de caducidad prevista.
Un método heredado para comprobar la validez de los certificados que sufre problemas de latencia en comparación con OCSP.
Ejemplos prácticos
Un grupo hotelero de 150 propiedades necesita proteger el acceso del personal en 3.000 dispositivos. Actualmente utilizan PEAP con una contraseña compartida que rota trimestralmente, lo que genera un volumen significativo de incidencias de soporte técnico. ¿Cómo deberían implementar EAP-TLS?
Implemente Microsoft Intune para gestionar todos los dispositivos corporativos. Establezca una CA intermedia de Microsoft ADCS integrada con Intune a través del Intune Certificate Connector. Envíe el certificado de la Root CA a todos los dispositivos, seguido de un perfil SCEP que solicite un certificado de cliente con una validez de 365 días. Configure el perfil de WiFi para usar EAP-TLS y apunte a los servidores RADIUS vinculados a Purple. Configure el perfil SCEP para que se renueve automáticamente cuando quede el 20 % de vida útil (73 días).
Una cadena minorista requiere WiFi seguro para terminales portátiles de punto de venta en 200 ubicaciones. Los dispositivos funcionan con Android y pierden la conectividad con el servidor de gestión central con frecuencia. ¿Cómo se gestiona la revocación de certificados?
Implemente OCSP para la comprobación de revocaciones en tiempo real a nivel de servidor RADIUS. Configure el servidor RADIUS para consultar al respondedor OCSP en cada intento de autenticación. Si se denuncia la pérdida de un terminal portátil, el equipo de seguridad revoca el certificado en la CA. La próxima vez que el dispositivo intente asociarse a un punto de acceso, el servidor RADIUS recibirá una respuesta de "revocado" de OCSP y denegará el acceso de inmediato.
Preguntas de práctica
Q1. Está desplegando EAP-TLS para 2.000 ordenadores portátiles corporativos. La infraestructura SCEP está configurada, pero durante las pruebas, los portátiles no consiguen conectarse al WiFi. Los registros de RADIUS muestran "Unknown CA". ¿Cuál es la causa más probable?
Sugerencia: Tenga en cuenta el orden de las operaciones al desplegar los perfiles de confianza frente a los perfiles de autenticación.
Ver respuesta modelo
Los ordenadores portátiles no tienen instalado el certificado de la Root CA en su almacén de raíces de confianza. El MDM debe estar configurado para enviar la carga de datos del certificado de la Root CA a los dispositivos antes de enviar la carga de datos SCEP o el perfil WiFi EAP-TLS. Sin la Root CA, el cliente rechaza el certificado del servidor RADIUS.
Q2. Se informa de la pérdida de un dispositivo comprometido. El equipo de TI elimina el dispositivo del MDM y revoca el certificado en la CA. Sin embargo, las pruebas revelan que el dispositivo aún puede conectarse a la red durante un máximo de 12 horas. ¿Cómo se resuelve esto?
Sugerencia: Examine cómo valida el servidor RADIUS el estado de los certificados.
Ver respuesta modelo
Es probable que el servidor RADIUS dependa de una Certificate Revocation List (CRL) que solo se publica o descarga cada 12 o 24 horas. Para resolver esto, implemente el protocolo OCSP y configure el servidor RADIUS para que consulte al respondedor OCSP para obtener una validación en tiempo real durante cada intento de autenticación.
Q3. Está diseñando la política de ciclo de vida de los certificados. El equipo de seguridad desea una duración de los certificados de 30 días para minimizar los riesgos, pero al equipo de red le preocupa la carga del servidor SCEP y las caídas de conectividad. ¿Cuál es el equilibrio recomendado?
Sugerencia: Tenga en cuenta la diferencia entre los certificados web públicos y la PKI interna gestionada.
Ver respuesta modelo
Un periodo de validez de 365 días con renovación automática activada entre 60 y 90 días antes de la expiración ofrece el equilibrio óptimo. Los periodos de validez de 30 días para los certificados WiFi generan un riesgo operativo excesivo si los dispositivos se encuentran sin conexión durante su estrecho intervalo de renovación. La seguridad se mantiene mediante una sólida revocación por OCSP en tiempo real en lugar de periodos de validez agresivamente cortos.
Continúe leyendo esta serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.
Passpoint y OpenRoaming: Guía completa
Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.
Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior
Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.