Cómo configurar SCEP para el aprovisionamiento de WiFi corporativo seguro y BYOD
Esta guía técnica explica cómo configurar el protocolo SCEP (Simple Certificate Enrolment Protocol) para automatizar la autenticación WiFi corporativa segura de 802.1X y el aprovisionamiento de BYOD. Proporciona a los arquitectos de red y gerentes de TI una secuencia de implementación definitiva, escenarios de implementación del mundo real en los sectores de hotelería y retail, así como estrategias de mitigación de riesgos para eliminar claves precompartidas vulnerables y el desvío de autenticación de direcciones MAC de las redes corporativas.
Escucha esta guía
Ver transcripción del podcast

Resumen Ejecutivo
Para los entornos empresariales que operan en los sectores de hotelería, retail y el sector público, depender de claves compartidas (PSK) o de la omisión de autenticación MAC (MAB) para ofrecer acceso WiFi al personal y a dispositivos BYOD es un riesgo de seguridad. La arquitectura de red moderna exige autenticación 802.1X utilizando EAP-TLS (protocolo de autenticación extensible-seguridad de la capa de transporte), lo que garantiza que cada dispositivo se verifique de forma criptográfica antes de acceder a la red. El desafío operativo radica en distribuir certificados de cliente únicos a miles de dispositivos no administrados sin saturar a su departamento de soporte técnico de TI con tickets de servicio.
El protocolo de inscripción de certificados simple (SCEP), definido en la norma RFC 8894, resuelve este problema de distribución a través de la gestión automatizada del ciclo de vida de los certificados. Al aprovechar SCEP, los equipos de TI pueden enviar certificados raíz de confianza y certificados de cliente a los endpoints, garantizando que la clave privada nunca salga del dispositivo. Esta guía proporciona el diseño de arquitectura definitivo y la estrategia de implementación paso a paso para el despliegue de certificados WiFi mediante SCEP. Cubrimos la secuencia de despliegue crítica necesaria para el éxito, escenarios del mundo real de hotelería y retail, así como estrategias de mitigación de riesgos para mantener sus redes de Guest WiFi y corporativas seguras y con un alto rendimiento.
Análisis Técnico Detallado: Arquitectura SCEP
SCEP es el estándar de la industria para la inscripción de dispositivos empresariales, creado por VeriSign y publicado como un borrador de Internet de la IETF en 1999. Automatiza la emisión de certificados X.509 dentro de un entorno de infraestructura de clave pública (PKI), eliminando la necesidad de gestionar certificados de forma manual a escala.

In a SCEP workflow, the device generates its own private and public key pair locally. It creates a Certificate Signing Request (CSR) and sends it via a Network Device Enrolment Service (NDES) server to your Certificate Authority (CA). The CA validates the request using a shared secret and returns the signed public certificate to the device. The critical security advantage is that the private key never leaves the device. It is generated locally and stored in the device's hardware secure enclave - the Trusted Platform Module (TPM) on Windows, or the Secure Enclave on iOS. This makes SCEP the strongly recommended method for 802.1X authentication, in contrast to PKCS (Public Key Cryptography Standards), where the CA generates the key pair centrally and transmits it across the network.
The four steps of SCEP certificate enrolment are as follows. First, the device connects to the SCEP endpoint URL hosted by the NDES server. Second, the device presents the SCEP shared secret (a static password or a dynamic challenge generated by the MDM platform) to validate the enrolment request. Third, the device generates a CSR containing its public key and identifying information. Fourth, the CA validates the CSR and issues a signed X.509 certificate, which is returned to the device.
SCEP vs PKCS: Choosing the Right Mechanism
When designing your certificate deployment strategy, the choice between SCEP and PKCS directly impacts security. The table below summarises the key differences.
| Attribute | SCEP | PKCS |
|---|---|---|
| Private key generation | On the device (secure enclave) | On the CA server |
| Private key transmission | Never transmitted | Transmitted across the network |
| Infrastructure requirements | Requires an NDES server | No NDES required |
| Best suited for | WiFi and VPN authentication | S/MIME email encryption |
| Security posture for 802.1X | Recommended | Not recommended |
For enterprise WiFi with SCEP, always choose SCEP. Keeping the private key on the device is the fundamental security property that makes certificate-based 802.1X authentication superior to any credential-based authentication method.
The BYOD Self-Service Onboarding Flow
The foundation of secure BYOD onboarding is transitioning from legacy authentication to EAP-TLS without requiring full Mobile Device Management (MDM) enrolment. Forcing staff to enrol personal smartphones in corporate MDM raises legitimate privacy concerns and meets strong resistance. A self-service onboarding portal solves this problem.
Los usuarios conectan su dispositivo personal a un SSID de aprovisionamiento dedicado, el cual actúa como un entorno cerrado restringiendo el acceso únicamente al portal de incorporación y al proveedor de identidad. Los usuarios se autentican a través de la integración de SAML o OAuth con Microsoft Entra ID, Okta o Google Workspace. Una vez que la autenticación es exitosa, el sistema genera un certificado de cliente único y específico para el dispositivo mediante SCEP. Se envía un perfil de configuración (un archivo .mobileconfig para Apple o un perfil Passpoint para Android) al dispositivo. Posteriormente, el dispositivo se conecta automáticamente al SSID corporativo seguro utilizando EAP-TLS. El usuario nunca tiene que entender nada sobre certificados o 802.1X.
Guía de implementación: La secuencia de despliegue
Configurar exitosamente SCEP para 802.1X requiere apegarse estrictamente a una secuencia de despliegue específica. Se debe establecer la confianza antes de poder configurar la autenticación. Desviarse de esta secuencia es la causa más común de fallas en el despliegue.
Paso 1: Desplegar el certificado raíz de confianza. Antes de que cualquier dispositivo pueda solicitar un certificado de cliente o confiar en su servidor RADIUS, primero debe confiar en la Entidad de Certificación (CA) emisora. Exporte su certificado de CA raíz (y cualquier certificado de CA intermedia) como un archivo .cer. Despliegue este perfil a sus grupos de dispositivos objetivo a través de su plataforma de MDM. Este paso no es negociable.
Paso 2: Configurar el perfil de certificado SCEP. Esto indica a los dispositivos cómo obtener su certificado de cliente. Configure el formato del nombre del sujeto; para la autenticación basada en el usuario, el estándar es CN={{UserPrincipalName}}; para la autenticación del dispositivo, use CN={{AAD_Device_ID}}. Establezca el uso de la clave en Digital signature y Key encipherment. En el uso extendido de la clave, especifique Client Authentication (OID: 1.3.6.1.5.5.7.3.2). Vincule este perfil al perfil de certificado raíz de confianza del Paso 1. Proporcione la URL externa de su servidor NDES.
Paso 3: Desplegar el perfil de WiFi 802.1X. Envíe la configuración de WiFi que vincula el certificado al SSID de la red. Ingrese el nombre de la red exactamente como lo transmiten sus puntos de acceso (APs). Establezca el tipo de seguridad en WPA2 o WPA3. Establezca el tipo de EAP en EAP-TLS. Seleccione el perfil de certificado SCEP como el certificado de autenticación del cliente. Especifique el certificado raíz de confianza para la validación del servidor, asegurando que los dispositivos solo se conecten a su servidor RADIUS legítimo.
Esta secuencia se aplica en todas las plataformas de hardware compatibles: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. La capa en la nube independiente del hardware de Purple se integra con todas estas plataformas, lo que significa que su infraestructura de certificados no está limitada a un solo proveedor de hardware.
Mejores prácticas
Publique NDES a través de Azure AD Application Proxy. El servidor NDES debe estar accesible desde internet para que los dispositivos remotos puedan aprovisionar certificados antes de llegar al sitio. Exponer un servidor interno directamente a internet presenta un riesgo de seguridad significativo. Publicar a través de Azure AD Application Proxy proporciona un acceso remoto seguro sin necesidad de abrir puertos de entrada en el firewall, y le permite aplicar políticas de acceso condicional al flujo de registro.
Emita certificados de corta duración para BYOD. Debido a que los dispositivos BYOD no están gestionados, el riesgo de que un dispositivo comprometido permanezca en la red es mayor. Emita certificados válidos por 90 días en lugar de años. Cuando un certificado expira, el usuario debe volver a autenticarse a través del portal de incorporación. Esto depura de forma natural los dispositivos inactivos de la red sin intervención manual de TI.
Exija una verificación estricta de CRL en el servidor RADIUS. El despliegue de certificados es solo la mitad de la ecuación de seguridad. Si un empleado se va, deshabilitar su cuenta de Active Directory puede no revocar de inmediato su acceso a la WiFi mientras su certificado de cliente siga siendo válido. Configure su servidor RADIUS para exigir una verificación estricta de la Lista de Revocación de Certificados (CRL). Asegúrese de que su Punto de Distribución de CRL (CDP) esté altamente disponible. Si el servidor RADIUS no puede comunicarse con la CRL, la autenticación fallará para todos los usuarios, provocando una interrupción del servicio a gran escala.
Segmente BYOD en una VLAN dedicada. Los dispositivos BYOD no están gestionados. Usted no tiene control sobre las actualizaciones de su sistema operativo, el estado del antivirus o las aplicaciones instaladas. Coloque los dispositivos BYOD en una VLAN dedicada que proporcione únicamente acceso a internet, restringida a las aplicaciones internas específicas que requiera el rol del empleado. Nunca coloque dispositivos BYOD en la misma VLAN que los servidores corporativos o los dispositivos gestionados.

Solución de problemas y mitigación de riesgos
El perfil de WiFi no se aplica. El dispositivo recibió el certificado raíz de confianza y el certificado SCEP, pero el perfil de WiFi se muestra como "Error" en la consola de MDM. Esto casi siempre se debe a una incompatibilidad en la asignación de grupos. Si el perfil SCEP está asignado a un "grupo de usuarios" mientras que el perfil de WiFi está asignado a un "grupo de dispositivos", el MDM no puede resolver la dependencia. Audite sus asignaciones y asegúrese de que los perfiles de raíz de confianza, SCEP y WiFi se dirijan exactamente al mismo grupo de Azure AD.
Errores NDES 403 Forbidden. Los dispositivos no pueden recuperar los certificados SCEP y los registros de NDES IIS muestran errores HTTP 403. Lo más probable es que esto se deba a que la cuenta de servicio del conector carece de los permisos necesarios en la plantilla de certificado, o que su firewall está bloqueando los parámetros de cadena de consulta específicos que utiliza SCEP. Verifique que la cuenta del conector tenga permisos de "Lectura" e "Inscripción" en la plantilla de la CA. Revise los registros de su firewall para asegurarse de que no se estén bloqueando las URL que contienen ?operation=GetCACaps.
Fragmentación de Android. Los dispositivos Apple iOS manejan los perfiles .mobileconfig de manera muy consistente. Sin embargo, Android está altamente fragmentado; los diferentes fabricantes y versiones del sistema operativo manejan los perfiles de WiFi y la instalación de certificados de manera distinta. Proporcione instrucciones claras y específicas para cada sistema operativo en el portal de incorporación. El uso de Passpoint (Hotspot 2.0) proporciona un flujo de conexión consistente entre los diferentes fabricantes, mejorando significativamente la experiencia en Android.
Retrasos en la revocación de certificados. Cuando un empleado se va, su acceso debe ser revocado de inmediato. Deshabilitar su cuenta de IdP es el primer paso, pero el servidor RADIUS también debe validar el estado del certificado. Configure su servidor RADIUS para utilizar el Protocolo de Estado de Certificados en Línea (OCSP) además de la verificación de CRL. OCSP proporciona el estado de revocación en tiempo real en lugar de depender de una lista actualizada periódicamente.
ROI e impacto empresarial
La transición a la implementación de certificados SCEP 802.1X ofrece retornos medibles tanto en seguridad como en operaciones. El WiFi basado en contraseñas genera un gran volumen de tickets de soporte técnico debido a la expiración de contraseñas, bloqueos de cuentas y errores de escritura. La autenticación basada en certificados es invisible para el usuario; los dispositivos se conectan automáticamente. Por lo general, esto reduce la carga de trabajo del soporte técnico relacionada con el WiFi en un 70%, liberando al personal de TI para que se concentre en tareas estratégicas.
EAP-TLS elimina el riesgo de robo de credenciales y ataques de intermediario (MitM). Esto es fundamental para el cumplimiento de PCI-DSS en entornos de comercio minorista y el cumplimiento de GDPR en todas las industrias. En la industria de la hospitalidad , donde el personal maneja datos de pago e información personal de los huéspedes, el costo de una filtración de datos supera por mucho el costo de implementar una infraestructura de PKI bien diseñada. Los mismos factores de cumplimiento se aplican a los operadores de transporte y centros de atención médica .
Para los establecimientos que ya utilizan las plataformas de Guest WiFi y WiFi Analytics de Purple, extender la incorporación segura a los dispositivos BYOD del personal proporciona una estrategia de gestión de red unificada y sólida. Purple opera en más de 80,000 establecimientos físicos en todo el mundo, procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple) y cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Nuestros complementos de seguridad SecurePass y Shield se integran directamente con la arquitectura de autenticación basada en certificados descrita en esta guía. Para obtener una perspectiva más amplia sobre la seguridad de redes empresariales, consulte nuestra guía Seguridad WiFi empresarial: la guía completa 2026 . Para conocer las consideraciones de cumplimiento de GDPR específicas para los administradores de red, consulte La guía del administrador de red para el cumplimiento de GDPR y la privacidad de datos de invitados .
Definiciones clave
SCEP (Simple Certificate Enrolment Protocol)
Un protocolo definido en el RFC 8894 que automatiza la emisión de certificados digitales X.509 a dispositivos dentro de un entorno PKI. El dispositivo genera su propia clave privada localmente, la cual nunca sale del dispositivo.
Se utiliza para implementar certificados de autenticación WiFi en dispositivos corporativos y BYOD a escala sin intervención manual de TI. Es el estándar de la industria para el aprovisionamiento de certificados 802.1X.
802.1X
Un estándar IEEE (IEEE Std 802.1X-2020) para el control de acceso a redes basado en puertos. Proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN antes de que se les conceda acceso a los recursos de la red.
La base del WiFi empresarial seguro, que reemplaza las vulnerables claves precompartidas. Requiere un servidor RADIUS, un suplicante en el dispositivo cliente y un autenticador en el punto de acceso.
EAP-TLS (Protocolo de Autenticación Extensible-Seguridad de la Capa de Transporte)
Un marco de autenticación que requiere que tanto el servidor como el cliente presenten certificados digitales válidos. Proporciona autenticación mutua, lo que garantiza que el dispositivo confíe en la red y la red confíe en el dispositivo.
El método más seguro para la autenticación 802.1X. Elimina el robo de credenciales y los ataques de intermediario (Man-in-the-Middle). Es el protocolo de autenticación de destino para el cual está diseñado el despliegue de certificados SCEP.
NDES (Servicio de Inscripción de Dispositivos de Red)
Un rol de Windows Server de Microsoft que actúa como un puente, permitiendo que los dispositivos sin credenciales de dominio obtengan certificados de una CA de Active Directory Certificate Services a través de SCEP.
Un componente de infraestructura requerido al implementar SCEP con Microsoft Intune. Debe publicarse a través de Azure AD Application Proxy para permitir el aprovisionamiento remoto seguro de certificados.
BYOD (Trae tu propio dispositivo)
La práctica de permitir que los empleados utilicen sus teléfonos inteligentes, tabletas o computadoras portátiles personales para acceder a las redes y aplicaciones de la empresa.
Requiere una segmentación de red cuidadosa y una incorporación segura para evitar que los dispositivos no administrados comprometan la red corporativa. La inscripción completa en MDM a menudo resulta poco práctica para dispositivos personales debido a preocupaciones de privacidad.
CRL (Lista de Revocación de Certificados)
Una lista publicada por la Autoridad de Certificación que contiene los números de serie de los certificados que han sido revocados antes de su fecha de vencimiento.
El servidor RADIUS debe verificarla durante cada intento de autenticación para garantizar que los empleados dados de baja o los dispositivos comprometidos no puedan acceder a la red. Los puntos de distribución de la CRL deben tener una alta disponibilidad.
CSR (Solicitud de Firma de Certificado)
Un mensaje generado por un dispositivo y enviado a una Autoridad de Certificación para solicitar un certificado de identidad digital. Contiene la clave pública del dispositivo y la información de identidad.
Generada por el dispositivo durante el proceso SCEP. La clave privada utilizada para firmar la CSR permanece en el dispositivo y nunca se transmite.
RADIUS (Servicio de Autenticación Telefónica de Usuario de Marcación Remota)
Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilización (AAA) para los usuarios y dispositivos que se conectan a una red.
El servidor que valida el certificado del cliente durante la autenticación 802.1X y concede o deniega el acceso a la red. Debe configurarse para imponer una verificación estricta de CRL u OCSP.
PKCS (Estándares de Criptografía de Clave Pública)
Un conjunto de estándares en los que tanto la clave pública como la privada son generadas por la Autoridad de Certificación y luego se entregan de forma segura al dispositivo final.
Menos adecuado que SCEP para la autenticación WiFi porque la clave privada se transmite a través de la red. Es más adecuado para el cifrado de correo electrónico S/MIME, donde se requiere el depósito de claves.
OCSP (Protocolo de Estado de Certificados en Línea)
Un protocolo que proporciona el estado de revocación de certificados en tiempo real, como alternativa a la CRL que se actualiza periódicamente.
Preferible a la CRL para entornos de alta seguridad porque proporciona el estado de revocación al instante en lugar de depender de una lista que podría tener horas de antigüedad.
Ejemplos resueltos
Un hotel de 200 habitaciones necesita proporcionar acceso WiFi seguro a 50 miembros del personal de limpieza que utilizan sus teléfonos inteligentes personales (BYOD) para acceder a la aplicación de programación de limpieza. El gerente de TI desea evitar el registro completo de MDM para respetar la privacidad del personal, pero debe garantizar que el acceso se revoque de inmediato si un empleado renuncia.
El hotel implementa un portal de incorporación de autoservicio integrado con Microsoft Entra ID. El personal se conecta a un SSID de aprovisionamiento abierto, se autentica con sus credenciales de Microsoft Entra ID y descarga un perfil SCEP. El servidor SCEP emite un certificado de cliente de 30 días directamente al dispositivo, y la clave privada se genera y almacena de forma local en el enclave seguro del teléfono inteligente. El dispositivo se conecta automáticamente al SSID 'Staff_WiFi' utilizando EAP-TLS. El servidor RADIUS asigna estos dispositivos a una VLAN restringida que solo permite el acceso a la aplicación de programación y a internet. Cuando un empleado renuncia, se deshabilita su cuenta de Microsoft Entra ID. El servidor RADIUS, configurado para una verificación estricta de CRL, deniega el acceso a la red en el siguiente intento de autenticación. La validez de 30 días del certificado garantiza que incluso si se retrasara la verificación de la CRL, el acceso caducaría en un mes.
Una cadena nacional de retail con 500 tiendas necesita implementar WiFi seguro para tabletas de punto de venta (POS) propiedad de la empresa que ejecutan Windows. El arquitecto de red debe asegurarse de que, incluso si se roba una tableta, las credenciales de red no se puedan extraer ni utilizar para acceder a la red corporativa desde otro dispositivo. El cumplimiento de PCI-DSS es obligatorio.
El arquitecto de red configura Microsoft Intune para implementar certificados a través de SCEP. Intune envía el certificado raíz de confianza al grupo 'Dispositivos POS', seguido de un perfil SCEP que indica a cada tableta que genere su propia clave privada en el TPM de Windows. La tableta envía una solicitud CSR al servidor NDES, recibe el certificado de cliente y se conecta al SSID 'Retail_POS' mediante WPA3 y EAP-TLS. El servidor RADIUS autentica el certificado y coloca el dispositivo en la VLAN de POS aislada, que solo permite el tráfico hacia el procesador de pagos y el sistema de gestión de inventarios. Los tres perfiles de Intune - Raíz de confianza, SCEP y WiFi - se asignan al mismo grupo de dispositivos 'Dispositivos POS' para evitar fallas de dependencia. NDES se publica a través de Azure AD Application Proxy para permitir la renovación de certificados sin necesidad de que la tableta esté en el sitio.
Preguntas de práctica
Q1. Está implementando un perfil SCEP a través de Intune en una flota de laptops Windows. Los dispositivos reciben con éxito el certificado Trusted Root, pero el perfil de WiFi no se aplica y se muestra como 'Error' en la consola de Intune. El perfil SCEP está asignado al grupo de Azure AD 'All Users', mientras que el perfil de WiFi está asignado al grupo de dispositivos 'Corporate Laptops'. ¿Cuál es la causa del error y cómo lo resuelve?
Sugerencia: Considere las dependencias entre los perfiles y cómo Intune resuelve la asignación de grupos cuando un perfil depende de otro perfil.
Ver respuesta modelo
El error es causado por un desajuste en la asignación de grupos. Intune no puede resolver la dependencia entre el perfil SCEP y el perfil de WiFi porque apuntan a diferentes tipos de grupos: uno apunta a usuarios y el otro a dispositivos. Para resolver esto, audite las asignaciones de los tres perfiles y asegúrese de que los perfiles Trusted Root, SCEP y WiFi estén implementados exactamente en el mismo grupo de Azure AD. Elija de manera consistente la segmentación por usuarios o por dispositivos en todos los perfiles.
Q2. Un punto de venta minorista desea proteger sus tabletas POS. El director de TI sugiere usar PKCS en lugar de SCEP porque simplifica la infraestructura al eliminar la necesidad de un servidor NDES. Como arquitecto de red, ¿por qué debería recomendar SCEP para la autenticación WiFi 802.1X y en qué circunstancias sería PKCS la opción correcta?
Sugerencia: Piense en dónde se genera y se almacena la clave privada en ambos protocolos, y considere las implicaciones de seguridad para la autenticación de red frente al cifrado de correo electrónico.
Ver respuesta modelo
Recomiende SCEP para la autenticación WiFi 802.1X porque la clave privada se genera localmente en el dispositivo y se almacena en su enclave seguro de hardware. La clave privada nunca sale del dispositivo y nunca se transmite a través de la red. Si roban una tableta, las credenciales no se pueden extraer ni utilizar desde otro dispositivo. Con PKCS, la CA genera el par de claves de forma centralizada y lo transmite al dispositivo, lo que introduce un riesgo de transmisión que es inaceptable para la autenticación de red. PKCS es la opción correcta únicamente para el cifrado de correo electrónico S/MIME, donde se requiere el depósito de claves para permitir que los correos electrónicos cifrados se descifren si se pierde el dispositivo original.
Q3. Está diseñando un portal de incorporación de BYOD para un hospital de 500 camas. El personal clínico utilizará sus teléfonos inteligentes personales para acceder a aplicaciones internas no críticas, como el horario del personal y la mensajería interna. Debe minimizar el riesgo de que queden dispositivos inactivos en la red después de que el personal se vaya, sin necesidad de una intervención manual de TI para cada salida. ¿Qué configuración específica de certificado debería implementar?
Sugerencia: Considere el ciclo de vida del certificado y cómo puede obligar a los dispositivos a volver a autenticarse periódicamente sin requerir que TI revoque manualmente cada certificado.
Ver respuesta modelo
Implemente certificados de corta duración con un periodo de validez de 30 a 90 días. Cuando el certificado expira, el dispositivo BYOD se ve obligado a volver a autenticarse a través del Captive Portal utilizando las credenciales de IdP corporativas del miembro del personal. Si el miembro del personal se ha ido y su cuenta de IdP ha sido deshabilitada, no podrá completar la nueva autenticación y no recibirá un nuevo certificado. Esto elimina de forma natural los dispositivos inactivos de la red sin necesidad de que TI revoque manualmente los certificados individuales. Combine esto con la comprobación de OCSP en el servidor RADIUS para garantizar la revocación inmediata cuando se deshabilite una cuenta, proporcionando defensa en profundidad entre los ciclos de vencimiento de los certificados.
Q4. Su servidor NDES está devolviendo errores HTTP 403 Forbidden para todas las solicitudes de certificados SCEP. El servidor NDES es accesible desde internet a través de Azure AD Application Proxy. ¿Cuáles son las dos causas más probables de este error y cómo diagnostica cada una?
Sugerencia: Considere tanto los permisos en la plantilla de certificado como la ruta de red entre el dispositivo y el servidor NDES.
Ver respuesta modelo
Las dos causas más probables son: primero, la cuenta de servicio del Intune Certificate Connector carece de los permisos necesarios en la plantilla de certificado de la CA. Verifique que la cuenta de servicio tenga permisos de 'Lectura' e 'Inscripción' en la plantilla dentro de la consola de la CA. Segundo, el firewall o el Proxy de Aplicaciones está bloqueando los parámetros específicos de la cadena de consulta que utiliza SCEP. Revise los registros de firewall y Proxy de Aplicaciones para buscar solicitudes que contengan parámetros como '?operation=GetCACaps' o '?operation=PKIOperation'. Estas son operaciones SCEP estándar que deben permitirse. Si el Proxy de Aplicaciones está eliminando las cadenas de consulta, ajuste la configuración de preautenticación para permitir el paso directo (pass-through) para la ruta de la URL de NDES.
Continúe leyendo esta serie
Cómo segregar de forma segura las redes WiFi del personal y de invitados
Esta guía técnica autorizada proporciona a los líderes de TI estrategias prácticas para segregar de forma segura las redes WiFi del personal, invitados e IoT mediante VLANs y 802.1X. Detalla cómo proteger la infraestructura empresarial, mantener el cumplimiento de PCI-DSS y aprovechar los Captive Portals para capturar datos de primera mano.
Best DNS filtering: a comprehensive guide for businesses
Esta guía de referencia técnica explica cómo el filtrado DNS empresarial protege las redes públicas al bloquear dominios maliciosos en la capa de resolución, antes de que se establezca una conexión. Ofrece a los directores de TI, arquitectos de red y equipos de operaciones de establecimientos la arquitectura de implementación, la configuración de firewall y el contexto de cumplimiento que necesitan para proteger el WiFi de invitados en entornos de hotelería, comercio minorista y sector público. Purple Shield bloquea malware, botnets y contenido inapropiado a nivel DNS en más de 80,000 establecimientos activos.
Comprensión de Cisco SUDI: Identidad anclada por hardware en el control de acceso seguro a la red
Esta guía explica cómo Cisco SUDI proporciona una identidad criptográficamente segura y anclada por hardware para la infraestructura de red empresarial. Aprenda cómo reemplazar las direcciones MAC vulnerables a la suplantación por certificados 802.1AR inmutables para proteger el control de acceso a la red de su recinto.