Implementación de certificados WiFi de Microsoft Intune a través de SCEP y PKCS

Esta guía proporciona una referencia técnica paso a paso para implementar certificados de autenticación WiFi a través de Microsoft Intune utilizando SCEP y PKCS. Está diseñada para gerentes de TI y arquitectos de redes que implementan WiFi 802.1X sin contraseña para garantizar una conectividad segura y sin interrupciones en entornos empresariales.

📖 6 min de lectura📝 1,299 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Puntos clave

✓802.1X EAP-TLS es el estándar para un WiFi empresarial seguro, que requiere certificados de cliente en todos los dispositivos.
✓Microsoft Intune automatiza la implementación de certificados a escala utilizando perfiles SCEP o PKCS.
✓SCEP es altamente recomendado para WiFi, ya que la clave privada se genera localmente y nunca sale del dispositivo.
✓La implementación requiere una secuencia estricta: 1) Root de confianza, 2) Perfil SCEP, 3) Perfil de Wi-Fi.
✓La asignación de grupos (usuarios frente a dispositivos) debe ser idéntica en los tres perfiles para evitar fallos de dependencia.
✓Los servidores NDES deben publicarse a través de Azure AD App Proxy para permitir un aprovisionamiento de certificados remoto y seguro.
✓La verificación estricta de CRL en el servidor RADIUS es obligatoria para garantizar que los certificados revocados no puedan acceder a la red.

📚 Part of our core series: Seguridad y autenticación WiFi empresarial: la guía completa →

Resumen Ejecutivo

Para los establecimientos empresariales, ya sea un entorno dinámico de Hospitality , una operación de Retail con múltiples sucursales o un campus corporativo moderno, depender de claves precompartidas o portales cautivos básicos para el WiFi del personal representa una vulnerabilidad de seguridad y un cuello de botella operativo. La arquitectura de red moderna exige una autenticación 802.1X mediante EAP-TLS, lo que garantiza que cada dispositivo se verifique criptográficamente antes de acceder a la red.

Sin embargo, el desafío radica en la distribución: ¿cómo implementar certificados de cliente únicos en miles de dispositivos Windows, iOS y Android sin saturar a su equipo de soporte técnico con tickets de servicio? Microsoft Intune resuelve esto mediante la gestión automatizada del ciclo de vida de los certificados. Al aprovechar los perfiles de certificado SCEP (Simple Certificate Enrollment Protocol) o PKCS (Public Key Cryptography Standards), los equipos de TI pueden enviar certificados raíz y de cliente de forma silenciosa a los dispositivos administrados.

Esta guía proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para la distribución de certificados WiFi con Intune. Exploraremos las diferencias críticas entre SCEP y PKCS, detallaremos la secuencia de implementación exacta requerida para el éxito y describiremos estrategias de mitigación de riesgos en el mundo real para garantizar que su Guest WiFi y sus redes corporativas sigan siendo seguras y eficientes.

Escuche el podcast complementario de este informe: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

Análisis Técnico Profundo: SCEP frente a PKCS

Al diseñar su estrategia de implementación de certificados WiFi con Intune, la primera decisión arquitectónica es seleccionar el mecanismo de entrega de certificados. Intune es compatible tanto con SCEP como con PKCS, pero funcionan de manera fundamentalmente diferente.

SCEP (Simple Certificate Enrollment Protocol)

SCEP es el estándar de la industria para el registro de dispositivos empresariales. En un flujo de trabajo SCEP, el servicio de Intune indica al dispositivo final que genere su propio par de claves pública y privada. Luego, el dispositivo crea una solicitud de firma de certificado (CSR) y la envía a través de un servidor de Network Device Enrollment Service (NDES) a su entidad de certificación (CA). La CA firma la solicitud y devuelve el certificado público al dispositivo.

La ventaja crítica de seguridad de SCEP es que la clave privada nunca sale del dispositivo. Se genera localmente, se almacena en el módulo seguro del dispositivo (como el TPM en Windows o el Secure Enclave en iOS) y nunca se transmite a través de la red. Esto hace que SCEP sea el enfoque más recomendado para la autenticación 802.1X.

PKCS (Public Key Cryptography Standards)

Por el contrario, con PKCS, la entidad de certificación genera tanto la clave pública como la privada de forma centralizada. Luego, el Microsoft Intune Certificate Connector exporta de forma segura este par de claves y lo envía al dispositivo de destino.

Aunque PKCS elimina la necesidad de implementar y mantener un servidor NDES (lo que simplifica la infraestructura), introduce un riesgo de seguridad teórico debido a que la clave privada se transmite por la red. Por lo general, PKCS se adapta mejor a casos de uso donde se requiere el depósito de claves, como el cifrado de correo electrónico S/MIME, en lugar de la autenticación de red.

Guía de Implementación: La Secuencia de Distribución

Configurar con éxito un perfil de WiFi de Intune para 802.1X requiere cumplir estrictamente con una secuencia de implementación específica. Las dependencias de los perfiles de Intune dictan que se debe establecer la confianza antes de poder configurar la autenticación.

Paso 1: Implementar el perfil de certificado Root de confianza

Antes de que cualquier dispositivo pueda solicitar un certificado de cliente o confiar en su servidor RADIUS, debe confiar en la entidad de certificación emisora.

Exporte su certificado de Root CA (y cualquier certificado de CA intermedia) como archivos .cer.
En el centro de administración de Microsoft Endpoint Manager, vaya a Dispositivos > Perfiles de configuración > Crear perfil.
Seleccione la plataforma de destino (por ejemplo, Windows 10 y posterior) y elija el tipo de perfil Certificado de confianza.
Cargue el archivo .cer y distribuya este perfil a sus grupos de dispositivos de destino.

Regla de oro: Diríjase siempre a los mismos grupos (ya sean usuarios o dispositivos) en todos los perfiles relacionados para evitar discrepancias en la implementación.

Paso 2: Configurar el perfil de certificado SCEP

Una vez establecida la confianza, configure el perfil SCEP para indicar a los dispositivos cómo obtener su certificado de cliente.

Cree un nuevo perfil de configuración y seleccione Certificado SCEP.
Configure el Formato del nombre del sujeto (Subject name format). Para la autenticación basada en el usuario, lo estándar es CN={{UserPrincipalName}}. Para la autenticación de dispositivos, utilice CN={{AAD_Device_ID}}.
Establezca el Uso de la clave en Firma digital y Cifrado de clave.
En Uso extendido de la clave, especifique Client Authentication (OID: 1.3.6.1.5.5.7.3.2).
Vincule este perfil al perfil de certificado Root de confianza creado en el Paso 1.
Proporcione la URL externa de su servidor NDES.

Paso 3: Implementar el perfil de WiFi 802.1X

El paso final es enviar la configuración de WiFi que vincula los certificados al SSID de la red.

Cree un perfil de configuración de Wi-Fi.
Ingrese el Nombre de la red (SSID) exactamente como lo transmiten sus Wireless Access Points .
Seleccione WPA2-Enterprise o WPA3-Enterprise como tipo de seguridad.
Establezca el Tipo de EAP en EAP-TLS.
En la configuración de autenticación, seleccione el perfil de certificado SCEP creado en el Paso 2. como el certificado de autenticación de cliente.
Especifique el certificado Trusted Root para la validación del servidor para garantizar que el dispositivo solo se conecte a su servidor RADIUS legítimo.

Mejores prácticas y estándares de la industria

Al implementar la implementación de certificados WiFi de Intune, siga las siguientes mejores prácticas independientes del proveedor para garantizar el cumplimiento y la confiabilidad.

Ubicación y seguridad del servidor NDES

El servidor NDES debe ser accesible desde internet para permitir que los dispositivos remotos aprovisionen certificados antes de llegar a las instalaciones. Sin embargo, exponer un servidor interno directamente a internet representa un riesgo de seguridad significativo.

Recomendación: Publique la URL de NDES utilizando Azure AD Application Proxy. Esto proporciona un acceso remoto seguro sin abrir puertos de firewall entrantes y le permite aplicar políticas de Acceso Condicional al flujo de inscripción.

RADIUS y verificación de CRL

La implementación de certificados es solo la mitad de la ecuación de seguridad; la revocación es igualmente crítica. Si se rescinde el contrato de un empleado, deshabilitar su cuenta de Active Directory puede no revocar de inmediato su acceso a la WiFi si su certificado de cliente sigue siendo válido y el servidor RADIUS no está verificando estrictamente la Lista de Revocación de Certificados (CRL).

Recomendación: Configure su Network Policy Server (NPS) o servidor RADIUS para exigir una verificación estricta de CRL. Asegúrese de que sus Puntos de Distribución de CRL (CDP) tengan alta disponibilidad; si el servidor RADIUS no puede acceder a la CRL, la autenticación fallará, lo que provocará una interrupción generalizada del servicio.

Para obtener más información sobre el diseño de redes seguras, considere revisar Los beneficios principales de SD-WAN para las empresas modernas .

Resolución de problemas y mitigación de riesgos

Incluso con una planificación meticulosa, la implementación de certificados puede presentar problemas. A continuación, se presentan los modos de falla comunes y las estrategias de mitigación.

Problema: El perfil WiFi no se aplica

Síntoma: El dispositivo recibe los certificados Trusted Root y SCEP, pero el perfil WiFi se muestra como 'Error' o 'No aplicable' en Intune.

Causa raíz: Esto casi siempre se debe a una discrepancia en la asignación de grupos. Si el perfil SCEP está asignado a un Grupo de usuarios, pero el perfil WiFi está asignado a un Grupo de dispositivos, Intune no puede resolver la dependencia.

Mitigación: Audite sus asignaciones. Asegúrese de que los perfiles Trusted Root, SCEP y WiFi estén implementados exactamente en el mismo grupo de Azure AD.

Problema: Errores NDES 403 Forbidden

Síntoma: Los dispositivos no pueden recuperar el certificado SCEP y los registros de IIS de NDES muestran errores HTTP 403.

Causa raíz: La cuenta de servicio de Intune Certificate Connector carece de los permisos necesarios en la plantilla de certificado, o el filtrado de URL en su firewall está bloqueando los parámetros de cadena de consulta específicos utilizados por SCEP.

Mitigación: Verifique que la cuenta del conector tenga permisos de 'Lectura' e 'Inscripción' en la plantilla de la CA. Revise los registros del firewall para asegurarse de que no se estén bloqueando las URL que contienen ?operation=GetCACaps.

ROI e impacto empresarial

La transición a la implementación de certificados 802.1X de Microsoft Intune ofrece retornos medibles en seguridad y operaciones.

Reducción de tickets de soporte: La WiFi basada en contraseñas genera un volumen significativo de soporte técnico (vencimientos de contraseñas, bloqueos, errores de escritura). La autenticación basada en certificados es invisible para el usuario, lo que normalmente reduce el volumen de soporte relacionado con WiFi entre un 70% y un 80%.
Postura de seguridad mejorada: EAP-TLS elimina el riesgo de robo de credenciales y ataques de intermediario (Man-in-the-Middle o MitM). Esto es fundamental para el cumplimiento de marcos como PCI DSS y GDPR, particularmente en entornos de Atención médica y comercio minorista.
Incorporación fluida: Para las organizaciones que administran grandes flotas de dispositivos Apple junto con Windows, la integración de Intune con los flujos de trabajo de MDM existentes (consulte nuestra guía sobre Jamf y RADIUS: Autenticación WiFi basada en certificados para flotas de dispositivos Apple ) garantiza una experiencia de aprovisionamiento unificada y sin intervención (zero-touch) desde el primer día.

Definiciones clave

SCEP (Simple Certificate Enrollment Protocol)

Un protocolo que permite a los dispositivos solicitar certificados digitales a una entidad de certificación, donde la clave privada se genera y se almacena de forma segura en el propio dispositivo.

El método recomendado para implementar certificados de autenticación WiFi debido a su alta seguridad y escalabilidad.

PKCS (Public Key Cryptography Standards)

Un conjunto de estándares donde tanto la clave pública como la privada son generadas por la entidad de certificación y luego se entregan de forma segura al dispositivo final.

A menudo se utiliza para el cifrado de correo electrónico S/MIME, pero es menos ideal para WiFi debido a la transmisión de la clave privada a través de la red.

NDES (Network Device Enrollment Service)

Un rol de Microsoft Windows Server que actúa como un puente, permitiendo que los dispositivos sin credenciales de dominio obtengan certificados a través de SCEP.

Un componente de infraestructura requerido al implementar la distribución de certificados SCEP con Microsoft Intune.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

El método de autenticación 802.1X más seguro, que requiere que tanto el servidor como el cliente presenten certificados digitales válidos.

El protocolo de autenticación de destino que los perfiles de WiFi y de certificados de Intune están diseñados para habilitar.

CRL (Certificate Revocation List)

Una lista publicada por la entidad de certificación que contiene los números de serie de los certificados que han sido revocados antes de su fecha de vencimiento.

Crítico para la seguridad; los servidores RADIUS deben verificar la CRL para garantizar que los empleados dados de baja no puedan acceder al WiFi utilizando un certificado que de otro modo sería válido.

Intune Certificate Connector

Un agente de software instalado en un Windows Server local que gestiona las solicitudes entre Microsoft Intune y la entidad de certificación interna.

Requerido para implementaciones tanto de SCEP (para validar solicitudes) como de PKCS (para exportar claves).

Subject Alternative Name (SAN)

Una extensión de un certificado digital que permite asociar múltiples valores (como UPN, correo electrónico o dirección MAC) con el certificado.

Configurado en el perfil SCEP de Intune para garantizar que el servidor RADIUS pueda identificar con precisión al usuario o dispositivo.

Azure AD Application Proxy

Una función que proporciona acceso remoto seguro a aplicaciones web locales sin necesidad de una VPN ni de abrir puertos entrantes en el firewall.

El método de mejor práctica para publicar de forma segura la URL del servidor NDES interno en Internet para el registro de dispositivos remotos.

Ejemplos resueltos

Una cadena minorista nacional con 500 sucursales está migrando de WPA2-Personal (clave precompartida) a WPA3-Enterprise para las tabletas de sus asociados de tienda (dispositivos dedicados de Android Enterprise). Utilizan Intune para MDM. ¿Cómo deberían diseñar la arquitectura de implementación de certificados?

Implementar un servidor NDES publicado a través de Azure AD App Proxy.
Crear un perfil de certificado SCEP basado en dispositivos en Intune, ya que se trata de dispositivos dedicados (quiosco) que no están vinculados a un usuario específico. Utilizar CN={{AAD_Device_ID}} para el Subject Name.
Implementar el perfil de Root CA en el grupo de dispositivos de Azure AD 'All Store Tablets'.
Implementar el perfil SCEP en el mismo grupo 'All Store Tablets'.
Crear un perfil de Wi-Fi configurado para WPA3-Enterprise, EAP-TLS, que haga referencia al perfil SCEP, e implementarlo en el mismo grupo.
Configurar los servidores RADIUS centrales para autenticar los certificados de los dispositivos contra los objetos de computadora de Active Directory.

Comentario del examinador: Este enfoque identifica correctamente que los dispositivos dedicados requieren certificados basados en dispositivos (no basados en usuarios). Al dirigir los perfiles de manera consistente a los grupos de dispositivos en los tres perfiles, el arquitecto evita el fallo de implementación más común de Intune. El uso de Azure AD App Proxy para NDES garantiza que las tabletas puedan renovar los certificados de forma segura sin necesidad de VPN.

Un gran centro de conferencias utiliza Purple para su [WiFi Analytics](/products/wifi-analytics) y Guest WiFi, pero necesita proteger su red interna de personal. El personal utiliza una combinación de laptops Windows propiedad de la empresa y dispositivos iOS BYOD. ¿Cómo manejan la implementación de Intune para los dispositivos BYOD?

Requerir que los usuarios de BYOD registren sus dispositivos iOS a través de Intune User Enrollment (creando una partición de trabajo segura).
Crear un perfil de certificado SCEP basado en usuarios utilizando CN={{UserPrincipalName}}.
Implementar los perfiles de Root CA, SCEP y Wi-Fi en un grupo de usuarios de Azure AD (por ejemplo, 'All Staff').
Cuando el usuario registra su dispositivo personal, Intune envía los perfiles específicamente a la partición de trabajo administrada.
El dispositivo se conecta al SSID del personal utilizando la identidad del usuario, lo que permite al servidor RADIUS aplicar un control de acceso basado en roles (asignación de VLAN) según su pertenencia al grupo de AD.

Comentario del examinador: Esta solución aplica correctamente User Enrollment para una gestión de BYOD que preserva la privacidad. Al dirigir los perfiles a grupos de usuarios, los certificados siguen al empleado independientemente del dispositivo que registre. La integración del control de acceso basado en roles a través de RADIUS demuestra un diseño de red avanzado.

Preguntas de práctica

Q1. Ha implementado los perfiles de Root CA, SCEP y Wi-Fi en sus dispositivos Windows 10. Los certificados se instalan correctamente, pero el perfil de Wi-Fi no se aplica y muestra 'Error' en la consola de Intune. ¿Cuál es la causa más probable?

Sugerencia: Verifique cómo se asignan los perfiles a los grupos de Azure AD.

Ver respuesta modelo

La causa más probable es una discrepancia en la asignación de grupos. Si el perfil SCEP se asignó a un grupo de usuarios, pero el perfil de Wi-Fi se asignó a un grupo de dispositivos, Intune no puede resolver la dependencia entre ellos. Los tres perfiles (Root, SCEP, Wi-Fi) deben dirigirse exactamente al mismo tipo de grupo.

Q2. Su equipo de seguridad exige que las claves privadas nunca se transmitan a través de la red, incluso si están cifradas. ¿Qué método de implementación de certificados debe utilizar en Intune y qué servidor de infraestructura adicional se requiere?

Sugerencia: Piense en dónde se genera el par de claves.

Ver respuesta modelo

Debe utilizar SCEP (Simple Certificate Enrollment Protocol). Debido a que SCEP indica al dispositivo final que genere la clave privada localmente, esta nunca viaja por la red. Esta implementación requiere un servidor de Network Device Enrollment Service (NDES) para actuar como puente hacia la entidad de certificación.

Q3. Un empleado remoto aprovisiona una nueva laptop en casa a través de Windows Autopilot. Los perfiles de Intune se implementan correctamente, pero el dispositivo no puede obtener el certificado SCEP. ¿Qué configuración de infraestructura probablemente falta?

Sugerencia: ¿Cómo llega el dispositivo a la CA interna desde Internet?

Ver respuesta modelo

Es probable que el servidor NDES no se haya publicado en Internet. Para que los dispositivos remotos soliciten certificados antes de llegar a la oficina corporativa, la URL de NDES debe ser accesible externamente, idealmente publicada de forma segura a través de Azure AD Application Proxy.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Allied Telesis Access Points Integration with Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para implementaciones multiinquilino seguras.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando orientación práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a escala.