Saltar al contenido principal

Gestión de certificados digitales para la autenticación WiFi EAP-TLS

Esta guía de referencia técnica detalla la gestión del ciclo de vida de los certificados digitales para la autenticación WiFi EAP-TLS. Proporciona estrategias prácticas para implementar, renovar y revocar certificados a escala en redes empresariales mediante integraciones de SCEP y MDM.

📖 4 min de lectura📝 892 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor sénior informando a un cliente. Ritmo pausado, dicción clara, cálido pero directo. Pausas naturales ocasionales para dar énfasis: Bienvenido a la serie de informes técnicos de Purple. Hoy hablaremos de la gestión de certificados EAP-TLS; específicamente, de cómo ejecutar un programa de autenticación WiFi basado en certificados a escala sin que se convierta en una carga operativa de tiempo completo. [pausa media] Si usted es responsable del WiFi corporativo o para el personal en múltiples sitios - ya sea un grupo hotelero, una cadena de tiendas de retail, un campus universitario o un sector público - este informe es para usted. Vamos a cubrir el ciclo de vida completo del certificado: desde la configuración de su jerarquía de CA, pasando por el despliegue automatizado a través de SCEP y MDM, hasta la renovación y revocación. Y hablaremos de dónde suelen salir mal las cosas, porque sí salen mal, y de cómo evitar las trampas más comunes. [pausa media] Comencemos con lo fundamental. EAP-TLS - que es el Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte - es el estándar de oro para la autenticación WiFi 802.1X. A diferencia de PEAP, que depende de un usuario y contraseña, EAP-TLS utiliza autenticación mutua basada en certificados. El dispositivo prueba su identidad con un certificado de cliente. El servidor RADIUS prueba su identidad con un certificado de servidor. Ambas partes verifican a la otra. No hay contraseña que pescar. No hay credenciales que robar. Es por eso que PCI DSS 4.0 y la guía de zero-trust del NCSC apuntan hacia la autenticación basada en certificados para las redes del personal. [pausa media] Ahora, la arquitectura. Necesita tres cosas para que EAP-TLS funcione. Primero, una Infraestructura de Clave Pública - su jerarquía de CA. Segundo, un mecanismo para llevar los certificados a los dispositivos - que es SCEP o su plataforma de MDM. Tercero, un servidor RADIUS que confíe en su CA y pueda validar los certificados de cliente en tiempo real. [pausa media] La jerarquía de CA es donde la mayoría de las organizaciones tienen problemas al principio. El patrón correcto es un modelo de tres niveles. Tiene una CA Raíz en la parte superior - esta debe estar fuera de línea, aislada de la red, y sólo ponerse en línea para firmar su certificado de CA Intermedia. La CA Intermedia - a veces llamada CA Emisora - es la que realmente firma los certificados del día a día. Está en línea, pero su clave privada está bien protegida. Por debajo de eso, usted emite dos tipos de certificados: certificados de servidor para su infraestructura RADIUS y certificados de cliente para sus dispositivos y usuarios. [pausa media] ¿Por qué es importante esto? Porque si su CA Raíz se ve comprometida, tiene que reconstruir toda su PKI desde cero y volver a registrar cada dispositivo. Mantenerla fuera de línea elimina ese riesgo. La CA Intermedia se puede reemplazar sin tocar la Raíz. Ese es el argumento de resiliencia operativa para el modelo de tres niveles. [pausa media] Hablemos de los periodos de validez de los certificados. Ha habido un cambio significativo en la industria en este aspecto. Apple, Google y Mozilla han tomado medidas para imponer periodos máximos de vida de los certificados más cortos. Para los certificados de servidor TLS, el máximo actual es de 398 días. Para los certificados de cliente en redes WiFi empresariales, se tiene más flexibilidad - de uno a dos años es lo común - pero la tendencia es hacia periodos de vida más cortos y la renovación automatizada en lugar de certificados de larga duración gestionados de forma manual. La razón es simple: un periodo de vida más corto limita la ventana de exposición si un certificado se ve comprometido. [medium pause] Esto nos lleva a la automatización. La gestión manual de certificados no es escalable. Si se tienen 500 dispositivos, se pueden gestionar las renovaciones a mano con cierta dificultad. Si se tienen 5,000 dispositivos en 50 sitios, es imposible. Se necesita SCEP - el Protocolo de Inscripción de Certificados Simple - o su sucesor moderno, EST. SCEP se integra directamente con plataformas MDM, incluyendo Microsoft Intune, Jamf Pro y VMware Workspace ONE. El MDM envía un perfil de configuración SCEP al dispositivo. El dispositivo genera un par de claves, envía una solicitud de firma de certificado a su servidor SCEP y recibe de vuelta un certificado firmado - todo esto sin ninguna interacción del usuario. [medium pause] Para dispositivos Windows en un entorno de Active Directory, se tiene otra alternativa: la autoinscripción impulsada por directivas de grupo a través de Active Directory Certificate Services. El dispositivo se autentica en el dominio, la CA emite un certificado de forma automática y el certificado se renueva antes de su vencimiento sin ninguna intervención manual. Este es el camino más fluido para entornos con una gran presencia de Windows. [medium pause] Ahora, la revocación. Esta es la parte en la que las organizaciones suelen invertir menos y es la que más importa cuando algo sale mal. Si un dispositivo se pierde, es robado o un empleado deja la empresa, se necesita revocar su certificado de inmediato. Existen dos mecanismos: CRL - Listas de Revocación de Certificados - y OCSP - Protocolo de Estado de Certificados en Línea. [medium pause] CRL es el mecanismo más antiguo. Su CA publica una lista de números de serie de certificados revocados en una URL conocida. El servidor RADIUS descarga esta lista de forma periódica y la coteja. El problema con CRL es la latencia - si su CRL tiene un periodo de validez de 24 horas, un certificado revocado aún puede autenticarse hasta 24 horas después de su revocación. [medium pause] OCSP es la alternativa en tiempo real. El servidor RADIUS envía una consulta al respondedor OCSP para cada intento de autenticación y obtiene una respuesta en vivo de activo o revocado. La desventaja es que su respondedor OCSP se convierte en una dependencia crítica - si no está disponible, debe decidir si permitir el acceso o denegarlo por defecto. Para entornos de alta seguridad, denegar por defecto es la respuesta correcta. Para entornos operativos donde la disponibilidad es lo más importante, se puede configurar un periodo de gracia de OCSP corto. [medium pause] Permítame presentarle dos escenarios concretos para ilustrar esto. [medium pause] Primero: un grupo hotelero de 150 propiedades. Utilizaban PEAP con una contraseña compartida para el WiFi del personal. La rotación de contraseñas era trimestral, lo que significaba una ventana de dos semanas cada trimestre donde el personal se quedaba fuera de la red o seguía usando la contraseña anterior. Migraron a EAP-TLS utilizando Microsoft Intune para el despliegue de certificados. Los perfiles SCEP se enviaron a todos los dispositivos Windows y iOS. Utilizaron Active Directory Certificate Services como la CA. El resultado: cero eventos de rotación de contraseñas, la renovación de certificados se gestionó automáticamente 30 días antes del vencimiento, y cuando un miembro del personal se retiraba, su certificado se revocaba en el MDM a los pocos minutos de inhabilitar su cuenta en Microsoft Entra ID. El equipo de TI calculó que ahorraron aproximadamente 40 horas por trimestre en restablecimientos de contraseñas y tickets de soporte. [medium pause] Segundo: una cadena de tiendas minoristas multi-sitio con 3,000 dispositivos de personal en 200 tiendas. El reto aquí era la diversidad de dispositivos - una mezcla de laptops Windows, terminales portátiles Android y dispositivos iOS. Utilizaban Jamf Pro para los dispositivos Apple y Microsoft Intune para Windows y Android, ambos apuntando al mismo servidor SCEP respaldado por una CA intermedia de Microsoft ADCS. La infraestructura de WiFi era Cisco Meraki, con la autenticación RADIUS gestionada por un servicio RADIUS alojado en la nube e integrado con Purple. La decisión clave de diseño fue emitir certificados con una validez de 12 meses y configurar la renovación automática a los 60 días antes del vencimiento. Esto proporcionó un margen de renovación cómodo sin generar sobrecarga operativa. [medium pause] Ahora, los errores comunes. Hay cuatro que observo constantemente. [medium pause] Primero: no probar la revocación. Las organizaciones configuran su PKI, despliegan certificados y nunca prueban realmente si la revocación funciona de extremo a extremo. Pruébelo. Revoque un certificado de prueba, confirme que el servidor RADIUS detecta la revocación dentro del plazo previsto y confirme que se le deniega el acceso al dispositivo. [medium pause] Segundo: los vencimientos masivos simultáneos. Si emite todos sus certificados al mismo tiempo con el mismo periodo de validez, todos vencerán al mismo tiempo. Distribuya su emisión de forma escalonada o, como mínimo, escalone los activadores de renovación. Una tasa de fallo de renovación del 10% en 5,000 dispositivos simultáneos representa un incidente significativo. [medium pause] Tercero: no distribuir el certificado de la CA raíz a todos los dispositivos antes de desplegar EAP-TLS. Si el dispositivo no confía en su CA raíz, rechazará el certificado del servidor RADIUS y la autenticación fallará. Esto suena obvio, pero toma por sorpresa a las organizaciones cuando tienen dispositivos BYOD o laptops de contratistas que no están registrados en el MDM. [medium pause] Cuarto: la disponibilidad del respondedor OCSP. Si su respondedor OCSP se cae y su servidor RADIUS está configurado para denegar el acceso ante errores de OCSP, toda su red de WiFi dejará de funcionar. Integre redundancia en su infraestructura de OCSP o configure un periodo de gracia corto con el monitoreo adecuado. [medium pause] Muy bien, preguntas rápidas. [medium pause] ¿Puedo usar una CA pública para los certificados de cliente EAP-TLS? Técnicamente sí, pero en la práctica no. Las CA públicas no emitirán certificados de cliente para dispositivos arbitrarios. Necesita su propia CA para los certificados de cliente. Para el certificado del servidor RADIUS, una CA pública está bien y simplifica la distribución de la confianza. [medium pause] ¿Qué pasa con el BYOD? El BYOD es el caso difícil. No se pueden enviar certificados a dispositivos no gestionados a través de un MDM. Las opciones incluyen un portal de control de acceso a la red que emita certificados de corta duración tras la autenticación del usuario, o simplemente mantener el BYOD en un SSID independiente con un método de autenticación diferente. [medium pause] ¿Cómo interactúa esto con WPA3? WPA3-Enterprise exige el modo de seguridad de 192 bits para entornos sensibles, lo que requiere suites de cifrado específicas. EAP-TLS es totalmente compatible con WPA3-Enterprise y es, de hecho, el método de autenticación recomendado. [medium pause] En resumen: la gestión de certificados EAP-TLS no es sencilla, pero es manejable si se define bien la arquitectura desde el principio. Jerarquía de CA de tres niveles. Registro automatizado mediante SCEP o MDM. Ciclos de vida de certificados cortos con renovación automatizada. Revocación en tiempo real a través de OCSP. Pruebe todo, especialmente la revocación. E integre el ciclo de vida de sus certificados con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - para que la revocación de certificados se active automáticamente al desactivar una cuenta. [medium pause] Si tiene servidores RADIUS vinculados a Purple, los puntos de integración son la URL de su servidor SCEP, el certificado de su servidor RADIUS y su punto de conexión CRL u OCSP. La arquitectura agnóstica de hardware de Purple significa que esto funciona en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y el resto de la lista de hardware compatible - no está atado a las herramientas de PKI de un solo proveedor. [medium pause] Próximos pasos: audite su inventario actual de certificados. Si no sabe cuántos certificados tiene, cuándo vencen y quién los emitió, eso es lo primero que debe solucionar. A partir de ahí, el camino hacia la automatización completa está bien definido. Gracias por escuchar.

header_image.png

Resumen ejecutivo

La gestión de certificados digitales para la autenticación WiFi EAP-TLS representa un desafío operativo importante para los equipos de TI de las empresas. A medida que las organizaciones eliminan gradualmente la autenticación basada en credenciales para alinearse con el cumplimiento de Zero Trust, la carga operativa se desplaza de los restablecimientos de contraseñas a la gestión del ciclo de vida de los certificados. Esta guía detalla los patrones de arquitectura necesarios para implementar, renovar y revocar certificados del lado del cliente a escala en entornos de infraestructura complejos.

Para los CTO y arquitectos de red, el objetivo es claro: implementar una infraestructura de clave pública (PKI) robusta que se integre a la perfección con las plataformas de gestión de dispositivos móviles (MDM) existentes. Al automatizar la emisión de certificados a través del protocolo simple de inscripción de certificados (SCEP) y ejecutar la revocación en tiempo real, se elimina la intervención manual. Este enfoque asegura el perímetro de la red, cumple con los marcos de cumplimiento, incluido PCI-DSS 4.0, y garantiza una conectividad continua para más de 80,000 sedes físicas que ejecutan hardware corporativo.

Análisis técnico detallado

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) representa el estándar de oro para el control de acceso a redes 802.1X. Este protocolo impone la autenticación mutua. El servidor RADIUS presenta su certificado para demostrar su identidad al cliente, mientras que el cliente presenta su certificado para demostrar su identidad a la red.

Arquitectura PKI de tres niveles

Una jerarquía PKI plana introduce un riesgo inaceptable. El patrón recomendado es una arquitectura de tres niveles:

  1. Autoridad de certificación raíz (Root CA): El ancla de confianza final. Este servidor permanece fuera de línea y aislado físicamente de la red. Su única función es firmar certificados de CA intermedias.
  2. CA intermedia (CA emisora): Este servidor permanece en línea y se encarga de la firma diaria de certificados de cliente y servidor. Si se ve comprometido, puede ser revocado por la Root CA sin necesidad de reconstruir toda la infraestructura de confianza.
  3. Certificados de entidad final: Estos son los certificados reales que se implementan en los servidores RADIUS y los dispositivos de los clientes.

pki_trust_chain_diagram.png

Vida útil de los certificados y estándares criptográficos

La industria está exigiendo períodos de validez de certificados más cortos para limitar la ventana de exposición en caso de que una clave se vea comprometida. Aunque los certificados TLS públicos están limitados a 398 días, los certificados de cliente internos utilizados para la autenticación WiFi suelen utilizar un período de validez de 365 días.

Los requisitos criptográficos exigen un mínimo de claves RSA de 2048 bits o criptografía de curva elíptica (ECC) utilizando la curva P-256. El modo WPA3-Enterprise de 192 bits requiere suites de cifrado específicas, y EAP-TLS es el único método de autenticación que satisface plenamente estos requisitos.

Guía de implementación

Desplegar EAP-TLS en sitios distribuidos requiere una integración estrecha entre su proveedor de identidad, la plataforma MDM y el hardware de red. La superposición en la nube de Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Paso 1: Establecer la cadena de confianza

Antes de que cualquier dispositivo pueda autenticarse, debe confiar en el servidor RADIUS. Despliegue el certificado de la CA raíz en todos los dispositivos gestionados a través de su MDM. Para dispositivos no gestionados, debe proporcionar un portal de incorporación de arranque para instalar el perfil de confianza.

Paso 2: Automatizar la emisión a través de SCEP

Generar certificados manualmente es inviable. Implemente SCEP para automatizar este flujo de trabajo:

  1. El MDM (por ejemplo, Microsoft Intune) envía un payload de SCEP al dispositivo.
  2. El dispositivo genera una clave privada localmente.
  3. El dispositivo envía una solicitud de firma de certificado (CSR) al servidor SCEP.
  4. La CA emite el certificado y el dispositivo lo instala en su almacén de claves respaldado por hardware.

Paso 3: Configurar políticas RADIUS

Configure su servidor RADIUS para requerir EAP-TLS. Asegúrese de que el servidor valide el Nombre alternativo del sujeto (SAN) en el certificado del cliente contra su directorio de identidad (Microsoft Entra ID, Okta o Google Workspace) para confirmar que la cuenta de usuario sigue activa.

certificate_lifecycle_infographic.png

Mejores prácticas

  • Automatizar la renovación anticipada: Configure los perfiles de MDM para activar la renovación de certificados al menos 30 días antes de su vencimiento. Esto evita fallas repentinas de autenticación en sitios completos.
  • Hacer cumplir los almacenes de claves por hardware: Requiera que las claves privadas se generen y almacenen dentro del Módulo de plataforma segura (TPM) o del Enclave seguro del dispositivo. Las claves deben configurarse como no exportables.
  • Implementar revocación en tiempo real: Depender de listas de revocación de certificados (CRL) estáticas introduce latencia. Implemente el Protocolo de estado de certificado en línea (OCSP) para que el servidor RADIUS pueda verificar el estado del certificado en tiempo real durante la autenticación.

Resolución de problemas y mitigación de riesgos

Los modos de falla más comunes en los despliegues de EAP-TLS están relacionados con la confianza y el tiempo.

Fallas de anclaje de confianza

Si un dispositivo cliente rechaza el certificado del servidor RADIUS, la autenticación fallará silenciosamente. Esto sucede cuando falta el certificado de la CA raíz en el almacén de confianza del dispositivo. Verifique los registros de despliegue de MDM para asegurarse de que el perfil de confianza se aplique antes que el perfil de WiFi. Para un diagnóstico más detallado sobre problemas de conectividad, consulte Resolución de problemas de WiFi público: Solucionar fallas de 'Conectado, sin Internet' y de redirección de página de bienvenida .

Abismos de vencimiento

Emitir miles de certificados de forma simultánea genera un pico crítico de renovación. Si el servidor SCEP experimenta un tiempo de inactividad durante esta ventana, los dispositivos se desconectarán de la red. Escalone las implementaciones iniciales para distribuir la carga de renovación.

Tiempos de espera de OCSP

Si el servidor RADIUS no puede comunicarse con el contestador OCSP, debe decidir si permite el acceso de forma abierta (fail open) o cerrada (fail closed). Para redes empresariales, el bloqueo de acceso por falla (fail closed) es la práctica estándar. Asegúrese de que su infraestructura OCSP tenga alta disponibilidad y esté distribuida geográficamente.

ROI e impacto empresarial

La transición a EAP-TLS requiere un esfuerzo de ingeniería inicial, pero el retorno operativo es significativo. Una organización con 5,000 usuarios suele dedicar 40 horas al mes a resolver restablecimientos de contraseñas y bloqueos de RADIUS causados por las rotaciones de contraseñas de PEAP.

Al automatizar los ciclos de vida de los certificados, puede eliminar estos tickets de soporte. Además, cumple con los estrictos requisitos de control de acceso de ISO 27001 y PCI-DSS, lo que reduce la carga de trabajo de las auditorías. Cuando se integra con Guest WiFi y WiFi Analytics , Purple proporciona una visión unificada del acceso a la red para todos los tipos de usuarios, simplificando los informes de cumplimiento en ubicaciones distribuidas.

Definiciones clave

EAP-TLS

Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte. Un marco de autenticación que requiere que tanto el cliente como el servidor demuestren su identidad mediante certificados digitales.

El estándar de la industria para proteger redes WiFi empresariales sin depender de contraseñas vulnerables.

SCEP

Protocolo de Inscripción de Certificados Simple. Un protocolo utilizado por las plataformas MDM para automatizar de forma segura la solicitud e instalación de certificados digitales en los dispositivos.

Esencial para escalar implementaciones de EAP-TLS más allá de unas pocas docenas de dispositivos al eliminar la gestión manual de certificados.

RADIUS

Servicio de Autenticación de Marcación Telefónica de Usuario Único. El protocolo de red que proporciona gestión centralizada de autenticación, autorización y contabilidad.

El componente de servidor que valida el certificado del cliente e indica al punto de acceso que otorgue acceso a la red.

OCSP

Protocolo de Estado de Certificados en Línea. Un protocolo de internet utilizado para obtener el estado de revocación de un certificado digital X.509 en tiempo real.

Reemplaza las CRL estáticas para garantizar que un certificado revocado se bloquee de la red inmediatamente.

Root CA

Autoridad de Certificación Raíz. La autoridad criptográfica de nivel superior en una infraestructura de clave pública, utilizada para firmar CA subordinadas.

Debe mantenerse altamente seguro y sin conexión para proteger toda la cadena de confianza de la organización.

SAN

Nombre Alternativo del Sujeto. Una extensión de X.509 que permite asociar varios valores con un certificado de seguridad, como direcciones de correo electrónico o UPN.

Utilizado por el servidor RADIUS para asociar el certificado con una cuenta de usuario específica en el directorio de identidades.

MDM

Mobile Device Management (Gestión de dispositivos móviles). Software utilizado por los departamentos de TI para monitorear, gestionar y proteger los dispositivos móviles de los empleados.

El mecanismo de entrega que envía la configuración SCEP y los perfiles de WiFi a los dispositivos de los usuarios finales.

CRL

Lista de revocación de certificados. Una lista de certificados digitales que han sido revocados por la CA emisora antes de su fecha de vencimiento programada.

Un método heredado para verificar la validez de los certificados que sufre problemas de latencia en comparación con OCSP.

Ejemplos resueltos

Un grupo hotelero con 150 propiedades necesita asegurar el acceso del personal en 3,000 dispositivos. Actualmente utilizan PEAP con una contraseña compartida que rotan trimestralmente, lo que genera un volumen significativo de soporte técnico. ¿Cómo deberían implementar EAP-TLS?

Implementar Microsoft Intune para gestionar todos los dispositivos corporativos. Establecer una CA intermedia de Microsoft ADCS integrada con Intune a través del Intune Certificate Connector. Enviar el certificado de la Root CA a todos los dispositivos, seguido de un perfil SCEP que solicite un certificado de cliente con una validez de 365 días. Configurar el perfil de WiFi para usar EAP-TLS y apuntar a los servidores RADIUS vinculados a Purple. Configurar el perfil SCEP para que se renueve automáticamente cuando quede un 20% de vida útil (73 días).

Comentario del examinador: Este enfoque elimina por completo la rotación trimestral de contraseñas. Al establecer un activador de renovación anticipada, el equipo de TI evita los vencimientos críticos. La integración directa con Intune garantiza que, cuando un miembro del personal deja la empresa y se deshabilita su cuenta de Microsoft Entra ID, el MDM revoca el certificado y elimina el perfil de WiFi automáticamente.

Una cadena de tiendas minoristas requiere WiFi seguro para terminales portátiles de punto de venta en 200 ubicaciones. Los dispositivos ejecutan Android y pierden la conectividad con el servidor de gestión central con frecuencia. ¿Cómo se gestiona la revocación de certificados?

Implementar OCSP para la verificación de revocación en tiempo real a nivel de servidor RADIUS. Configurar el servidor RADIUS para consultar al respondedor OCSP en cada intento de autenticación. Si se reporta la pérdida de una terminal portátil, el equipo de seguridad revoca el certificado en la CA. La próxima vez que el dispositivo intente asociarse a un punto de acceso, el servidor RADIUS recibirá una respuesta de "revocado" por parte de OCSP y denegará el acceso de inmediato.

Comentario del examinador: Confiar en que el MDM elimine la información de un dispositivo perdido es insuficiente si el dispositivo está sin conexión o blindado. Al aplicar comprobaciones de revocación en el borde de la red a través de OCSP, el servidor RADIUS actúa como el punto de control, lo que garantiza que el certificado comprometido no se pueda utilizar, incluso si el MDM no puede comunicarse con el dispositivo.

Preguntas de práctica

Q1. Está implementando EAP-TLS para 2,000 laptops corporativas. La infraestructura SCEP está configurada, pero durante las pruebas, las laptops no logran conectarse a la WiFi. Los registros de RADIUS muestran "Unknown CA". ¿Cuál es la causa más probable?

Sugerencia: Considere el orden de las operaciones al implementar perfiles de confianza en comparación con los perfiles de autenticación.

Ver respuesta modelo

Las laptops no tienen instalado el certificado Root CA en su almacén de confianza raíz. El MDM debe estar configurado para enviar la carga útil del certificado Root CA a los dispositivos antes de enviar la carga útil SCEP o el perfil WiFi EAP-TLS. Sin la Root CA, el cliente rechaza el certificado del servidor RADIUS.

Q2. Se reporta como perdido un dispositivo comprometido. El equipo de TI elimina el dispositivo del MDM y revoca el certificado en la CA. Sin embargo, las pruebas revelan que el dispositivo aún puede conectarse a la red hasta por 12 horas. ¿Cómo resuelve esto?

Sugerencia: Observe cómo el servidor RADIUS valida el estado del certificado.

Ver respuesta modelo

Es probable que el servidor RADIUS dependa de una Lista de revocación de certificados (CRL) que solo se publica o descarga cada 12 a 24 horas. Para resolver esto, implemente el Protocolo de estado de certificado en línea (OCSP) y configure el servidor RADIUS para consultar al respondedor OCSP para obtener una validación en tiempo real durante cada intento de autenticación.

Q3. Está diseñando la política de ciclo de vida de los certificados. El equipo de seguridad desea una vida útil de los certificados de 30 días para minimizar los riesgos, pero el equipo de redes está preocupado por la carga del servidor SCEP y las caídas de conectividad. ¿Cuál es el equilibrio recomendado?

Sugerencia: Considere la diferencia entre los certificados web públicos y la PKI gestionada internamente.

Ver respuesta modelo

Un período de validez de 365 días con renovación automática activada entre 60 y 90 días antes del vencimiento proporciona el equilibrio óptimo. Una vida útil de 30 días para los certificados de WiFi genera un riesgo operativo excesivo si los dispositivos están desconectados durante su estrecho margen de renovación. La seguridad se mantiene a través de una revocación OCSP robusta y en tiempo real, en lugar de vidas útiles agresivamente cortas.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →