La guía empresarial de SCEP: Implementación de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Buenos días. Si gestionas infraestructura de WiFi en un grupo hotelero, un complejo comercial, un estadio o un campus universitario, esta sesión informativa es para ti. Vamos a hablar de SCEP (Simple Certificate Enrollment Protocol) y, específicamente, de cómo resuelve uno de los dolores de cabeza más persistentes en el WiFi empresarial: instalar certificados en miles de dispositivos de forma automática, sin que tu mesa de ayuda se sature de reportes. [short pause] Permíteme ponerte en contexto. Has decidido, acertadamente, que las claves precompartidas ya no son aceptables para el WiFi del personal. Una sola contraseña comprometida expone todo tu segmento de red. Has migrado, o estás migrando, a la autenticación 802.1X. Ese es el estándar IEEE que exige que cada dispositivo demuestre su identidad antes de obtener acceso a la red. La variante más segura de 802.1X es EAP-TLS (Extensible Authentication Protocol con Transport Layer Security), la cual utiliza certificados digitales en lugar de contraseñas. Los certificados son criptográficamente únicos por dispositivo, no se pueden compartir y se pueden revocar al instante si un dispositivo se pierde o un empleado se va. [short pause] Hasta aquí, todo bien. El problema es la distribución. ¿Cómo instalas un certificado único en cada laptop, cada teléfono, cada tableta de tu propiedad —en Windows, iOS, Android, macOS— sin que un técnico tenga que tocar cada dispositivo? Eso es precisamente lo que resuelve SCEP. [medium pause] SCEP fue formalizado por el Internet Engineering Task Force en el RFC 8894 en 2020, aunque se ha utilizado en entornos empresariales desde principios de la década de 2000. Es un protocolo que permite a un dispositivo gestionado solicitar su propio certificado directamente a tu Autoridad de Certificación, utilizando una URL preconfigurada y una contraseña de desafío. El punto crítico de seguridad aquí: la clave privada se genera en el propio dispositivo, se almacena en el enclave seguro del dispositivo —que es el chip TPM en dispositivos Windows o el Secure Enclave en el hardware de Apple— y nunca viaja a través de la red. El dispositivo genera una Solicitud de Firma de Certificado, la envía a la puerta de enlace SCEP, la puerta de enlace valida el desafío, reenvía la solicitud a tu Autoridad de Certificación, la CA la firma y el certificado firmado regresa al dispositivo. Todo el proceso es invisible para el usuario final. [short pause] Ahora bien, en un entorno de Microsoft, la puerta de enlace SCEP suele ser NDES (Network Device Enrollment Service), un rol de Windows Server que actúa como intermediario entre tu plataforma MDM y tu CA. Microsoft Intune envía el perfil SCEP a los dispositivos gestionados, indicándoles la URL de NDES y la contraseña de desafío. Los dispositivos hacen el resto automáticamente. [medium pause] Permítame guiarle a través de cómo se ve un despliegue real. Piense en un grupo hotelero con 150 propiedades, a escala de Premier Inn. Tienen una combinación de laptops Windows para el personal de recepción, dispositivos iOS para los supervisores de limpieza y tabletas Android en el punto de venta del restaurante. Antes de SCEP, utilizaban WPA2-Personal con una contraseña compartida que se rotaba trimestralmente. Cada rotación generaba una ola de llamadas a la mesa de ayuda. Con SCEP e Intune, despliegan tres perfiles en secuencia. Primero, el perfil de Certificado de Raíz de Confianza; este le indica a cada dispositivo que confíe en la Autoridad de Certificación de la empresa. Segundo, el perfil de Certificado SCEP; este instruye a los dispositivos a ir y recopilar su certificado de cliente único. Tercero, el perfil de WiFi; este configura el SSID, establece el tipo de seguridad en WPA2-Enterprise o WPA3-Enterprise y apunta al certificado SCEP para la autenticación. Despliegue esos tres perfiles en el mismo grupo de dispositivos en Intune, y cada dispositivo administrado se conectará al SSID corporativo automáticamente, con un certificado único, sin requerir interacción del usuario. [short pause] El servidor RADIUS —normalmente Microsoft NPS o un servicio RADIUS en la nube— recibe la solicitud de autenticación EAP-TLS, valida el certificado contra la CA, verifica la Lista de Revocación de Certificados y otorga o deniega el acceso. Si se rescinde el contrato de un empleado, usted revoca su certificado en la CA. Su dispositivo pierde el acceso a WiFi en el siguiente ciclo de autenticación. Sin necesidad de restablecer contraseñas. Sin esperar a una rotación trimestral. [medium pause] Ahora, la gente suele preguntar sobre la diferencia entre SCEP y PKCS (Public Key Cryptography Standards). Ambos funcionan con Intune. La diferencia clave es dónde se genera la clave privada. Con SCEP, se genera en el dispositivo. Con PKCS, la CA genera ambas claves de forma centralizada y envía la clave privada al dispositivo. Eso significa que la clave privada viaja a través de la red, lo que introduce un riesgo teórico de interceptación. PKCS tiene su lugar; es más adecuado para el cifrado de correo electrónico S/MIME, donde el depósito de claves es importante. Para la autenticación WiFi, SCEP es la opción correcta. Siempre. [short pause] Permítame presentarle un segundo escenario: una cadena de tiendas minoristas. Imagine un minorista de moda con 200 tiendas en todo el Reino Unido, cada una con puntos de acceso Cisco Meraki. Sus sistemas de punto de venta están basados en Windows y se administran a través de Intune. Necesitan cumplir con PCI DSS, lo que significa segmentación de red y autenticación sólida para cualquier dispositivo que maneje datos de titulares de tarjetas. EAP-TLS basado en SCEP les brinda autenticación a nivel de dispositivo en el SSID del personal, con asignación de VLAN impulsada por la política de RADIUS. Las terminales de punto de venta se ubican en la VLAN dentro del alcance de PCI de forma automática. El WiFi para invitados, gestionado por separado a través de una plataforma como Purple, funciona en un SSID completamente aislado con su propio flujo de autenticación. Las dos redes nunca se tocan. Los auditores están contentos. El equipo de seguridad duerme mejor. [medium pause] Bien, hablemos de los errores comunes, porque hay algunos que suelen tomar por sorpresa a los equipos. [short pause] El modo de fallo más común son las discrepancias en la asignación de grupos en Intune. Tu perfil de Raíz de Confianza, tu perfil SCEP y tu perfil de WiFi deben estar dirigidos al mismo grupo de Azure AD. Si el perfil SCEP se dirige a un grupo de Usuarios y el perfil de WiFi se dirige a un grupo de Dispositivos, Intune no puede resolver la dependencia y el perfil de WiFi se muestra como un error. Revisa tus asignaciones primero; casi siempre es el culpable. [short pause] Segundo error común: la disponibilidad del servidor NDES. Tu servidor NDES debe ser accesible desde internet para que los dispositivos remotos se registren antes de llegar a las instalaciones. La forma segura de hacer esto es a través de Azure AD Application Proxy, que te brinda acceso remoto sin abrir puertos de firewall entrantes. No expongas NDES directamente a internet. [short pause] Tercero: disponibilidad de la CRL. Tu servidor RADIUS verifica la Lista de Revocación de Certificados cada vez que un dispositivo se autentica. Si el Punto de Distribución de la CRL no está accesible (tal vez un servidor está caído o cambió una regla de firewall), la autenticación fallará para todos. Haz que tus endpoints de CRL sean de alta disponibilidad y pruébalos regularmente. [short pause] Cuarto: permisos de la plantilla de certificado. Si la cuenta de servicio del conector NDES no tiene permisos de Lectura e Inscripción (Read and Enroll) en la plantilla de certificado, los dispositivos recibirán errores HTTP 403 cuando intenten recopilar su certificado. Es una solución de permisos simple, pero es fácil de pasar por alto durante la configuración inicial. [medium pause] Ahora, una ronda de preguntas rápidas. [short pause] ¿Puede SCEP funcionar con MDM que no sean de Microsoft? Sí; Jamf para flotas de dispositivos Apple, VMware Workspace ONE y la mayoría de las plataformas MDM empresariales son compatibles con los perfiles SCEP. El protocolo es neutral en cuanto al proveedor. [short pause] ¿Funciona SCEP con PKI en la nube? Sí. La propia PKI en la nube de Microsoft en Intune Suite elimina por completo la necesidad de un servidor NDES local. Los proveedores de PKI en la nube de terceros como SecureW2 y Keyfactor también ofrecen endpoints SCEP en la nube. [short pause] ¿Qué pasa con WPA3-Enterprise? WPA3-Enterprise utiliza la misma pila de autenticación 802.1X y EAP-TLS. Los certificados emitidos por SCEP funcionan de manera idéntica. La actualización se realiza en la capa del protocolo inalámbrico, no en la capa del certificado. [short pause] ¿Cuánto duran los certificados? Normalmente un año, aunque puedes configurar períodos de validez más cortos. Intune gestiona la renovación automática antes del vencimiento, por lo que los usuarios nunca experimentan una interrupción. [medium pause] En resumen: SCEP automatiza la distribución de certificados a escala, eliminando la carga de trabajo manual de la implementación de PKI en grandes flotas de dispositivos. La clave privada permanece en el dispositivo; esa es la base de seguridad de EAP-TLS. Implementa en secuencia: primero la Raíz de Confianza, segundo el perfil SCEP, tercero el perfil de WiFi, todos dirigidos al mismo grupo. Publica tu endpoint NDES de forma segura a través de Application Proxy. Mantén tus endpoints de CRL con alta disponibilidad. Y si estás empezando desde cero, evalúa la PKI en la nube para eliminar por completo la dependencia de NDES local. [short pause] Para el WiFi de invitados (la red independiente orientada a los visitantes), la autenticación basada en certificados no es el modelo adecuado. Los invitados no tienen dispositivos gestionados. Ahí es donde una plataforma como Purple gestiona el flujo de autenticación: Captive Portal, inicio de sesión con redes sociales, captura de correo electrónico o verificación por SMS, todo alimentando una capa de datos de origen que su equipo de marketing realmente puede utilizar. Ambos enfoques se complementan entre sí: SCEP para su flota de dispositivos gestionados del personal, Purple para su red de invitados. Ambos se ejecutan en el mismo hardware, segmentados limpiamente por VLAN. [short pause] Esta es su sesión informativa sobre la incorporación de SCEP a WiFi empresarial. La guía escrita completa, con diagramas de arquitectura, configuración paso a paso de Intune y ejemplos prácticos, está disponible en el sitio web de Purple. Gracias por escuchar.