Skip to main content
Français
Inscrivez-vous pour le WiFi invité gratuit

L'authentification EAP-TLS expliquée : Sécurité WiFi basée sur les certificats

EAP-TLS est la référence absolue en matière de sécurité WiFi d'entreprise, remplaçant l'authentification vulnérable par mot de passe par des certificats numériques robustes à authentification mutuelle. Ce guide propose aux responsables informatiques et aux architectes réseau une analyse technique approfondie du handshake EAP-TLS, des exigences architecturales et des stratégies de déploiement pratiques pour les environnements multi-appareils.

📖 6 min de lecture📝 1,285 mots🔧 2 exemples3 questions📚 8 termes clés

🎧 Écouter ce guide

Voir la transcription
Welcome to the Purple technical briefing. I’m your host, and today we are diving deep into EAP-TLS authentication—the gold standard for certificate-based WiFi security. If you’re an IT manager, network architect, or CTO dealing with enterprise environments like hotels, retail chains, or public-sector venues, this session is for you. We’ll cover what EAP-TLS is, how it compares to older methods like PEAP, and exactly what you need to deploy it successfully across a mixed-device fleet. Let's start with the context. Why are we talking about EAP-TLS right now? For years, many organisations relied on PEAP-MSCHAPv2—essentially, username and password authentication over WiFi. But in today’s threat landscape, passwords are a massive vulnerability. They can be phished, shared, or stolen. Enter EAP-TLS. EAP stands for Extensible Authentication Protocol, and TLS is Transport Layer Security. Together, they create a mutual authentication framework using X.509 digital certificates instead of passwords. Think of it like a digital passport control. The network access point, or authenticator, asks the device for its ID. The device doesn't just hand over a password; it presents a cryptographically signed certificate. But crucially, it’s mutual. The server also presents its certificate to the device. Both sides verify each other against a trusted Certificate Authority before any network access is granted. This eliminates credential theft and makes man-in-the-middle attacks virtually impossible. Now, let's get into the technical deep-dive. How does the handshake actually work? When a device, known as the supplicant, tries to connect, the Access Point blocks all traffic except EAP messages. The AP sends an EAP-Request/Identity. The device responds, and the AP forwards this to the RADIUS server. The RADIUS server then initiates a TLS tunnel. It sends its server certificate down to the device. The device validates this certificate. If it checks out, the device sends its own client certificate back up the tunnel. The RADIUS server validates the client certificate against the CA or Identity Provider. Once both sides are satisfied, the TLS handshake completes, a master secret is established for encryption, and the RADIUS server sends an Access-Accept message. The AP then opens the port, and the device is on the network. So, how does this compare to PEAP? PEAP only requires a server-side certificate. The client still uses a password inside the TLS tunnel. This makes PEAP easier to deploy initially, especially for unmanaged devices, but it leaves you vulnerable to credential harvesting if a user connects to a spoofed AP. EAP-TLS requires certificates on both sides. Yes, it’s slightly more complex to deploy, but the security posture is infinitely stronger. It’s why EAP-TLS is the recommended standard for PCI DSS compliance in retail, and ISO 27001 in enterprise environments. Let’s talk implementation. Deploying EAP-TLS requires three main components: a Public Key Infrastructure or PKI to issue certificates, a RADIUS server to handle authentication, and a Mobile Device Management or MDM platform to distribute the certificates to your endpoints. If you’re managing a fleet of corporate laptops and smartphones, your MDM is your best friend here. You configure a profile that pushes both the Root CA certificate and the individual client certificate to the device, along with the WiFi profile. The user doesn't have to do anything. They just open their laptop, and it connects securely. However, there are pitfalls to avoid. The biggest one is certificate lifecycle management. Certificates expire. If you don't have an automated renewal process via your MDM or an automated enrollment protocol like SCEP or EST, you will have a bad day when all your devices drop off the network simultaneously. Another common issue is the dreaded 'mixed-device fleet'. What do you do with BYOD or guest devices? You can't easily push certificates to unmanaged devices. For guests, you use a captive portal—like Purple’s Guest WiFi solution. For BYOD staff, you might use an onboarding portal that temporarily provisions a certificate, or you might keep them on a separate, less privileged SSID using a different authentication method. Time for a rapid-fire Q&A based on common client questions. Question one: Do I need to build my own on-premise CA? Answer: Not anymore. Cloud PKI solutions integrated with Azure AD or Okta are much easier to manage and scale. Question two: Does EAP-TLS impact roaming performance? Answer: The initial handshake is slightly heavier than PEAP due to certificate exchange, but once connected, fast roaming protocols like 802.11r handle AP transitions seamlessly. Question three: Can I use EAP-TLS for IoT devices? Answer: Yes, if the device supports 802.1X and certificate installation. But many legacy IoT devices don't, which is why you often need a separate MAC Auth Bypass or pre-shared key network for those specific devices. To summarise: EAP-TLS is the definitive standard for secure enterprise WiFi. It replaces vulnerable passwords with robust, mutually authenticated digital certificates. While the initial setup requires coordination between your PKI, RADIUS, and MDM, the long-term benefits in security, compliance, and user experience are undeniable. It completely mitigates credential theft and provides a seamless, zero-touch connection experience for managed devices. Thank you for joining this Purple technical briefing. For more insights on securing your network and leveraging WiFi analytics, visit our resource center.

header_image.png

Résumé analytique

Pour les environnements d'entreprise, des sièges sociaux aux chaînes de Retail et aux établissements de Santé , la sécurisation de l'accès sans fil n'est plus seulement une exigence opérationnelle — c'est un mandat de conformité critique. Historiquement, les organisations se sont appuyées sur PEAP-MSCHAPv2, qui sécurise un nom d'utilisateur et un mot de passe à l'intérieur d'un tunnel TLS. Cependant, à une époque de collecte massive d'identifiants et d'attaques de phishing sophistiquées, l'authentification par mot de passe sur le WiFi représente une vulnérabilité significative.

C'est ici qu'intervient EAP-TLS (Extensible Authentication Protocol - Transport Layer Security). EAP-TLS représente la référence absolue en matière de contrôle d'accès réseau 802.1X. Au lieu de s'appuyer sur des mots de passe générés par l'utilisateur, EAP-TLS impose une authentification mutuelle à l'aide de certificats numériques X.509. L'appareil client et le serveur d'authentification doivent tous deux prouver leur identité avant que l'accès au réseau ne soit accordé. Cette approche élimine le risque de vol d'identifiants, atténue les attaques de l'homme du milieu (MitM) et offre une expérience de connexion fluide et sans intervention (zero-touch) pour les appareils gérés. Ce guide de référence technique explore la mécanique du handshake EAP-TLS, le compare aux méthodes héritées et présente une architecture de déploiement pratique pour les entreprises modernes.

Écoutez notre podcast de briefing technique pour un aperçu exécutif :

Analyse technique approfondie

Le handshake EAP-TLS expliqué

L'avantage fondamental d'EAP-TLS réside dans sa rigueur cryptographique. Le processus d'authentification est une conversation en plusieurs étapes entre le Supplicant (l'appareil client), l'Authentificateur (le point d'accès WiFi ou le commutateur) et le serveur d'authentification (généralement un serveur RADIUS).

eap_tls_handshake_diagram.png

  1. Initialisation : Lorsqu'un appareil tente de se connecter au SSID, le point d'accès bloque tout le trafic à l'exception des trames EAP over LAN (EAPoL). Le point d'accès envoie une requête EAP-Request/Identity à l'appareil.
  2. Réponse d'identité : L'appareil répond par une EAP-Response/Identity (souvent une identité externe anonyme pour la confidentialité), que le point d'accès transmet au serveur RADIUS.
  3. Établissement du tunnel TLS : Le serveur RADIUS initie le handshake TLS en envoyant un TLS ServerHello accompagné de son propre certificat numérique.
  4. Validation du serveur : L'appareil client examine le certificat du serveur. Il vérifie les dates de validité, le nom alternatif du sujet (SAN) et, surtout, vérifie que le certificat a été signé par une autorité de certification (CA) racine de confiance installée dans son magasin de confiance local.
  5. Présentation du certificat client : Une fois le serveur validé, l'appareil client renvoie son propre certificat X.509 (et éventuellement sa chaîne de certification) au serveur RADIUS.
  6. Authentification mutuelle : Le serveur RADIUS valide le certificat du client par rapport à son intégration CA ou fournisseur d'identité (IdP). Il vérifie la révocation (via CRL ou OCSP) et vérifie l'identité de l'utilisateur ou de l'appareil.
  7. Dérivation de clé : Une fois la validation mutuelle réussie, le handshake TLS se termine. Les deux parties dérivent indépendamment une clé de session maîtresse (MSK).
  8. Accès réseau : Le serveur RADIUS envoie un message RADIUS Access-Accept au point d'accès, contenant la MSK. Le point d'accès utilise cette clé pour établir les clés de chiffrement finales WPA2/WPA3 (PTK/GTK) avec le client, et ouvre le port réseau pour le trafic IP standard.

EAP-TLS vs PEAP-MSCHAPv2

Comprendre la distinction entre EAP-TLS et PEAP est critique pour les architectes réseau planifiant une migration.

eap_tls_vs_peap_comparison.png

Alors que PEAP établit un tunnel TLS sécurisé (authentification côté serveur), l'authentification interne repose toujours sur MSCHAPv2, un protocole basé sur un mot de passe. Si un utilisateur se connecte à un point d'accès malveillant de type "Evil Twin" et ignore l'avertissement du certificat serveur, son mot de passe haché peut être capturé et craqué hors ligne. EAP-TLS élimine entièrement ce vecteur ; sans la clé privée correspondant au certificat client, un attaquant ne peut pas s'authentifier, même s'il possède le mot de passe de l'utilisateur.

Guide de mise en œuvre

Le déploiement d'EAP-TLS nécessite une orchestration à travers trois piliers d'infrastructure primaires : la couche réseau, la couche d'authentification et la couche de gestion des identités/terminaux.

eap_tls_deployment_architecture.png

1. Infrastructure à clés publiques (PKI)

Vous devez disposer d'un mécanisme pour émettre et gérer les certificats X.509. Historiquement, cela signifiait déployer un environnement Microsoft Active Directory Certificate Services (AD CS) sur site. Aujourd'hui, les architectures modernes exploitent des solutions PKI Cloud intégrées à des fournisseurs d'identité (IdP) comme Azure AD, Okta ou Google Workspace. Ces CA cloud-native simplifient le cycle de vie de l'émission et de la révocation.

2. Serveur d'authentification RADIUS

Le serveur RADIUS (par exemple, FreeRADIUS, Cisco ISE, Aruba ClearPass ou RADIUS basé sur le cloud) doit être configuré pour supporter EAP-TLS. Il nécessite son propre certificat serveur, signé par une CA de confiance pour tous les appareils clients. Si vous intégrez un IdP moderne, vous trouverez notre guide sur Okta et RADIUS : Étendre votre fournisseur d'identité à l'authentification WiFi particulièrement utile pour faire le pont entre l'identité cloud et le matériel réseau sur site.

3. Gestion des appareils mobiles (MDM)

L'obstacle le plus important dans le déploiement d'EAP-TLS est la fourniture de certificats aux appareils clients. L'installation manuelle n'est pas évolutive. Vous devez exploiter une plateforme MDM (telle que Microsoft Intune, Jamf Pro ou VMware Workspace ONE) pour automatiser ce processus. Le profil MDM doit déployer :

  • Le certificat de la CA racine (pour faire confiance au serveur RADIUS).
  • Le certificat client individuel (souvent généré via les protocoles SCEP ou EST).
  • Le profil WiFi configuré pour utiliser WPA2/WPA3-Enterprise, EAP-TLS, et référençant spécifiquement les certificats déployés.

Bonnes pratiques

  1. Automatiser la gestion du cycle de vie des certificats : Les certificats expirent. Si vous manquez d'un mécanisme de renouvellement automatisé (comme SCEP/EST via MDM), les appareils se déconnecteront silencieusement du réseau à l'expiration de leurs certificats, entraînant des pics massifs de tickets de support. Définissez des périodes de validité qui équilibrent la sécurité (par exemple, 1 an) et la charge opérationnelle.
  2. Imposer une validation stricte du serveur : Configurez les profils WiFi clients pour valider strictement le certificat du serveur RADIUS. Spécifiez les noms de serveurs exacts et les CA racines de confiance dans le profil. Ne permettez pas aux utilisateurs de contourner les avertissements de certificat.
  3. Mettre en œuvre une révocation robuste : Assurez-vous que votre serveur RADIUS vérifie les listes de révocation de certificats (CRL) ou utilise le protocole OCSP (Online Certificate Status Protocol). Lorsqu'un employé part ou qu'un appareil est perdu, la révocation du certificat doit immédiatement interrompre l'accès au réseau.
  4. Gérer la flotte d'appareils hétérogène : EAP-TLS est parfait pour les appareils d'entreprise gérés. Cependant, vous rencontrerez des appareils BYOD (Bring Your Own Device) non gérés et des appareils invités. Pour les invités, déployez une solution de Captive Portal robuste comme le WiFi invité de Purple. Pour le BYOD du personnel, envisagez un portail d'intégration qui fournit temporairement un certificat, ou utilisez un SSID séparé avec une méthode d'authentification différente, isolé du réseau d'entreprise principal.

Dépannage et atténuation des risques

Lorsqu'EAP-TLS échoue, les symptômes sont souvent opaques pour l'utilisateur final. L'appareil ne parvient tout simplement pas à se connecter. Les équipes informatiques doivent s'appuyer sur les journaux RADIUS pour le diagnostic.

  • Erreur : "CA inconnue" ou "Racine non fiable" : L'appareil client n'a pas le certificat de la CA racine qui a signé le certificat du serveur RADIUS dans son magasin de confiance. Vérifiez la charge utile du MDM.
  • Erreur : "Certificat expiré" : Soit le certificat client, soit le certificat serveur a dépassé sa date NotAfter. Vérifiez l'automatisation du cycle de vie des certificats.
  • Erreur : "Certificat client non trouvé" : L'appareil tente d'utiliser EAP-TLS mais ne parvient pas à localiser un certificat valide correspondant aux critères spécifiés dans le profil WiFi. Assurez-vous que le certificat a été déployé avec succès par le MDM et que le nom alternatif du sujet (SAN) correspond au format attendu (par exemple, User Principal Name ou adresse MAC).
  • Désynchronisation de l'horloge : TLS repose sur une heure précise. Si l'horloge système d'un appareil est considérablement désynchronisée par rapport au serveur RADIUS, la validation du certificat échouera car les certificats apparaîtront comme "pas encore valides" ou "expirés".

ROI et impact commercial

La transition vers EAP-TLS représente une maturation significative de la posture de sécurité d'une organisation. Le principal retour sur investissement (ROI) est l'atténuation des risques. En éliminant l'authentification WiFi par mot de passe, vous réduisez considérablement la surface d'attaque pour le vol d'identifiants et le mouvement latéral au sein du réseau. Ceci est particulièrement critique dans l' Hôtellerie et les environnements d'entreprise où la segmentation du réseau est primordiale.

De plus, EAP-TLS améliore l'expérience de l'utilisateur final. Une fois provisionnée via MDM, la connexion est entièrement sans intervention. Les utilisateurs n'ont jamais besoin de mettre à jour les mots de passe WiFi lorsque leur mot de passe d'entreprise expire, ce qui réduit les appels au support technique liés aux problèmes de connectivité. En combinant EAP-TLS pour les appareils gérés du personnel avec des outils intelligents de WiFi Analytics et des Captive Portals pour les invités, les établissements peuvent obtenir un environnement sans fil sécurisé et performant qui soutient à la fois la sécurité opérationnelle et l'engagement client.

Termes clés et définitions

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

An 802.1X authentication method that requires mutual authentication using digital certificates on both the client and the server, eliminating the need for passwords.

The most secure standard for enterprise WiFi authentication, widely mandated for compliance in high-security environments.

Supplicant

The client device (laptop, smartphone, tablet) attempting to connect to the secure network.

The supplicant software must support EAP-TLS and have access to the device's certificate store.

Authenticator

The network device (typically a WiFi Access Point or network switch) that facilitates the authentication process by passing EAP messages between the Supplicant and the Authentication Server.

The AP does not perform the authentication itself; it acts as a gatekeeper until the RADIUS server issues an Access-Accept.

RADIUS Server

Remote Authentication Dial-In User Service. The central server that validates the credentials (certificates in the case of EAP-TLS) and authorizes network access.

The RADIUS server integrates with the PKI or Identity Provider to verify the validity and revocation status of the client certificate.

PKI (Public Key Infrastructure)

The framework of roles, policies, hardware, software, and procedures needed to create, manage, distribute, use, store, and revoke digital certificates.

You need a PKI (either on-premise or cloud-based) to issue the certificates required for EAP-TLS.

X.509 Certificate

A standard format for public key certificates, digital documents that securely associate cryptographic key pairs with identities such as websites, individuals, or organizations.

This is the 'digital passport' used in EAP-TLS instead of a password.

SCEP / EST

Simple Certificate Enrollment Protocol / Enrollment over Secure Transport. Protocols used by MDM platforms to automate the request and installation of certificates onto client devices.

Crucial for scaling EAP-TLS deployments, ensuring devices receive and renew certificates without user intervention.

Evil Twin Attack

A rogue WiFi access point that masquerades as a legitimate corporate network to eavesdrop on wireless communications or harvest credentials.

EAP-TLS defeats Evil Twin attacks because the rogue AP cannot present a valid server certificate signed by the company's trusted Root CA.

Études de cas

A large [Retail](/industries/retail) chain with 500 locations needs to secure WiFi access for their corporate-issued point-of-sale (POS) tablets. They currently use a single Pre-Shared Key (PSK) across all stores, which was recently leaked. They use Microsoft Intune for device management. How should they secure the network?

  1. Deploy a Cloud PKI integrated with their Azure AD environment.
  2. Configure Intune to use SCEP (Simple Certificate Enrollment Protocol) to automatically generate and push unique device certificates to each POS tablet.
  3. Push a new WiFi profile via Intune configured for WPA3-Enterprise and EAP-TLS, specifying the new client certificate and the trusted Root CA.
  4. Configure the central RADIUS server to authenticate the tablets based on these certificates.
  5. Once all tablets are successfully authenticating via EAP-TLS, disable the legacy PSK SSID.
Notes de mise en œuvre : This is the optimal approach for managed devices. Moving from a global PSK to EAP-TLS eliminates the risk of a single leaked password compromising the entire network. Using SCEP via Intune ensures zero-touch provisioning, which is essential for scaling across 500 locations without manual IT intervention at each site.

A [Transport](/industries/transport) hub (airport) wants to provide secure WiFi for its operational staff (baggage handlers, security) using managed iPads, while keeping guest traffic completely separate.

  1. Implement EAP-TLS on a dedicated, hidden SSID (e.g., 'Airport-Ops-Secure') for the managed iPads, pushing certificates via their MDM platform.
  2. Ensure the RADIUS server maps these authenticated devices to a specific, restricted VLAN that only has access to necessary operational servers.
  3. Deploy a separate, open SSID (e.g., 'Airport-Free-WiFi') for passengers, utilizing a captive portal for terms-of-service acceptance and bandwidth limiting.
Notes de mise en œuvre : This demonstrates proper network segmentation. EAP-TLS provides strong authentication for the critical operational devices, while the guest network is kept entirely separate. The use of a hidden SSID for operations adds a minor layer of obscurity, but the true security relies on the cryptographic certificates.

Analyse de scénario

Q1. Your organisation is migrating from PEAP to EAP-TLS. During the pilot phase, several Windows laptops fail to connect. The RADIUS logs show 'Unknown CA' errors during the TLS handshake. What is the most likely cause?

💡 Astuce :Think about the 'Mutual' part of mutual authentication. What does the client need to trust the server?

Afficher l'approche recommandée

The client devices are missing the Root CA certificate in their local trust store that signed the RADIUS server's certificate. The MDM payload needs to be updated to ensure the Root CA is pushed to the devices alongside the client certificate.

Q2. A hotel wants to use EAP-TLS for all devices, including guest smartphones, to ensure maximum security. Is this a viable strategy?

💡 Astuce :Consider the provisioning process for EAP-TLS.

Afficher l'approche recommandée

No, this is not a viable strategy. EAP-TLS requires client certificates to be installed on the device. While this is easy for managed corporate devices via MDM, you cannot force guests to install certificates or MDM profiles on their personal devices. For guests, a captive portal (like Purple Guest WiFi) combined with WPA2/WPA3-Personal (or OWE) is the industry standard.

Q3. You have successfully deployed EAP-TLS. An employee reports their corporate laptop was stolen. What is the immediate technical action required to secure the network?

💡 Astuce :How do you invalidate a digital certificate before its expiration date?

Afficher l'approche recommandée

You must revoke the client certificate associated with that specific laptop within your PKI/CA. Ensure that your RADIUS server is configured to check the Certificate Revocation List (CRL) or use OCSP, so that the revoked certificate is immediately rejected upon the next connection attempt.

Points clés à retenir

  • EAP-TLS is the most secure 802.1X authentication method, replacing passwords with mutual certificate-based authentication.
  • It eliminates the risk of credential theft and Evil Twin attacks inherent in password-based protocols like PEAP-MSCHAPv2.
  • A successful deployment requires coordination between a PKI (to issue certificates), a RADIUS server (to authenticate), and an MDM platform (to provision devices).
  • Automated certificate lifecycle management (via SCEP/EST) is critical to prevent mass connectivity outages when certificates expire.
  • EAP-TLS is ideal for managed corporate devices; unmanaged BYOD and guest devices require separate onboarding or captive portal strategies.
  • Implementing EAP-TLS strongly aligns with compliance mandates like PCI DSS and ISO 27001 by securing network access control.
À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Support et conseils
Calculateur de ROI
Calculateur de prix
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies