Automatisation de la sécurité WiFi d'entreprise : le guide de déploiement des certificats SCEP

Ce guide technique explique comment automatiser la sécurité WiFi d'entreprise à l'aide du déploiement de certificats SCEP. Il fournit un plan d'architecture détaillé et les étapes de mise en œuvre pour déployer l'authentification 802.1X EAP-TLS sur les réseaux d'entreprise et invités.

📖 5 min de lecture📝 1,248 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique. Je suis ravi de vous présenter notre dernier guide : Automatiser la sécurité WiFi d'entreprise, en se concentrant spécifiquement sur le déploiement de certificats SCEP. Si vous gérez des réseaux pour des hôtels, des chaînes de vente au détail ou des espaces publics, vous savez déjà que s'appuyer sur des clés pré-partagées ou de simples Captive Portals pour l'accès du personnel constitue une vulnérabilité de sécurité majeure. Aujourd'hui, nous parlons de la référence absolue : l'authentification 802.1X utilisant l'EAP-TLS. 

Plongeons dans l'architecture. Le défi principal avec l'EAP-TLS ne réside pas dans le protocole lui-même, mais dans la logistique de distribution de certificats clients uniques sur des milliers d'appareils, qu'il s'agisse d'ordinateurs portables Windows, d'iPads ou de tablettes de point de vente. C'est là que les plateformes de gestion des terminaux mobiles (MDM), telles que Microsoft Intune ou Jamf, entrent en jeu. Mais comment distribuer ces certificats de manière sécurisée ?

Vous avez généralement deux choix : PKCS ou SCEP. Laissez-moi être absolument clair sur ce point : pour l'authentification WiFi, vous voulez SCEP. C'est le Simple Certificate Enrollment Protocol. Voici pourquoi c'est important. Avec SCEP, le MDM demande à l'appareil de générer sa propre clé privée localement. Cette clé reste verrouillée dans le matériel sécurisé de l'appareil. Elle ne transite jamais sur le réseau. L'appareil envoie simplement une demande de signature de certificat (CSR) à votre autorité de certification via une passerelle, généralement un serveur NDES.

Comparez cela avec le PKCS, où l'autorité de certification génère la clé privée de manière centralisée et la pousse sur le réseau vers l'appareil. Bien que le PKCS ait sa place — par exemple, pour le chiffrement des e-mails où vous avez besoin d'un séquestre de clés —, transmettre des clés privées sur le réseau est un risque que vous n'avez tout simplement pas besoin de prendre pour l'authentification réseau. Gardez les clés sur l'appareil. Utilisez SCEP.

Parlons maintenant de l'implémentation. S'il y a une chose à retenir de ce briefing, c'est cette règle d'or : la confiance avant l'authentification. Vous ne pouvez pas simplement pousser un profil WiFi et espérer que cela fonctionne. Il existe une séquence de déploiement stricte en trois étapes que vous devez suivre.

Étape une : Déployer le certificat racine de confiance. Avant qu'un appareil ne puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'autorité de certification émettrice. Poussez ce profil en premier.

Étape deux : Configurer et pousser le profil de certificat SCEP. Cela indique à l'appareil comment communiquer avec la passerelle SCEP, quel format utiliser pour son nom de sujet, et à quoi sert réellement le certificat — dans ce cas, l'authentification client. Vous devez lier ce profil à la racine de confiance déployée à l'étape une.

Étape trois : Déployer le profil WiFi 802.1X. C'est là que vous rassemblez le tout. Vous spécifiez l'SSID, sélectionnez WPA3-Enterprise, définissez le type d'EAP sur EAP-TLS et le pointez vers le certificat SCEP pour l'authentification client.

Voici un piège majeur que nous voyons constamment. Un client nous appelle et dit : "Les certificats sont sur l'appareil, mais le profil WiFi affiche une erreur dans Intune." Presque à chaque fois, il s'agit d'une mauvaise correspondance dans le ciblage des groupes. Si vous attribuez le profil SCEP à un groupe « Utilisateurs », mais que vous attribuez le profil WiFi à un groupe « Appareils », le MDM ne peut pas résoudre la dépendance. Faites correspondre exactement vos cibles sur l'ensemble des trois profils.

Prenons un scénario réel. Imaginez un hôtel de 200 chambres. Ils disposent de 150 appareils iOS gérés pour le service d'étage. Actuellement, ils utilisent un réseau standard avec mot de passe, et le personnel ne cesse de partager ce mot de passe avec les clients. C'est un cauchemar. En migrant vers le WPA2-Entreprise avec EAP-TLS via SCEP, le directeur informatique élimine complètement le mot de passe. Les appareils iOS s'authentifient silencieusement en arrière-plan à l'aide de leurs certificats. 

Mais que se passe-t-il si un membre du personnel perd un appareil ou quitte l'entreprise ? Désactiver leur compte Active Directory ne suffit pas, car le certificat sur cet appareil reste cryptographiquement valide. Cela nous amène à un contrôle de sécurité essentiel : la vérification stricte de la CRL. Vous devez configurer votre serveur RADIUS pour qu'il vérifie la liste de révocation des certificats (CRL). Si un appareil est perdu, vous révoquez le certificat auprès de l'AC. Le serveur RADIUS détecte la révocation sur la CRL et bloque immédiatement l'accès au réseau. Sans une vérification stricte de la CRL, votre posture de sécurité est incomplète.

Pour conclure, la transition vers un déploiement automatisé de certificats SCEP offre un retour sur investissement massif. Vous constaterez une réduction de 70 à 80 % des tickets d'assistance liés au WiFi, car les utilisateurs ne se retrouvent plus bloqués et ne saisissent plus de mots de passe erronés. Plus important encore, vous éliminez le risque de collecte d'identifiants, vous assurant ainsi de respecter les cadres de conformité tels que PCI DSS et le GDPR. 

Automatiser la sécurité du WiFi d'entreprise ne consiste pas seulement à tout verrouiller ; il s'agit de faire du chemin sécurisé la voie la plus simple pour vos utilisateurs. Merci pour votre écoute, et n'hésitez pas à consulter le guide écrit complet pour obtenir tous les détails de configuration étape par étape.

Points clés à retenir

✓La norme pour un réseau WiFi d'entreprise sécurisé est le 802.1X EAP-TLS, qui requiert des certificats clients sur tous les appareils.
✓Les plateformes MDM automatisent le déploiement de certificats à grande échelle à l'aide de profils SCEP ou PKCS.
✓Le protocole SCEP est fortement recommandé pour l'authentification WiFi car la clé privée est générée localement et ne quitte jamais l'appareil.
✓Le déploiement nécessite une séquence stricte : racine approuvée, puis profil SCEP, puis profil WiFi.
✓Le ciblage des groupes doit être identique pour tous les profils associés afin d'éviter les échecs de dépendance.
✓Les serveurs NDES doivent être publiés de manière sécurisée via des proxies d'application pour permettre la configuration de certificats à distance.
✓Une vérification CRL stricte sur le serveur RADIUS est obligatoire pour garantir que les certificats révoqués ne puissent pas accéder au réseau.

执行摘要

对于酒店、零售和公共部门的企事业单位而言，依靠预共享密钥或基础 Captive Portal 进行网络访问会引入严重的安全漏洞。现代网络架构要求使用 EAP-TLS 进行 802.1X 认证，以确保每个设备在访问网络之前都经过密码学验证。对于 IT 经理和网络架构师来说，挑战在于如何高效地向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书。

本指南为使用简单证书注册协议 (SCEP) 进行自动化 WiFi 证书部署提供了权威的架构蓝图和分步实施策略。通过将您的移动设备管理 (MDM) 平台与 SCEP 网关和证书颁发机构 (CA) 集成，您可以将受信任的根证书和客户端证书静默推送到受管终端。我们将探讨 SCEP 与 PKCS 之间的关键区别，详细介绍成功部署所需的精确步骤顺序，并概述实际的风险缓解策略，以确保您的 WiFi 网络保持安全和高效。

收听配套播客简报：

技术深度解析：SCEP 架构与 EAP-TLS

在设计企业 WiFi 证书部署策略时，核心架构决策是如何安全地交付证书。该过程的行业标准是 SCEP。SCEP 自动执行证书注册过程，允许设备使用标准化协议安全地向证书颁发机构请求证书。

SCEP 相比 PKCS 的优势

虽然 Microsoft Intune 等平台同时支持 SCEP 和公钥加密标准 (PKCS)，但它们的运行机制根本不同。在 SCEP 工作流中，MDM 服务指示终端生成自己的私钥和公钥对。然后，设备创建证书签名请求 (CSR)，并通过网络设备注册服务 (NDES) 服务器将其发送到您的 CA。CA 对请求进行签名并将公钥证书返回给设备。

SCEP 的关键安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的安全隔离区中。这使得 SCEP 成为 802.1X 认证的强烈推荐方法。相反，使用 PKCS 时，CA 会集中生成两个密钥并通过网络传输。PKCS 更适合需要密钥托管的用例（例如 S/MIME 邮件加密），而不是网络认证。

802.1X 与 EAP-TLS 认证

IEEE 802.1X 标准为集中式网络访问管理提供了框架。它定义了如何在局域网 (EAPoL) 上传输可扩展身份验证协议 (EAP) 数据包，以便在客户端、接入点和认证服务器（通常是 RADIUS 服务器）之间进行认证。

EAP-TLS 是 802.1X 网络中最安全的认证协议。它需要双向认证：客户端验证 RADIUS 服务器的证书，RADIUS 服务器验证客户端的证书。这种严格的验证过程确保只有已注册设备上经过身份验证和授权的用户才能获得访问权限，从而保护网络免受双面恶魔 (Evil Twin) 攻击等威胁。

实施指南：部署顺序

成功配置 802.1X 的自动化证书部署需要严格遵守特定顺序。配置文件依赖关系决定了在配置认证之前必须先建立信任。无论您使用 Microsoft Intune、Jamf 还是其他 MDM 平台，这都适用。

步骤 1：部署受信任的根证书

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前，它必须信任颁发证书的证书颁发机构。

导出您的根 CA 证书和任何中间 CA 证书。
在您的 MDM 平台中，创建一个受信任的证书配置文件。
上传证书文件并将此配置文件部署到您的目标设备组。

步骤 2：配置 SCEP 证书配置文件

建立信任后，配置 SCEP 配置文件以指示设备如何获取其客户端证书。

创建一个新的 SCEP 证书配置配置文件。
配置使用者名称格式。对于用户驱动的认证，使用用户主体名称 (UPN)。对于设备认证，使用设备 ID。
将密钥用法设置为数字签名和密钥加密。
为增强型密钥用法指定客户端认证。
将此配置文件链接到步骤 1 中创建的受信任根证书配置文件。
提供您的 SCEP 网关或 NDES 服务器的外部 URL。

步骤 3：部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。

创建一个 WiFi 配置配置文件。
输入与您的接入点广播完全一致的 SSID。
选择 WPA2-Enterprise 或 WPA3-Enterprise 作为安全类型。
将 EAP 类型设置为 EAP-TLS。
选择步骤 2 中创建的 SCEP 证书配置文件进行客户端认证。
指定用于服务器验证的受信任根证书，以确保设备仅连接到您合法的 RADIUS 服务器。

企业环境最佳实践

在实施 SCEP 证书部署时，请遵循以下与厂商无关的最佳实践，以确保合规性和可靠性。

保护 SCEP 网关安全

SCEP 网关或 NDES 服务器必须能够从互联网访问，以便远程设备在到达现场之前能够配置证书。然而，将内部服务器直接暴露给互联网会带来重大的安全风险。请使用应用代理发布该 URL。这可以在不打开入站防火墙端口的情况下提供安全的远程访问，并允许您对注册流程应用条件访问策略。

强制执行严格的 CRL 检查

证书部署只是安全方程式的一半，吊销同样至关重要。如果员工离职，禁用其目录帐户可能无法立即撤销其 WiFi 访问权限（如果其客户端证书仍然有效）。请配置您的 RADIUS 服务器以强制执行严格的证书吊销列表 (CRL) 检查。确保您的 CRL 分发点高度可用；如果 RADIUS 服务器无法访问 CRL，身份验证将失败，从而导致大范围的服务中断。

硬件集成

确保您的网络基础设施支持所需的协议。Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件无缝集成。配置这些系统以将身份验证请求转发到您的集中式 RADIUS 基础设施。

故障排除与风险缓解

即使经过精心规划，证书部署也可能会遇到问题。以下是常见的失败模式和缓解策略。

依赖关系失败

一个常见问题是设备接收到了受信任的根证书和 SCEP 证书，但 WiFi 配置文件应用失败。这几乎总是由于 MDM 内的组目标不匹配引起的。如果 SCEP 配置文件分配给用户组，而 WiFi 配置文件分配给设备组，则 MDM 无法解析该依赖关系。请审核您的分配，并确保所有相关配置文件都部署到完全相同的目录组。

注册错误

如果设备无法检索 SCEP 证书且网关日志显示 HTTP 403 错误，则服务帐户可能在证书模板上缺乏必要的权限，或者防火墙上的 URL 过滤阻止了 SCEP 使用的特定查询字符串参数。请验证连接器帐户在 CA 模板上是否具有读取和注册权限，并检查防火墙日志以确保 SCEP URL 未被阻止。

投资回报率与业务影响

过渡到自动化的 802.1X 证书部署可在安全和运营方面带来可衡量的回报。

基于密码的 WiFi 由于密码过期、锁定和拼写错误，会产生大量的支持工单。基于证书的身份验证对用户是无感的，通常可减少 70% 至 80% 与 WiFi 相关的服务台工单量。

此外，EAP-TLS 消除了凭据窃取和中间人攻击的风险。这对于符合 PCI DSS 和 GDPR 等框架至关重要。对于多分支机构的零售业务或大型连锁酒店，自动化此流程可确保从第一天起就获得统一、零接触的配置体验，在保障网络边界安全的同时，显著降低运营开销。

Définitions clés

SCEP

Simple Certificate Enrollment Protocol. Un protocole qui automatise le processus de demande et d'installation de certificats numériques sur les appareils, où la clé privée est générée localement.

La méthode recommandée pour déployer des certificats d'authentification WiFi à grande échelle via des plateformes MDM.

PKCS

Public Key Cryptography Standards. Une méthode de déploiement dans laquelle l'autorité de certification génère à la fois les clés publiques et privées et les transmet au terminal.

Souvent utilisé pour le chiffrement des e-mails S/MIME, mais moins idéal pour le WiFi en raison de la transmission de la clé privée sur le réseau.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

La base obligatoire pour la sécurité WiFi des entreprises, remplaçant les clés pré-partagées vulnérables.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un protocole d'authentification qui exige que le client et le serveur présentent des certificats numériques valides.

Considéré comme la méthode d'authentification la plus sécurisée pour les réseaux 802.1X, éliminant les vulnérabilités liées aux mots de passe.

NDES

Network Device Enrollment Service. Un rôle de serveur qui fait office de passerelle, permettant aux appareils sans identifiants de domaine d'obtenir des certificats via SCEP.

Un composant d'infrastructure requis lors de la mise en œuvre du déploiement de certificats SCEP avec Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (accounting).

Le serveur qui valide les certificats clients par rapport à l'annuaire et accorde l'accès au réseau.

CRL

Certificate Revocation List. Une liste publiée par l'autorité de certification contenant les numéros de série des certificats qui ont été révoqués.

Les serveurs RADIUS doivent vérifier la CRL pour s'assurer qu'un certificat présenté est toujours valide et n'a pas été compromis.

CSR

Certificate Signing Request. Un bloc de texte codé fourni à une autorité de certification lors de la demande d'un certificat SSL/TLS.

Généré par l'appareil lors du processus d'enrôlement SCEP pour demander un certificat signé.

Exemples concrets

Un hôtel de 200 chambres doit déployer un WiFi sécurisé pour le personnel sur 150 appareils iOS managés utilisés par le service de ménage et la maintenance. Ils utilisent actuellement un réseau WPA2-PSK, mais le personnel continue de partager le mot de passe avec les clients. Comment le directeur informatique doit-il mettre en œuvre une solution sécurisée et automatisée ?

Le directeur informatique doit migrer le WiFi du personnel vers WPA2-Enterprise en utilisant l'authentification 802.1X EAP-TLS. Il doit configurer son MDM (par exemple, Jamf) pour envoyer une charge utile SCEP aux appareils iOS. La séquence de déploiement est la suivante : 1) Envoyer le certificat de l'autorité de certification racine (Root CA) afin que les appareils fassent confiance au réseau. 2) Envoyer le profil SCEP, demandant aux appareils de solliciter un certificat client auprès de l'autorité de certification via la passerelle SCEP. 3) Envoyer le profil WiFi configuré pour WPA2-Enterprise et EAP-TLS, en le liant au certificat SCEP. Les points d'accès réseau (par exemple, HPE Aruba) sont configurés pour authentifier les clients par rapport à un serveur RADIUS central. Lorsque le personnel arrive, ses appareils s'authentifient automatiquement à l'aide du certificat, sans qu'aucun mot de passe ne soit requis.

Commentaire de l'examinateur : Cette approche élimine totalement la vulnérabilité liée au partage de mot de passe. En utilisant SCEP et EAP-TLS, l'hôtel s'assure que seuls les appareils managés et autorisés peuvent accéder au WiFi du personnel. Les clés privées restent sécurisées sur les appareils iOS et, si un appareil est perdu ou si un membre du personnel s'en va, le certificat peut être révoqué de manière centralisée via la CRL, coupant immédiatement l'accès au réseau.

Une chaîne de magasins déploie de nouvelles tablettes de point de vente (POS) dans 50 points de vente. Pour se conformer aux exigences de la norme PCI DSS, les tablettes doivent se connecter à un réseau sans fil sécurisé. L'architecte réseau prévoit d'utiliser Microsoft Intune pour le déploiement. Quels choix d'architecture garantissent la conformité et la sécurité ?

Pour répondre aux exigences de la norme PCI DSS concernant la cryptographie forte et l'authentification, l'architecte doit déployer la norme 802.1X EAP-TLS. En utilisant Microsoft Intune, il doit préférer SCEP à PKCS pour le déploiement de certificats. Cela garantit que la clé privée est générée sur le TPM de la tablette POS et n'est jamais transmise sur le réseau. Il doit configurer un serveur NDES publié de manière sécurisée via Azure AD Application Proxy. Enfin, il doit configurer le serveur RADIUS pour appliquer une vérification stricte de la CRL, garantissant que si une tablette POS est compromise, son certificat peut être révoqué et l'accès au réseau bloqué immédiatement.

Commentaire de l'examinateur : Le choix de SCEP plutôt que de PKCS est la décision critique ici pour la conformité PCI DSS, car il empêche la transmission de la clé privée. La publication du serveur NDES via un proxy d'application sécurise l'infrastructure d'inscription. La vérification stricte de la CRL est obligatoire ; sans elle, un certificat révoqué pourrait encore permettre à un appareil compromis d'accéder au réseau de paiement.

Questions d'entraînement

Q1. Vous déployez un nouveau réseau WiFi 802.1X pour un campus d'entreprise à l'aide de Microsoft Intune. Vous avez configuré le profil de racine approuvée (Trusted Root), le profil SCEP et le profil WiFi. Cependant, lors des tests, les appareils reçoivent les certificats mais le profil WiFi s'affiche comme étant en « Échec » dans la console Intune. Quelle est la cause la plus probable ?

Conseil : Considérez la manière dont le MDM résout les dépendances entre les profils.

Voir la réponse type

La cause la plus probable est une non-concordance dans le ciblage des groupes. Intune exige que les profils dépendants soient attribués exactement au même groupe Azure AD. Si le profil SCEP est attribué à un groupe d'utilisateurs et le profil WiFi à un groupe d'appareils, Intune ne peut pas résoudre la dépendance, ce qui entraîne une erreur.

Q2. Une entreprise de vente au détail souhaite automatiser le déploiement de certificats pour les tablettes des directeurs de magasin. Elle hésite entre l'utilisation de SCEP ou de PKCS. La sécurité est sa préoccupation principale, en particulier la protection des clés privées. Quel protocole doit-elle choisir et pourquoi ?

Conseil : Pensez à l'endroit où la clé privée est générée dans chaque protocole.

Voir la réponse type

Elle devrait choisir SCEP. Dans un flux de travail SCEP, la clé privée est générée localement sur la tablette et stockée dans son enclave sécurisée ; elle ne quitte jamais l'appareil. Avec PKCS, l'autorité de certification génère la clé privée et la transmet sur le réseau à l'appareil, ce qui introduit une vulnérabilité de sécurité potentielle.

Q3. Un employé quitte l'entreprise et son compte Active Directory est désactivé. Cependant, l'équipe informatique constate que l'appareil de l'employé est toujours connecté au réseau WiFi de l'entreprise. Le réseau utilise l'authentification EAP-TLS. Quelle configuration manque-t-il sur le serveur RADIUS ?

Conseil : La désactivation d'un compte n'invalide pas automatiquement un certificat précédemment délivré.

Voir la réponse type

Il manque au serveur RADIUS une vérification stricte de la liste de révocation de certificats (CRL). Même si le compte de l'annuaire est désactivé, le certificat client reste cryptographiquement valide jusqu'à ce qu'il expire ou soit explicitement révoqué. Le serveur RADIUS doit être configuré pour vérifier la CRL afin de garantir que l'accès au réseau est refusé aux certificats révoqués.

Continuer la lecture de cette série

Comment segmenter en toute sécurité les réseaux WiFi des employés et des invités

Ce guide technique de référence fournit aux responsables informatiques des stratégies exploitables pour segmenter en toute sécurité les réseaux WiFi des employés, des invités et de l'IoT à l'aide de VLAN et du protocole 802.1X. Il détaille comment sécuriser l'infrastructure d'entreprise, maintenir la conformité PCI-DSS et exploiter les portails captifs pour capturer des données de première main.

Le meilleur filtrage DNS : un guide complet pour les entreprises

Ce guide de référence technique explique comment le filtrage DNS d'entreprise sécurise les réseaux publics en bloquant les domaines malveillants au niveau de la couche de résolution - avant même qu'une connexion ne soit établie. Il fournit aux directeurs informatiques, architectes réseau et équipes d'exploitation des sites l'architecture de déploiement, la configuration du pare-feu et le contexte de conformité nécessaires pour protéger le WiFi invité dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Purple Shield bloque les logiciels malveillants, les botnets et les contenus inappropriés au niveau DNS sur plus de 80 000 sites actifs.

Comprendre Cisco SUDI : L'identité ancrée dans le matériel pour le contrôle d'accès réseau sécurisé

Ce guide explique comment Cisco SUDI fournit une identité sécurisée par cryptographie et ancrée dans le matériel pour l'infrastructure réseau d'entreprise. Découvrez comment remplacer les adresses MAC falsifiables par des certificats 802.1AR immuables afin de sécuriser le contrôle d'accès réseau de votre site.