Automatisation de la sécurité WiFi d'entreprise : le guide de déploiement des certificats SCEP

Ce guide technique explique comment automatiser la sécurité WiFi d'entreprise à l'aide du déploiement de certificats SCEP. Il fournit un plan d'architecture détaillé et les étapes de mise en œuvre pour déployer l'authentification 802.1X EAP-TLS sur les réseaux d'entreprise et invités.

📖 5 min de lecture📝 1,248 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique. Je suis ravi de vous présenter notre dernier guide : Automatiser la sécurité WiFi d'entreprise, en se concentrant spécifiquement sur le déploiement de certificats SCEP. Si vous gérez des réseaux pour des hôtels, des chaînes de vente au détail ou des espaces publics, vous savez déjà que s'appuyer sur des clés pré-partagées ou de simples Captive Portals pour l'accès du personnel constitue une vulnérabilité de sécurité majeure. Aujourd'hui, nous parlons de la référence absolue : l'authentification 802.1X utilisant l'EAP-TLS. 

Plongeons dans l'architecture. Le défi principal avec l'EAP-TLS ne réside pas dans le protocole lui-même, mais dans la logistique de distribution de certificats clients uniques sur des milliers d'appareils, qu'il s'agisse d'ordinateurs portables Windows, d'iPads ou de tablettes de point de vente. C'est là que les plateformes de gestion des terminaux mobiles (MDM), telles que Microsoft Intune ou Jamf, entrent en jeu. Mais comment distribuer ces certificats de manière sécurisée ?

Vous avez généralement deux choix : PKCS ou SCEP. Laissez-moi être absolument clair sur ce point : pour l'authentification WiFi, vous voulez SCEP. C'est le Simple Certificate Enrollment Protocol. Voici pourquoi c'est important. Avec SCEP, le MDM demande à l'appareil de générer sa propre clé privée localement. Cette clé reste verrouillée dans le matériel sécurisé de l'appareil. Elle ne transite jamais sur le réseau. L'appareil envoie simplement une demande de signature de certificat (CSR) à votre autorité de certification via une passerelle, généralement un serveur NDES.

Comparez cela avec le PKCS, où l'autorité de certification génère la clé privée de manière centralisée et la pousse sur le réseau vers l'appareil. Bien que le PKCS ait sa place — par exemple, pour le chiffrement des e-mails où vous avez besoin d'un séquestre de clés —, transmettre des clés privées sur le réseau est un risque que vous n'avez tout simplement pas besoin de prendre pour l'authentification réseau. Gardez les clés sur l'appareil. Utilisez SCEP.

Parlons maintenant de l'implémentation. S'il y a une chose à retenir de ce briefing, c'est cette règle d'or : la confiance avant l'authentification. Vous ne pouvez pas simplement pousser un profil WiFi et espérer que cela fonctionne. Il existe une séquence de déploiement stricte en trois étapes que vous devez suivre.

Étape une : Déployer le certificat racine de confiance. Avant qu'un appareil ne puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'autorité de certification émettrice. Poussez ce profil en premier.

Étape deux : Configurer et pousser le profil de certificat SCEP. Cela indique à l'appareil comment communiquer avec la passerelle SCEP, quel format utiliser pour son nom de sujet, et à quoi sert réellement le certificat — dans ce cas, l'authentification client. Vous devez lier ce profil à la racine de confiance déployée à l'étape une.

Étape trois : Déployer le profil WiFi 802.1X. C'est là que vous rassemblez le tout. Vous spécifiez l'SSID, sélectionnez WPA3-Enterprise, définissez le type d'EAP sur EAP-TLS et le pointez vers le certificat SCEP pour l'authentification client.

Voici un piège majeur que nous voyons constamment. Un client nous appelle et dit : "Les certificats sont sur l'appareil, mais le profil WiFi affiche une erreur dans Intune." Presque à chaque fois, il s'agit d'une mauvaise correspondance dans le ciblage des groupes. Si vous attribuez le profil SCEP à un groupe « Utilisateurs », mais que vous attribuez le profil WiFi à un groupe « Appareils », le MDM ne peut pas résoudre la dépendance. Faites correspondre exactement vos cibles sur l'ensemble des trois profils.

Prenons un scénario réel. Imaginez un hôtel de 200 chambres. Ils disposent de 150 appareils iOS gérés pour le service d'étage. Actuellement, ils utilisent un réseau standard avec mot de passe, et le personnel ne cesse de partager ce mot de passe avec les clients. C'est un cauchemar. En migrant vers le WPA2-Entreprise avec EAP-TLS via SCEP, le directeur informatique élimine complètement le mot de passe. Les appareils iOS s'authentifient silencieusement en arrière-plan à l'aide de leurs certificats. 

Mais que se passe-t-il si un membre du personnel perd un appareil ou quitte l'entreprise ? Désactiver leur compte Active Directory ne suffit pas, car le certificat sur cet appareil reste cryptographiquement valide. Cela nous amène à un contrôle de sécurité essentiel : la vérification stricte de la CRL. Vous devez configurer votre serveur RADIUS pour qu'il vérifie la liste de révocation des certificats (CRL). Si un appareil est perdu, vous révoquez le certificat auprès de l'AC. Le serveur RADIUS détecte la révocation sur la CRL et bloque immédiatement l'accès au réseau. Sans une vérification stricte de la CRL, votre posture de sécurité est incomplète.

Pour conclure, la transition vers un déploiement automatisé de certificats SCEP offre un retour sur investissement massif. Vous constaterez une réduction de 70 à 80 % des tickets d'assistance liés au WiFi, car les utilisateurs ne se retrouvent plus bloqués et ne saisissent plus de mots de passe erronés. Plus important encore, vous éliminez le risque de collecte d'identifiants, vous assurant ainsi de respecter les cadres de conformité tels que PCI DSS et le GDPR. 

Automatiser la sécurité du WiFi d'entreprise ne consiste pas seulement à tout verrouiller ; il s'agit de faire du chemin sécurisé la voie la plus simple pour vos utilisateurs. Merci pour votre écoute, et n'hésitez pas à consulter le guide écrit complet pour obtenir tous les détails de configuration étape par étape.

Points clés à retenir

✓La norme pour un réseau WiFi d'entreprise sécurisé est le 802.1X EAP-TLS, qui requiert des certificats clients sur tous les appareils.
✓Les plateformes MDM automatisent le déploiement de certificats à grande échelle à l'aide de profils SCEP ou PKCS.
✓Le protocole SCEP est fortement recommandé pour l'authentification WiFi car la clé privée est générée localement et ne quitte jamais l'appareil.
✓Le déploiement nécessite une séquence stricte : racine approuvée, puis profil SCEP, puis profil WiFi.
✓Le ciblage des groupes doit être identique pour tous les profils associés afin d'éviter les échecs de dépendance.
✓Les serveurs NDES doivent être publiés de manière sécurisée via des proxies d'application pour permettre la configuration de certificats à distance.
✓Une vérification CRL stricte sur le serveur RADIUS est obligatoire pour garantir que les certificats révoqués ne puissent pas accéder au réseau.

Résumé exécutif

Pour les établissements d'entreprise dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public, s'appuyer sur des clés pré-partagées ou des Captive Portals basiques pour l'accès au réseau introduit de graves vulnérabilités de sécurité. L'architecture réseau moderne exige une authentification 802.1X via EAP-TLS, garantissant que chaque appareil est vérifié par cryptographie avant d'accéder au réseau. Le défi pour les responsables informatiques et les architectes réseau est de déployer efficacement des certificats clients uniques sur des milliers d'appareils Windows, iOS et Android.

Ce guide fournit un modèle architectural définitif et une stratégie de mise en œuvre étape par étape pour le déploiement automatisé de certificats WiFi à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol). En intégrant votre plateforme de gestion des appareils mobiles (MDM) à une passerelle SCEP et à une autorité de certification (CA), vous pouvez pousser silencieusement des certificats racines et clients de confiance vers les terminaux gérés. Nous explorons les différences critiques entre SCEP et PKCS, détaillons la séquence de déploiement exacte requise pour réussir, et décrivons des stratégies concrètes d'atténuation des risques pour garantir que vos réseaux WiFi restent sécurisés et performants.

Écoutez le podcast d'accompagnement :

Analyse technique approfondie : Architecture SCEP et EAP-TLS

Lors de la conception de votre stratégie de déploiement de certificats WiFi d'entreprise, la décision architecturale clé réside dans la manière de délivrer les certificats en toute sécurité. Le standard de l'industrie pour ce processus est le protocole SCEP. SCEP automatise le processus d'enrôlement de certificats, permettant aux appareils de demander des certificats en toute sécurité auprès d'une autorité de certification à l'aide d'un protocole standardisé.

L'avantage de SCEP par rapport à PKCS

Bien que des plateformes comme Microsoft Intune prennent en charge à la fois SCEP et les normes PKCS (Public Key Cryptography Standards), elles fonctionnent de manière fondamentalement différente. Dans un flux de travail SCEP, le service MDM demande au terminal de générer sa propre paire de clés privée et publique. L'appareil crée ensuite une demande de signature de certificat (CSR) et l'envoie via un serveur NDES (Network Device Enrollment Service) à votre CA. La CA signe la demande et renvoie le certificat public à l'appareil.

L'avantage de sécurité critique de SCEP est que la clé privée ne quitte jamais l'appareil. Elle est générée localement et stockée dans l'enclave sécurisée de l'appareil. Cela fait de SCEP l'approche fortement recommandée pour l'authentification 802.1X. À l'inverse, avec PKCS, l'AC génère les deux clés de manière centralisée et les transmet via le réseau. PKCS est mieux adapté aux cas d'usage nécessitant le séquestre de clés, comme le chiffrement d'e-mails S/MIME, plutôt qu'à l'authentification réseau.

Authentification 802.1X et EAP-TLS

La norme IEEE 802.1X fournit un cadre pour la gestion centralisée des accès réseau. Elle définit comment acheminer les paquets EAP (Extensible Authentication Protocol) sur les réseaux locaux (EAPoL) pour l'authentification entre le client, le point d'accès et le serveur d'authentification (généralement un serveur RADIUS).

EAP-TLS est le protocole d'authentification le plus sécurisé pour les réseaux 802.1X. Il requiert une authentification mutuelle : le client vérifie le certificat du serveur RADIUS, et le serveur RADIUS vérifie le certificat du client. Ce processus de validation rigoureux garantit que seuls les utilisateurs authentifiés et autorisés sur des appareils enregistrés obtiennent l'accès, protégeant ainsi le réseau contre les menaces telles que les attaques Evil Twin.

Guide de mise en œuvre : La séquence de déploiement

La configuration réussie du déploiement automatisé de certificats pour le 802.1X exige le respect strict d'une séquence spécifique. Les dépendances de profils dictent que la confiance doit être établie avant que l'authentification puisse être configurée. Cela s'applique que vous utilisiez Microsoft Intune, Jamf ou une autre plateforme MDM.

Étape 1 : Déployer le certificat racine de confiance

Avant qu'un appareil ne puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'Autorité de Certification émettrice.

Exportez votre certificat CA racine et tous les certificats CA intermédiaires.
Dans votre plateforme MDM, créez un profil de certificat de confiance.
Téléversez les fichiers de certificat et déployez ce profil sur vos groupes d'appareils cibles.

Étape 2 : Configurer le profil de certificat SCEP

Une fois la confiance établie, configurez le profil SCEP pour indiquer aux appareils comment obtenir leur certificat client.

Créez un nouveau profil de configuration de certificat SCEP.
Configurez le format du nom de l'objet. Pour une authentification basée sur l'utilisateur, utilisez l'UPN (User Principal Name). Pour l'authentification de l'appareil, utilisez l'identifiant de l'appareil.
Définissez l'utilisation de la clé sur la signature numérique et le chiffrement de la clé.
Spécifiez l'authentification client pour l'utilisation étendue de la clé.
Liez ce profil au profil de certificat racine de confiance créé à l'Étape 1.
Fournissez l'URL externe de votre passerelle SCEP ou de votre serveur NDES.

Étape 3 : Déployer le profil WiFi 802.1X

La dernière étape consiste à pousser la configuration WiFi qui associe les certificats au SSID du réseau.

Créez un profil de configuration WiFi.
Saisissez l'SSID exactement tel qu'il est diffusé par vos points d'accès.
Sélectionnez WPA2-Enterprise ou WPA3-Enterprise comme type de sécurité.
Définissez le type EAP sur EAP-TLS.
Sélectionnez le profil de certificat SCEP créé à l'étape 2 pour l'authentification client.
Spécifiez le certificat racine de confiance (Trusted Root) pour la validation du serveur afin de garantir que l'appareil se connecte uniquement à votre serveur RADIUS légitime.

Bonnes pratiques pour les environnements d'entreprise

Lors de la mise en œuvre du déploiement de certificats SCEP, respectez ces bonnes pratiques universelles pour garantir la conformité et la fiabilité.

Sécuriser la passerelle SCEP

La passerelle SCEP ou le serveur NDES doit être accessible depuis Internet pour permettre aux appareils distants de provisionner des certificats avant d'arriver sur site. Cependant, exposer directement un serveur interne à Internet présente un risque de sécurité majeur. Publiez l'URL à l'aide d'un proxy d'application. Cela fournit un accès distant sécurisé sans ouvrir de ports de pare-feu entrants et vous permet d'appliquer des politiques d'accès conditionnel au flux d'inscription.

Imposer une vérification stricte de la CRL

Le déploiement de certificats ne représente que la moitié de l'équation de sécurité ; la révocation est tout aussi essentielle. Si un employé est licencié, la désactivation de son compte d'annuaire peut ne pas révoquer immédiatement son accès WiFi si son certificat client reste valide. Configurez votre serveur RADIUS pour imposer une vérification stricte de la liste de révocation de certificats (CRL). Assurez-vous que vos points de distribution CRL sont hautement disponibles ; si le serveur RADIUS ne peut pas joindre la CRL, l'authentification échouera, provoquant une panne généralisée.

Intégration matérielle

Assurez-vous que votre infrastructure réseau prend en charge les protocoles requis. Purple s'intègre parfaitement aux équipements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Configurez ces systèmes pour transférer les demandes d'authentification vers votre infrastructure RADIUS centralisée.

Dépannage et atténuation des risques

Même avec une planification minutieuse, le déploiement de certificats peut rencontrer des problèmes. Voici les modes de défaillance courants et les stratégies d'atténuation.

Échecs de dépendance

Un problème courant survient lorsque l'appareil reçoit les certificats racine de confiance et SCEP, mais que le profil WiFi ne s'applique pas. Cela est presque toujours dû à une non-correspondance dans le ciblage des groupes au sein du MDM. Si le profil SCEP est attribué à un groupe d'utilisateurs, mais que le profil WiFi est attribué à un groupe d'appareils, le MDM ne peut pas résoudre la dépendance. Inspectez vos affectations et assurez-vous que tous les profils associés sont déployés sur le même groupe d'annuaire.

Erreurs d'inscription

Si les appareils ne parviennent pas à récupérer le certificat SCEP et que les journaux de la passerelle affichent des erreurs HTTP 403, le compte de service manque peut-être des autorisations nécessaires sur le modèle de certificat, ou le filtrage d'URL sur votre pare-feu bloque les paramètres de chaîne de requête spécifiques utilisés par SCEP. Vérifiez que le compte du connecteur dispose des autorisations de lecture et d'inscription sur le modèle d'AC, et vérifiez les journaux du pare-feu pour vous assurer que les URL SCEP ne sont pas bloquées.

ROI et impact commercial

La transition vers un déploiement automatisé de certificats 802.1X offre des retours mesurables en matière de sécurité et d'opérations.

Le WiFi basé sur mot de passe génère un volume important de tickets d'assistance en raison des expirations de mots de passe, des blocages et des fautes de frappe. L'authentification par certificat est invisible pour l'utilisateur, ce qui réduit généralement le volume de tickets d'assistance liés au WiFi de 70 % à 80 %.

De plus, l'EAP-TLS élimine le risque de vol d'identifiants et d'attaques de type Man-in-the-Middle. C'est un élément essentiel pour la conformité avec des cadres tels que PCI DSS et GDPR. Pour une entreprise de vente au détail multisite ou une grande chaîne hôtelière, l'automatisation de ce processus garantit une expérience de provisionnement unifiée et sans intervention dès le premier jour, réduisant ainsi considérablement les coûts opérationnels tout en sécurisant le périmètre du réseau.

Définitions clés

SCEP

Simple Certificate Enrollment Protocol. Un protocole qui automatise le processus de demande et d'installation de certificats numériques sur les appareils, où la clé privée est générée localement.

La méthode recommandée pour déployer des certificats d'authentification WiFi à grande échelle via des plateformes MDM.

PKCS

Public Key Cryptography Standards. Une méthode de déploiement dans laquelle l'autorité de certification génère à la fois les clés publiques et privées et les transmet au terminal.

Souvent utilisé pour le chiffrement des e-mails S/MIME, mais moins idéal pour le WiFi en raison de la transmission de la clé privée sur le réseau.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

La base obligatoire pour la sécurité WiFi des entreprises, remplaçant les clés pré-partagées vulnérables.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un protocole d'authentification qui exige que le client et le serveur présentent des certificats numériques valides.

Considéré comme la méthode d'authentification la plus sécurisée pour les réseaux 802.1X, éliminant les vulnérabilités liées aux mots de passe.

NDES

Network Device Enrollment Service. Un rôle de serveur qui fait office de passerelle, permettant aux appareils sans identifiants de domaine d'obtenir des certificats via SCEP.

Un composant d'infrastructure requis lors de la mise en œuvre du déploiement de certificats SCEP avec Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (accounting).

Le serveur qui valide les certificats clients par rapport à l'annuaire et accorde l'accès au réseau.

CRL

Certificate Revocation List. Une liste publiée par l'autorité de certification contenant les numéros de série des certificats qui ont été révoqués.

Les serveurs RADIUS doivent vérifier la CRL pour s'assurer qu'un certificat présenté est toujours valide et n'a pas été compromis.

CSR

Certificate Signing Request. Un bloc de texte codé fourni à une autorité de certification lors de la demande d'un certificat SSL/TLS.

Généré par l'appareil lors du processus d'enrôlement SCEP pour demander un certificat signé.

Exemples concrets

Un hôtel de 200 chambres doit déployer un WiFi sécurisé pour le personnel sur 150 appareils iOS managés utilisés par le service de ménage et la maintenance. Ils utilisent actuellement un réseau WPA2-PSK, mais le personnel continue de partager le mot de passe avec les clients. Comment le directeur informatique doit-il mettre en œuvre une solution sécurisée et automatisée ?

Le directeur informatique doit migrer le WiFi du personnel vers WPA2-Enterprise en utilisant l'authentification 802.1X EAP-TLS. Il doit configurer son MDM (par exemple, Jamf) pour envoyer une charge utile SCEP aux appareils iOS. La séquence de déploiement est la suivante : 1) Envoyer le certificat de l'autorité de certification racine (Root CA) afin que les appareils fassent confiance au réseau. 2) Envoyer le profil SCEP, demandant aux appareils de solliciter un certificat client auprès de l'autorité de certification via la passerelle SCEP. 3) Envoyer le profil WiFi configuré pour WPA2-Enterprise et EAP-TLS, en le liant au certificat SCEP. Les points d'accès réseau (par exemple, HPE Aruba) sont configurés pour authentifier les clients par rapport à un serveur RADIUS central. Lorsque le personnel arrive, ses appareils s'authentifient automatiquement à l'aide du certificat, sans qu'aucun mot de passe ne soit requis.

Commentaire de l'examinateur : Cette approche élimine totalement la vulnérabilité liée au partage de mot de passe. En utilisant SCEP et EAP-TLS, l'hôtel s'assure que seuls les appareils managés et autorisés peuvent accéder au WiFi du personnel. Les clés privées restent sécurisées sur les appareils iOS et, si un appareil est perdu ou si un membre du personnel s'en va, le certificat peut être révoqué de manière centralisée via la CRL, coupant immédiatement l'accès au réseau.

Une chaîne de magasins déploie de nouvelles tablettes de point de vente (POS) dans 50 points de vente. Pour se conformer aux exigences de la norme PCI DSS, les tablettes doivent se connecter à un réseau sans fil sécurisé. L'architecte réseau prévoit d'utiliser Microsoft Intune pour le déploiement. Quels choix d'architecture garantissent la conformité et la sécurité ?

Pour répondre aux exigences de la norme PCI DSS concernant la cryptographie forte et l'authentification, l'architecte doit déployer la norme 802.1X EAP-TLS. En utilisant Microsoft Intune, il doit préférer SCEP à PKCS pour le déploiement de certificats. Cela garantit que la clé privée est générée sur le TPM de la tablette POS et n'est jamais transmise sur le réseau. Il doit configurer un serveur NDES publié de manière sécurisée via Azure AD Application Proxy. Enfin, il doit configurer le serveur RADIUS pour appliquer une vérification stricte de la CRL, garantissant que si une tablette POS est compromise, son certificat peut être révoqué et l'accès au réseau bloqué immédiatement.

Commentaire de l'examinateur : Le choix de SCEP plutôt que de PKCS est la décision critique ici pour la conformité PCI DSS, car il empêche la transmission de la clé privée. La publication du serveur NDES via un proxy d'application sécurise l'infrastructure d'inscription. La vérification stricte de la CRL est obligatoire ; sans elle, un certificat révoqué pourrait encore permettre à un appareil compromis d'accéder au réseau de paiement.

Questions d'entraînement

Q1. Vous déployez un nouveau réseau WiFi 802.1X pour un campus d'entreprise à l'aide de Microsoft Intune. Vous avez configuré le profil de racine approuvée (Trusted Root), le profil SCEP et le profil WiFi. Cependant, lors des tests, les appareils reçoivent les certificats mais le profil WiFi s'affiche comme étant en « Échec » dans la console Intune. Quelle est la cause la plus probable ?

Conseil : Considérez la manière dont le MDM résout les dépendances entre les profils.

Voir la réponse type

La cause la plus probable est une non-concordance dans le ciblage des groupes. Intune exige que les profils dépendants soient attribués exactement au même groupe Azure AD. Si le profil SCEP est attribué à un groupe d'utilisateurs et le profil WiFi à un groupe d'appareils, Intune ne peut pas résoudre la dépendance, ce qui entraîne une erreur.

Q2. Une entreprise de vente au détail souhaite automatiser le déploiement de certificats pour les tablettes des directeurs de magasin. Elle hésite entre l'utilisation de SCEP ou de PKCS. La sécurité est sa préoccupation principale, en particulier la protection des clés privées. Quel protocole doit-elle choisir et pourquoi ?

Conseil : Pensez à l'endroit où la clé privée est générée dans chaque protocole.

Voir la réponse type

Elle devrait choisir SCEP. Dans un flux de travail SCEP, la clé privée est générée localement sur la tablette et stockée dans son enclave sécurisée ; elle ne quitte jamais l'appareil. Avec PKCS, l'autorité de certification génère la clé privée et la transmet sur le réseau à l'appareil, ce qui introduit une vulnérabilité de sécurité potentielle.

Q3. Un employé quitte l'entreprise et son compte Active Directory est désactivé. Cependant, l'équipe informatique constate que l'appareil de l'employé est toujours connecté au réseau WiFi de l'entreprise. Le réseau utilise l'authentification EAP-TLS. Quelle configuration manque-t-il sur le serveur RADIUS ?

Conseil : La désactivation d'un compte n'invalide pas automatiquement un certificat précédemment délivré.

Voir la réponse type

Il manque au serveur RADIUS une vérification stricte de la liste de révocation de certificats (CRL). Même si le compte de l'annuaire est désactivé, le certificat client reste cryptographiquement valide jusqu'à ce qu'il expire ou soit explicitement révoqué. Le serveur RADIUS doit être configuré pour vérifier la CRL afin de garantir que l'accès au réseau est refusé aux certificats révoqués.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.