Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.

📖 10 min de lecture📝 2,383 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

INTRODUCTION ET CONTEXTE - 0:00 à 1:00

Bonjour et bienvenue dans ce point technique de Purple. Aujourd'hui, nous décryptons le SCEP, le Simple Certificate Enrollment Protocol, et comment l'implémenter pour l'enrôlement automatisé des certificats WiFi. Si vous êtes architecte réseau, directeur informatique ou gestionnaire d'infrastructures pour de grands espaces tels que des chaînes de magasins, des hôpitaux ou des stades, ce point technique vous est destiné. Nous allons droit au but pour analyser comment déployer EAP-TLS à grande échelle, pourquoi SCEP est le choix idéal pour l'identité des appareils, et comment vous pouvez le déployer concrètement dans votre environnement. Entrons directement dans le vif du sujet.

ANALYSE TECHNIQUE APPROFONDIE - 1:00 à 6:00

Alors, quel est exactement le défi que nous cherchons à relever ici ? Dans l'univers de la sécurité WiFi d'entreprise, EAP-TLS représente la référence absolue. Contrairement aux méthodes existantes telles que PEAP ou EAP-TTLS, qui reposent sur des mots de passe utilisateurs, EAP-TLS impose une authentification mutuelle basée sur des certificats. Cela signifie que l'appareil client doit vérifier l'identité du réseau via un certificat serveur, et le réseau doit vérifier l'identité du client via un certificat client unique.

Pensez à la vulnérabilité des mots de passe. Ils peuvent être partagés, piratés par phishing ou volés. Dans un environnement d'entreprise étendu, un mot de passe compromis peut permettre à un acteur malveillant d'accéder à l'ensemble de votre réseau interne. EAP-TLS élimine totalement ce vecteur d'attaque. L'authentification repose sur des certificats X.509 émis par une infrastructure à clés publiques, ou PKI.

Mais le principal défi avec EAP-TLS n'est pas le protocole lui-même. C'est la logistique nécessaire pour distribuer des certificats clients uniques sur des milliers d'appareils, qu'il s'agisse d'ordinateurs portables Windows, d'iPads ou de tablettes de point de vente. Vous ne pouvez pas installer manuellement des certificats sur des milliers d'appareils. C'est là que les plateformes de Mobile Device Management (MDM) comme Microsoft Intune ou Jamf entrent en jeu. Mais comment distribuer ces certificats de manière sécurisée ?

Vous avez généralement deux options : PKCS ou SCEP. Laissez-moi être absolument clair sur ce point. Pour l'authentification WiFi, c'est SCEP qu'il vous faut. Voici pourquoi c'est crucial. Avec SCEP, le MDM demande à l'appareil final de générer sa propre clé privée localement. Cette clé reste verrouillée dans le matériel sécurisé de l'appareil. Elle ne transite jamais sur le réseau. L'appareil envoie simplement une demande de signature de certificat (CSR) à votre autorité de certification via une passerelle, généralement un serveur NDES.

Comparez cela avec PKCS, où l'autorité de certification génère la clé privée de manière centralisée et la pousse sur l'appareil via le réseau. Bien que le PKCS ait son utilité, par exemple pour le chiffrement des e-mails où l'archivage des clés est nécessaire, transmettre des clés privées sur le réseau est un risque inutile pour l'authentification réseau. Gardez les clés sur l'appareil. Utilisez SCEP.

Parlons maintenant de la mise en œuvre. S'il y a une seule règle à retenir de ce point technique, c'est celle-ci : La Confiance avant l'Authentification. Vous ne pouvez pas simplement pousser un profil WiFi et espérer que cela fonctionne. Il existe une séquence de déploiement stricte en trois étapes que vous devez impérativement suivre.

Étape un : Déployez le certificat racine de confiance. Avant qu'un appareil ne puisse demander un certificat client, ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'Autorité de Certification émettrice. Poussez ce profil en premier.

Étape deux : Configurez et poussez le profil de certificat SCEP. Cela indique à l'appareil comment communiquer avec la passerelle SCEP, quel format utiliser pour son nom d'objet et à quoi sert réellement le certificat. Dans ce cas, l'authentification client. Vous devez lier ce profil à la racine de confiance que vous avez déployée à l'étape une.

Étape trois : Déployez le profil WiFi 802.1X. C'est ici que vous assemblez le tout. Vous spécifiez l'SSID, sélectionnez WPA3-Enterprise, définissez le type d'EAP sur EAP-TLS et le pointez vers le certificat SCEP pour l'authentification client.

RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER - 6:00 à 8:00

Voici un piège majeur que nous voyons constamment. Un client nous appelle et dit : les certificats sont sur l'appareil, mais le profil WiFi affiche une erreur dans Intune. Presque à chaque fois, il s'agit d'une mauvaise correspondance de ciblage de groupe. Si vous attribuez le profil SCEP à un groupe d'utilisateurs, mais attribuez le profil WiFi à un groupe d'appareils, le MDM ne peut pas résoudre la dépendance. Faites correspondre exactement vos cibles sur les trois profils.

Examinons un scénario réel. Imaginez un hôtel de 200 chambres. Ils disposent de 150 appareils iOS managés pour le personnel de ménage. Actuellement, ils utilisent un réseau avec mot de passe standard, et le personnel ne cesse de partager le mot de passe avec les clients. C'est un véritable casse-tête opérationnel. En migrant vers WPA2-Enterprise avec EAP-TLS via SCEP, le directeur informatique élimine complètement le mot de passe. Les appareils iOS s'authentifient silencieusement en arrière-plan à l'aide de leurs certificats.

Mais que se passe-t-il si un agent d'entretien perd un appareil ou quitte l'entreprise ? Désactiver son compte Active Directory ne suffit pas, car le certificat sur cet appareil est toujours cryptographiquement valide. Cela nous amène à un contrôle de sécurité critique : la vérification stricte de la CRL. Vous devez configurer votre serveur RADIUS pour vérifier la liste de révocation de certificats. Si un appareil disparaît, vous révoquez le certificat au niveau de l'AC. Le serveur RADIUS constate la révocation sur la CRL et bloque immédiatement l'accès au réseau. Sans vérification stricte de la CRL, votre posture de sécurité est incomplète.

QUESTIONS-RÉPONSES RAPIDES - 8:00 à 9:00

Traitons quelques questions rapides que nous entendons souvent de la part des CTO.

Question un : L'EAP-TLS est-il requis pour le WPA3 Enterprise ? Bien que le WPA3 Enterprise prenne en charge d'autres méthodes, l'EAP-TLS est fortement recommandé et est requis si vous implémentez la suite de sécurité WPA3 Enterprise 192 bits, souvent appelée Suite B.

Question deux : Pouvons-nous utiliser des certificats publics pour les clients ? Non. Vous devez utiliser une AC interne privée pour les certificats clients. Les AC publiques sont destinées aux serveurs web publics. Votre serveur RADIUS interne doit faire confiance à votre AC racine interne spécifique pour valider vos appareils d'entreprise.

Troisième question : Comment cela s'intègre-t-il à OpenRoaming ? OpenRoaming s'appuie sur Passpoint et 802.1X. Purple agit en tant que fournisseur d'identité gratuit pour des services tels qu'OpenRoaming sous la licence Connect, facilitant ainsi un roaming transparent et sécurisé à travers les sites en utilisant les structures de certificats et d'identités sous-jacentes.

RÉSUMÉ ET PROCHAINES ÉTAPES - 9:00 à 10:00

Pour conclure, la transition vers le déploiement automatisé de certificats SCEP offre des retours concrets et mesurables. Vous constaterez une réduction de 70 à 80 % des tickets de support liés au WiFi, car les utilisateurs ne se retrouveront plus bloqués et ne saisiront plus de mots de passe incorrects. Plus important encore, vous éliminez le risque de collecte d'identifiants, garantissant ainsi votre conformité avec les cadres réglementaires tels que PCI DSS et GDPR.

L'automatisation de la sécurité WiFi d'entreprise ne consiste pas seulement à verrouiller les accès. Il s'agit de faire de la voie sécurisée la voie la plus simple pour vos utilisateurs. Vos prochaines étapes : auditez votre déploiement 802.1X actuel. Si vous dépendez encore de mots de passe, concevez votre PKI et planifiez la migration vers EAP-TLS avec SCEP. Vérifiez si votre serveur RADIUS applique un contrôle strict de CRL ou d'OCSP. Et vérifiez que vos trois profils de déploiement ciblent tous le même groupe.

Merci d'avoir suivi ce briefing technique de Purple. Pour obtenir des guides de déploiement plus détaillés et comprendre comment nos plateformes d'analyse et d'identité peuvent s'intégrer à vos réseaux sécurisés, rendez-vous sur purple dot ai.

Points clés à retenir

✓Le SCEP (RFC 8894) automatise l'enrôlement des certificats X.509 pour les appareils gérés. La clé privée est générée localement sur l'appareil et n'est jamais transmise sur le réseau - c'est l'avantage de sécurité fondamental par rapport au PKCS.
✓Pour l'authentification WiFi 802.1X EAP-TLS, utilisez toujours le SCEP. Réservez le PKCS aux cas d'usage nécessitant un séquestre de clés, comme le chiffrement d'e-mails S/MIME.
✓La séquence de déploiement est non négociable : d'abord le certificat racine de confiance, puis le profil de certificat SCEP, et enfin le profil WiFi 802.1X. Les trois profils doivent cibler exactement le même groupe Azure AD.
✓Une vérification stricte de la CRL ou de l'OCSP sur le serveur RADIUS est obligatoire. La désactivation d'un compte AD ne révoque pas un certificat. Révoquez au niveau de l'AC et assurez-vous que le serveur RADIUS applique cette révocation.
✓L'EAP-TLS répond à l'exigence 8.6 de la norme PCI DSS 4.0 relative à l'authentification multifacteur au niveau de la couche réseau et est requis pour les déploiements WPA3 Enterprise 192 bits (Suite B).
✓Les organisations qui migrent d'un WiFi basé sur un mot de passe vers l'EAP-TLS avec SCEP constatent généralement une réduction de 70 à 80 % des tickets d'assistance liés au WiFi (données internes de Purple, 2024).
✓Pour les parcs distribués (groupes hôteliers, chaînes de magasins, secteur public multi-sites), les passerelles SCEP hébergées dans le cloud et les services PKI gérés éliminent le besoin d'infrastructure NDES sur site sans compromettre la sécurité.

Résumé exécutif

Pour les exploitants de sites gérant du Guest WiFi dans des hôtels, des réseaux de vente au détail, des stades et des centres de conférence, s'appuyer sur des clés pré-partagées ou des portails captifs basiques pour l'accès au réseau du personnel constitue une faille de sécurité. L'architecture réseau moderne exige une authentification 802.1X utilisant EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), garantissant que chaque appareil est vérifié par cryptographie avant d'accéder au réseau. Le défi réside dans la distribution : comment déployer des certificats clients uniques sur des milliers d'appareils Windows, iOS et Android sans surcharger votre support technique ?

La réponse est le SCEP (Simple Certificate Enrollment Protocol). Formalisé par l'IETF en tant que RFC 8894 en 2020, SCEP automatise l'enrôlement des certificats sur les flottes d'appareils gérés. Lorsqu'il est intégré à une plateforme MDM telle que Microsoft Intune ou Jamf, SCEP offre un provisionnement de certificats sans contact : les appareils demandent, reçoivent et renouvellent leurs propres certificats sans aucune intervention informatique. La clé privée est générée localement sur l'appareil et n'est jamais transmise sur le réseau – un avantage de sécurité fondamental par rapport à la distribution basée sur PKCS.

Ce guide détaille l'ensemble du flux de travail de mise en œuvre de SCEP : l'architecture PKI, la configuration de la passerelle NDES, la séquence de déploiement MDM obligatoire en trois étapes et les contrôles opérationnels (notamment la vérification CRL et le ciblage par groupe) qui déterminent le succès ou l'échec d'un déploiement. Deux scénarios réels illustrent cette approche dans les secteurs de l'hôtellerie et du commerce de détail. Purple opère sur plus de 80 000 sites actifs et gère 350 millions d'utilisateurs uniques ; les modèles décrits ici reflètent ce qui fonctionne à cette échelle.

Analyse technique approfondie

Ce que fait réellement SCEP

SCEP se positionne entre votre plateforme MDM et votre Autorité de Certification (CA). Il fournit un mécanisme standardisé basé sur HTTP permettant aux appareils de demander, recevoir et renouveler des certificats X.509 sans nécessiter d'identifiants liés au domaine ni d'intervention manuelle d'un administrateur. Le protocole a été initialement développé au début des années 2000 et a été largement adopté dans les environnements MDM d'entreprise avant que l'IETF ne le publie officiellement sous la forme du RFC 8894.

Le flux d'enrôlement en six étapes fonctionne comme suit. Premièrement, l'appareil géré se connecte à l'URL de la passerelle SCEP préconfigurée dans son profil MDM. Deuxièmement, l'appareil génère localement une paire de clés privée/publique et crée une demande de signature de certificat (CSR). Troisièmement, la passerelle SCEP valide l'autorisation de l'appareil à l'aide d'un mot de passe de défi ou d'un OTP intégré dans la politique MDM. Quatrièmement, la passerelle transmet la CSR validée à l'AC. Cinquièmement, l'AC signe le certificat et le renvoie à la passerelle. Sixièmement, la passerelle délivre le certificat signé à l'appareil. Les futurs renouvellements suivent le même chemin automatisé - l'appareil se ré-enrôle avant l'expiration sans aucune action de l'utilisateur ou de l'administrateur.

SCEP vs PKCS : la décision qui compte

Microsoft Intune et la plupart des plateformes MDM prennent en charge deux mécanismes de délivrance de certificats : SCEP et PKCS. La distinction est d'ordre architectural et non cosmétique.

Avec SCEP, la clé privée est générée sur l'appareil et y reste. L'AC ne la voit jamais. Le TPM de l'appareil (sur Windows) ou la Secure Enclave (sur iOS/macOS) protège la clé au niveau matériel. Avec PKCS, l'AC génère la paire de clés de manière centralisée et la transmet à l'appareil via le réseau. L'AC en conserve une copie, ce qui permet le séquestre de clés - utile pour le chiffrement des e-mails S/MIME mais introduisant un risque inutile pour l'authentification réseau.

Pour l'authentification WiFi 802.1X, utilisez SCEP. La clé privée ne quitte jamais l'appareil. C'est la règle.

Critère	SCEP	PKCS
Clé privée générée sur	Appareil	AC (centralisée)
Clé privée transmise sur le réseau	Jamais	Oui
Prise en charge TPM / Secure Enclave	Oui	Non
Recommandé pour l'authentification WiFi	Oui	Non
Recommandé pour le chiffrement des e-mails (S/MIME)	Non	Oui
Séquestre de clés possible	Non	Oui

802.1X et EAP-TLS : le framework d'authentification

L'IEEE 802.1X est la norme de contrôle d'accès réseau basé sur les ports qui sous-tend la sécurité du WiFi d'entreprise. Elle définit trois rôles : le suppliant (l'appareil client), l'authentificateur (le point d'accès - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet) et le serveur d'authentification (un serveur RADIUS tel que Microsoft NPS, FreeRADIUS ou Cisco ISE).

EAP-TLS est la méthode EAP la plus sécurisée pour le 802.1X. Les deux parties présentent des certificats : le serveur RADIUS présente son certificat au client, et le client présente son certificat fourni par SCEP au serveur RADIUS. Aucune des parties ne peut usurper l'identité de l'autre sans un certificat valide et non révoqué provenant de la hiérarchie de l'autorité de certification (CA) de confiance. Ce modèle d'authentification mutuelle élimine le vol d'identifiants, les attaques de type Evil Twin et les risques de points d'accès malveillants en une seule décision d'architecture.

EAP-TLS répond à l'exigence 8.6 de la norme PCI DSS 4.0 concernant l'authentification multifacteur au niveau de la couche réseau. Il est requis pour les déploiements WPA3 Enterprise 192 bits (Suite B). Pour tout réseau sans fil entrant dans le périmètre du traitement des données des titulaires de cartes (points de vente au détail, réception d'hôtel, billetterie de stade), EAP-TLS est le choix qui s'impose.

Pour une analyse plus approfondie de l'architecture secure WiFi et de la manière dont l'authentification par certificat s'intègre dans une stratégie de sécurité plus large, consultez notre guide essentiel.

Guide de mise en œuvre

La séquence de déploiement n'est pas négociable. Intune et Jamf résolvent les dépendances de profils dans l'ordre : le profil WiFi dépend du profil SCEP, qui dépend lui-même du profil de racine de confiance (Trusted Root). Si vous les déployez dans le désordre, l'application du profil WiFi échouera.

Étape 1 : Concevoir votre PKI

Avant de toucher à une console MDM, concevez votre hiérarchie de certificats. Une infrastructure PKI à deux niveaux est la norme : une autorité de certification racine hors ligne et une autorité de certification émettrice en ligne. La clé privée de l'autorité de certification racine est l'ancre de confiance maîtresse de toute votre infrastructure de certificats : conservez-la hors ligne (air-gapped). L'autorité de certification émettrice gère la délivrance quotidienne des certificats et publie la liste de révocation de certificats (CRL) ainsi que le répondeur OCSP.

Pour la plupart des déploiements sur des sites d'envergure, Microsoft Active Directory Certificate Services (AD CS) fonctionnant sur Windows Server fournit l'autorité de certification émettrice. Les services PKI hébergés dans le cloud de fournisseurs tels que SCEPman ou SecureW2 éliminent totalement le besoin d'infrastructure sur site et méritent d'être évalués pour les déploiements de parcs distribués au sein de groupes hôteliers, de chaînes de magasins ou d'organisations du secteur public multi-sites.

Étape 2 : Déployer le serveur NDES (ou la passerelle SCEP cloud)

NDES (Network Device Enrollment Service) est le rôle Windows Server de Microsoft qui fait office de passerelle SCEP entre votre MDM et votre autorité de certification. Principales exigences de configuration :

Publiez l'URL NDES en externe via le proxy d'application Azure AD (ou un proxy inverse équivalent). Cela permet aux appareils distants de s'enregistrer avant leur arrivée sur site, sans ouvrir de ports de pare-feu entrants.
Le compte de service NDES requiert les autorisations de lecture et d'inscription (Read and Enroll) sur le modèle de certificat de l'autorité de certification.
Configurez le modèle de certificat avec l'utilisation de la clé (Key Usage) définie sur Signature numérique (Digital Signature) et Chiffrement de clé (Key Encipherment), et l'utilisation étendue de la clé (Extended Key Usage) définie sur Authentification client (Client Authentication - OID : 1.3.6.1.5.5.7.3.2).
Définissez une période de validité de certificat appropriée. Un an est la norme pour les certificats clients ; deux ans sont acceptables pour les certificats d'appareils au sein de parcs stables.

Si vous préférez éviter une infrastructure NDES sur site, les passerelles SCEP cloud s'intègrent directement à Intune et à votre autorité de certification via API, supprimant ainsi complètement toute dépendance à IIS.

Étape 3 : Déployer le profil de certificat racine approuvé

Dans votre plateforme MDM, créez un profil de certificat approuvé et importez votre certificat de CA racine (ainsi que tous les certificats de CA intermédiaires) sous forme de fichiers .cer. Déployez ce profil sur vos groupes d'appareils cibles avant tout autre profil de certificat ou de WiFi. Sans cette étape, les appareils ne peuvent pas valider le certificat du serveur RADIUS lors de la liaison EAP-TLS, et ils ne peuvent pas faire confiance à la CA émettrice lors de la demande de leur propre certificat SCEP.

Règle d'or : Ciblez toujours le même groupe Azure AD (soit Utilisateurs, soit Appareils) pour les trois profils associés. Une non-concordance à ce niveau est la cause la plus fréquente d'échec du déploiement des profils WiFi.

Étape 4 : Configurer le profil de certificat SCEP

Créez un profil de configuration de certificat SCEP dans votre MDM :

Format du nom de l'objet : Pour l'authentification basée sur l'utilisateur, utilisez CN={{UserPrincipalName}}. Pour l'authentification basée sur l'appareil (recommandée pour les appareils partagés et l'IoT), utilisez CN={{AAD_Device_ID}}.
Utilisation de la clé : Signature numérique, Chiffrement de la clé (Key Encipherment).
Utilisation étendue de la clé : Authentification client (OID : 1.3.6.1.5.5.7.3.2).
URL du serveur SCEP : L'URL NDES publiée en externe.
Certificat racine : Associez-le au profil racine approuvé de l'étape 3.
Période de validité du certificat : Doit correspondre au modèle configuré sur la CA.

Étape 5 : Déployer le profil WiFi 802.1X

Créez un profil de configuration WiFi :

SSID : Saisissez le nom du réseau exactement tel qu'il est diffusé par vos points d'accès.
Type de sécurité : WPA2-Enterprise ou WPA3-Enterprise.
Type d'EAP : EAP-TLS.
Certificat d'authentification client : Sélectionnez le profil de certificat SCEP de l'étape 4.
Validation du serveur : Spécifiez le certificat de confiance racine de l'étape 3 et saisissez le nom attendu du serveur RADIUS. Cela empêche les appareils de se connecter à des points d'accès pirates présentant des certificats frauduleux.

Bonnes pratiques

Imposer une vérification stricte de la CRL sur votre serveur RADIUS

La révocation de certificat est le contrôle opérationnel qui comble le fossé entre la désactivation d'un compte et le blocage de l'accès au réseau. Lorsqu'un appareil est perdu, volé, ou qu'un employé quitte l'entreprise, désactivez le compte AD et révoquez le certificat au niveau de la CA. Votre serveur RADIUS doit être configuré pour vérifier la CRL à chaque tentative d'authentification. Si la CRL est indisponible – parce que le point de distribution CRL (CDP) est injoignable – la plupart des serveurs RADIUS échouent par défaut en mode ouvert, ce qui constitue un risque de sécurité. Assurez-vous que vos CDP sont hautement disponibles et que votre serveur RADIUS est configuré pour échouer en mode fermé si la CRL ne peut pas être récupérée.

Pour une révocation en temps réel, configurez le protocole OCSP (Online Certificate Status Protocol) en plus de la CRL. L'OCSP fournit des réponses sur l'état de chaque certificat sans que le serveur RADIUS n'ait besoin de télécharger et d'analyser l'intégralité de la CRL.

Utilisez des certificats d'appareil pour les appareils partagés et l'IoT

Pour les appareils partagés (tablettes du personnel d'étage d'un hôtel, terminaux de point de vente dans le commerce, lecteurs de contrôle d'accès dans les stades), utilisez des certificats d'appareil plutôt que des certificats d'utilisateur. Les certificats d'appareil sont liés à l'identité de la machine, et non à un compte utilisateur. Cela signifie que l'appareil s'authentifie quel que soit l'utilisateur connecté, et la révocation est liée à la fiche de l'appareil plutôt qu'au départ d'un employé.

Pour les déploiements dans le secteur du retail , les certificats d'appareil sur le matériel de point de vente répondent également aux exigences PCI DSS concernant l'identité des appareils au niveau de la couche réseau, sans ajouter de complexité liée aux identifiants des utilisateurs sur le point de vente.

Automatisez le renouvellement des certificats

Le protocole SCEP prend en charge le renouvellement automatique : la solution MDM demande à l'appareil de se réenregistrer avant l'expiration du certificat. Configurez votre profil SCEP pour déclencher le renouvellement à 20 % de la période de validité restante du certificat. Pour un certificat d'un an, le renouvellement commence environ 73 jours avant l'expiration. Cette marge de manœuvre offre suffisamment de temps pour résoudre d'éventuels échecs de renouvellement avant que le certificat n'expire et que les appareils ne perdent leur accès au réseau.

Les certificats expirés qui provoquent des pannes d'authentification massives sont l'incident opérationnel le plus fréquent dans les déploiements 802.1X. Le renouvellement automatisé via SCEP élimine entièrement ce risque.

Segmentez vos réseaux par attribut de certificat

Les serveurs RADIUS peuvent lire les attributs de certificat (Subject, SAN ou OID personnalisés) et les utiliser pour attribuer de manière dynamique des VLAN aux appareils. Une tablette du personnel d'étage dotée d'un certificat émis à partir du modèle HousekeepingDevices se retrouve sur le VLAN dédié au personnel d'étage. Un terminal de point de vente disposant d'un certificat issu du modèle RetailPOS atterrit sur le VLAN concerné par la norme PCI. Il s'agit d'une segmentation réseau renforcée par cryptographie, bien plus fiable que les approches basées sur l'SSID ou sur les adresses MAC.

Pour les opérateurs du secteur de l' hospitality qui gèrent un réseau WiFi Invité aux côtés du WiFi Personnel sur la même infrastructure physique, l'attribution de VLAN via les attributs de certificat garantit que les invités et le personnel se trouvent toujours sur des segments de réseau distincts, quel que soit l'SSID auquel un appareil se connecte.

Dépannage et atténuation des risques

Le profil WiFi affiche « Erreur » ou « Non applicable » dans Intune

Cause racine : Mauvaise correspondance dans le ciblage des groupes. Le profil SCEP est attribué à un groupe différent de celui du profil WiFi. Intune ne peut pas résoudre la dépendance de certificat.

Solution : Examinez les trois profils (Racine approuvée, SCEP, WiFi). Assurez-vous qu'ils sont tous attribués exactement au même groupe Azure AD. Si vous déployez vers des Utilisateurs, les trois profils doivent cibler un groupe d'utilisateurs. Si vous déployez vers des Appareils, les trois doivent cibler un groupe d'appareils.

NDES renvoie des erreurs HTTP 403

Cause racine : Le compte de service Intune Certificate Connector ne dispose pas des autorisations de lecture ou d'inscription sur le modèle de certificat de l'autorité de certification, ou le filtrage d'URL du pare-feu bloque les chaînes de requête SCEP.Correction : Vérifiez que le compte du connecteur dispose des autorisations Lecture et Inscription sur le modèle dans la console de l'AC. Vérifiez les journaux du pare-feu pour détecter les requêtes bloquées contenant ?operation=GetCACaps ou ?operation=PKIOperation. Ces chaînes de requête doivent passer sans modification.

Les appareils ne parviennent pas à renouveler les certificats avant leur expiration

Cause racine : La fenêtre de renouvellement SCEP est trop courte, ou le serveur NDES est inaccessible au moment du renouvellement.

Correction : Définissez le seuil de renouvellement à 20 % de la validité du certificat. Assurez-vous que l'URL NDES est publiée via un proxy inverse hautement disponible. Surveillez les journaux IIS de NDES pour détecter les échecs de demande de renouvellement et générez des alertes de manière proactive.

RADIUS rejette les certificats valides

Cause racine : Le magasin d'AC de confiance du serveur RADIUS n'inclut pas le certificat de l'AC émettrice, ou la CRL est obsolète.

Correction : Importez la chaîne d'AC complète (AC racine + AC émettrice) dans le magasin de confiance du serveur RADIUS. Vérifiez que la CRL est récupérée avec succès et que l'URL CDP est accessible depuis le serveur RADIUS. Vérifiez l'horodatage de la prochaine mise à jour de la CRL - s'il est dépassé, l'AC doit publier une nouvelle CRL.

Pour des considérations plus larges sur les performances du réseau parallèlement à la sécurité, consultez notre guide de gestion de la bande passante .

ROI et impact commercial

L'analyse de rentabilisation pour l'enrôlement de certificats basé sur SCEP est simple. Le WiFi basé sur mot de passe génère un volume prévisible de tickets d'assistance : expirations de mots de passe, verrouillages, partage d'identifiants par le personnel avec des invités, et frictions d'intégration pour les nouveaux arrivants. L'authentification par certificat est invisible pour l'utilisateur final. Les appareils se connectent automatiquement. Il n'y a pas de mots de passe à expirer, à partager ou à oublier.

Les entreprises qui migrent d'un WiFi basé sur mot de passe vers l'EAP-TLS avec SCEP signalent généralement une réduction de 70 à 80 % des tickets d'assistance liés au WiFi (données internes de Purple, 2024, basées sur des déploiements dans les secteurs de l'hôtellerie et du commerce de détail). L'économie réalisée sur le support technique justifie souvent à elle seule le coût de mise en œuvre dès la première année.

L'impact sur la conformité est tout aussi concret. L'EAP-TLS répond à l'exigence 8.6 de la norme PCI DSS 4.0 relative à l'authentification multifacteur au niveau de la couche réseau. Pour les environnements de santé , il s'aligne sur les exigences de protection technique HIPAA pour l'accès aux réseaux sans fil. Pour les organisations du secteur public, il soutient les exigences de certification NCSC Cyber Essentials Plus pour le contrôle d'accès au réseau.

Pour les opérateurs de transport — franchises ferroviaires, exploitants d'aéroports, réseaux de bus — l'authentification par certificat sur les appareils du personnel garantit que les réseaux opérationnels transportant des données critiques pour la sécurité sont isolés du WiFi des passagers et protégés contre les attaques basées sur les identifiants.

La plateforme WiFi Analytics de Purple s'intègre aux réseaux sécurisés par 802.1X pour fournir des informations basées sur des données de première partie, sans compromettre la posture de sécurité de l'infrastructure sous-jacente. Les 29 milliards de points de données collectés sur le réseau de Purple démontrent que la sécurité et l'analyse sont des objectifs complémentaires et non concurrents.

Pour la gestion des retours et de l'expérience parallèlement au déploiement de votre réseau sécurisé, consultez notre guide méthodologique sur les retours d'expérience en établissement .

Définitions clés

SCEP (Simple Certificate Enrollment Protocol)

Un protocole standardisé par l'IETF (RFC 8894) qui automatise l'enregistrement des certificats X.509 pour les appareils gérés. L'appareil génère sa propre clé privée localement et envoie uniquement une demande de signature de certificat (CSR) à l'autorité de certification (CA) via une passerelle. La clé privée ne quitte jamais l'appareil.

Les équipes informatiques rencontrent SCEP lors de la configuration des plateformes MDM (Intune, Jamf) pour déployer des certificats d'authentification WiFi à grande échelle. C'est le mécanisme recommandé pour les déploiements 802.1X EAP-TLS car la clé privée est protégée par le matériel sur le terminal.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

La méthode d'authentification 802.1X la plus sécurisée. L'appareil client et le serveur RADIUS présentent tous deux des certificats X.509. Aucune des deux parties ne peut s'authentifier sans un certificat valide et non révoqué provenant de la hiérarchie de l'autorité de certification (CA) de confiance.

EAP-TLS est le protocole d'authentification cible activé par le déploiement de certificats SCEP. Il répond à l'exigence 8.6 de PCI DSS 4.0 et est requis pour les déploiements WPA3 Enterprise 192 bits (Suite B).

PKCS (Public Key Cryptography Standards)

Un mécanisme de distribution de certificats dans lequel l'autorité de certification (CA) génère la paire de clés publique et privée de manière centralisée et les transmet au terminal. L'autorité de certification conserve une copie de la clé privée, ce qui permet le séquestre de clés.

Les équipes informatiques choisissent entre SCEP et PKCS lors de la configuration des profils de certificat dans Intune. PKCS est adapté au chiffrement des e-mails S/MIME où le séquestre de clés est requis. Il n'est pas recommandé pour l'authentification WiFi car la clé privée est transmise sur le réseau.

NDES (Network Device Enrollment Service)

Un rôle Windows Server de Microsoft qui sert de passerelle SCEP entre une plateforme MDM et une autorité de certification (CA). Il valide les demandes d'enregistrement des appareils et transmet les CSR à l'autorité de certification.

NDES est un composant d'infrastructure requis pour les déploiements SCEP sur site avec Microsoft Intune. Il doit être publié en externe via un proxy d'application pour permettre aux appareils distants de s'enregistrer. Les passerelles SCEP dans le cloud constituent une alternative qui élimine la dépendance à NDES sur site.

CRL (Certificate Revocation List)

Une liste publiée par l'autorité de certification (CA) contenant les numéros de série des certificats qui ont été révoqués avant leur date d'expiration. Les serveurs RADIUS consultent la CRL pour s'assurer que les appareils dotés de certificats révoqués ne peuvent pas s'authentifier.

La vérification de la CRL est le contrôle opérationnel qui applique la révocation des certificats. Les équipes informatiques doivent configurer leur serveur RADIUS pour vérifier la CRL à chaque tentative d'authentification et s'assurer que le point de distribution de la CRL (CDP) est hautement disponible.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Elle définit le framework d'authentification tripartite (supplicant, authentificateur, serveur d'authentification) utilisé dans les réseaux WiFi d'entreprise et les réseaux filaires.

802.1X est le framework au sein duquel fonctionnent EAP-TLS et SCEP. Les équipes informatiques y sont confrontées lors de la configuration des SSID WPA2-Enterprise ou WPA3-Enterprise et lors de la configuration des politiques de serveurs RADIUS.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une authentification, une autorisation et une comptabilité (AAA) centralisées pour l'accès au réseau. Dans les déploiements 802.1X, le serveur RADIUS valide les certificats des clients et applique les politiques d'attribution de VLAN.

Le serveur RADIUS est le point de décision d'authentification dans chaque déploiement 802.1X. Les implémentations courantes incluent Microsoft NPS, FreeRADIUS et Cisco ISE. Il doit être configuré avec la chaîne de l'autorité de certification (CA) de confiance et une vérification stricte de la CRL ou de l'OCSP.

CSR (Certificate Signing Request)

Un bloc de texte codé généré par un appareil qui contient sa clé publique et ses informations d'identité. L'appareil envoie la CSR à l'autorité de certification (via la passerelle SCEP) pour demander un certificat signé. La clé privée correspondante est générée et conservée sur l'appareil.

La CSR est l'élément central du flux d'enregistrement SCEP. Les équipes informatiques configurent le format de la CSR (nom du sujet, utilisation de la clé, EKU) dans le profil de certificat SCEP au sein de leur plateforme MDM.

PKI (Public Key Infrastructure)

L'ensemble du matériel, des logiciels, des politiques et des procédures nécessaires pour créer, gérer, distribuer et révoquer des certificats numériques. Une PKI d'entreprise standard comprend une autorité de certification (CA) racine hors ligne et une autorité de certification émettrice en ligne.

La PKI est le prérequis de tout déploiement EAP-TLS. Les équipes informatiques doivent concevoir et déployer une hiérarchie de CA à deux niveaux avant de configurer SCEP. Les services de PKI hébergés dans le cloud réduisent la charge d'infrastructure pour les déploiements sur des parcs distribués.

VLAN (Virtual Local Area Network)

Un segment de réseau logique qui isole le trafic au niveau de la couche 2. Dans les déploiements 802.1X, les serveurs RADIUS attribuent dynamiquement les appareils aux VLAN en fonction des attributs du certificat, de l'identité de l'utilisateur ou de la politique.

L'attribution de VLAN via RADIUS est le mécanisme qui applique la segmentation du réseau dans le WiFi d'entreprise. Les équipes informatiques l'utilisent pour séparer les terminaux de point de vente sur des VLAN dédiés PCI, les appareils des invités sur des VLAN réservés à Internet, et les appareils du personnel sur les VLAN de l'entreprise - le tout à partir d'une seule infrastructure physique.

Exemples concrets

Un établissement Premier Inn de 200 chambres doit déployer un WiFi sécurisé pour 150 appareils de ménage iOS. Le personnel partage actuellement un mot de passe WPA2-Personal avec les clients, ce qui crée un risque de conformité et d'exploitation. Le directeur informatique doit éliminer le mot de passe partagé sans perturber les opérations quotidiennes.

Le directeur informatique implémente un déploiement SCEP piloté par Jamf en trois phases. Phase une : le certificat Root CA est poussé vers les 150 appareils iOS via un profil de certificat approuvé Jamf, ciblant le groupe intelligent "Housekeeping Devices". Phase deux : un profil de certificat SCEP est déployé, orientant les appareils vers un serveur NDES publié via Azure AD App Proxy. Le nom de l'objet utilise CN={{SERIALNUMBER}} pour lier le certificat au matériel de l'appareil. Phase trois : un profil WiFi WPA2-Enterprise est poussé, spécifiant EAP-TLS et le liant au certificat SCEP. Les appareils s'authentifient de manière silencieuse. L'SSID au mot de passe partagé est mis hors service. Le serveur RADIUS est configuré avec une vérification stricte de la CRL et une attribution de VLAN : les appareils de ménage se connectent au VLAN 20 (opérations), les appareils des clients au VLAN 10 (internet uniquement).

Commentaire de l'examinateur : Les décisions de conception clés ici sont l'utilisation de certificats d'appareil (et non de certificats utilisateur) pour le matériel partagé, et l'attribution de VLAN via les attributs du certificat plutôt que par l'SSID. Cela signifie qu'un appareil qui se connecterait d'une manière ou d'une autre à l'SSID invité se retrouve tout de même sur le bon VLAN. La configuration de la vérification de la CRL est non négociable : lorsqu'un membre du personnel de ménage s'en va, le certificat de l'appareil est révoqué au niveau de la CA, et le serveur RADIUS bloque l'accès dans l'intervalle de rafraîchissement de la CRL - généralement 15 minutes avec OCSP, ou jusqu'à une heure avec la CRL.

Une chaîne de vente au détail de 500 points de vente doit sécuriser le WiFi d'entreprise pour des tablettes POS Windows exécutant un logiciel de traitement des paiements. La conformité PCI DSS 4.0 exige une authentification multifacteur au niveau de la couche réseau. La configuration WPA2-Personal actuelle échoue à l'évaluation de l'exigence 8.6 de la norme PCI DSS.

L'architecte réseau déploie EAP-TLS via Microsoft Intune et SCEP sur l'ensemble des 500 points de vente. Le déploiement utilise des certificats d'appareil avec CN={{AAD_Device_ID}} comme nom d'objet, liant chaque certificat à l'enregistrement de l'appareil dans Intune. La séquence à trois profils (Trusted Root, SCEP, WiFi) est déployée sur le groupe Azure AD "POS Devices" - le même groupe pour les trois profils. Le serveur RADIUS attribue les appareils POS à un VLAN dédié au périmètre PCI (VLAN 100) en fonction du modèle d'émission du certificat. La CRL est publiée sur un point de terminaison hautement disponible hébergé sur un CDN avec une fenêtre de validité de quatre heures. OCSP est activé pour la vérification des révocations en temps réel. Le déploiement est validé par rapport à l'exigence 8.6 de la norme PCI DSS 4.0 par le QSA.

Commentaire de l'examinateur : L'alignement avec PCI DSS est obtenu par la combinaison d'EAP-TLS (quelque chose que vous possédez - le certificat) et de l'identité de l'appareil liée à l'enregistrement Intune (quelque chose que vous êtes - l'appareil géré enrôlé). L'attribution de VLAN via le modèle de certificat garantit que les appareils POS se trouvent toujours sur le segment de réseau du périmètre PCI, quel que soit l'emplacement physique parmi les 500 sites. Le point de terminaison de la CRL hébergé sur un CDN est une décision critique pour la fiabilité : si la CRL est inaccessible, l'authentification échoue, provoquant une panne sur l'ensemble du site. La haute disponibilité de la CRL est tout aussi importante que la haute disponibilité du serveur RADIUS lui-même.

Questions d'entraînement

Q1. Vous avez déployé des profils de certificat Racine approuvée et SCEP sur le groupe d'utilisateurs « Tous les collaborateurs » dans Intune. Vous déployez ensuite le profil WiFi sur le groupe d'appareils « Appareils de l'entreprise ». Les appareils reçoivent les certificats, mais le profil WiFi affiche « Erreur » dans la console Intune. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Considérez comment Intune résout les dépendances entre les profils et ce qui se passe lorsque les profils ciblent différents types de groupes.

Voir la réponse type

La cause principale est une incohérence de ciblage de groupe. Le profil WiFi dépend du profil SCEP, qui dépend lui-même du profil Racine approuvée. Intune ne peut pas résoudre ces dépendances lorsque les profils ciblent différents types de groupes (Utilisateurs vs Appareils). Solution : redéployez les trois profils sur le même groupe. Si le profil WiFi cible « Appareils de l'entreprise » (un groupe d'appareils), les profils SCEP et Racine approuvée doivent également cibler « Appareils de l'entreprise ». Alternativement, déplacez les trois vers un groupe d'utilisateurs si une authentification basée sur l'utilisateur est requise.

Q2. L'iPad d'un agent d'entretien d'hôtel est signalé comme volé. Vous désactivez immédiatement le compte Active Directory de l'agent. Le lendemain matin, l'iPad volé se connecte toujours au réseau WPA2-Enterprise de l'hôtel. Pourquoi, et quelles sont les deux mesures à prendre pour empêcher cela ?

Conseil : Pensez à ce que le serveur RADIUS valide réellement lors de l'authentification EAP-TLS et aux contrôles qui régissent la validité des certificats.

Voir la réponse type

La désactivation du compte AD ne révoque pas le certificat client stocké sur l'iPad. Le serveur RADIUS valide le certificat, et non l'état du compte AD, lors de l'authentification EAP-TLS. Les deux actions requises sont : (1) révoquer le certificat de l'appareil au niveau de l'AC — cela ajoute le numéro de série du certificat à la CRL ; (2) s'assurer que le serveur RADIUS est configuré avec une vérification stricte de la CRL afin qu'il récupère la CRL mise à jour et rejette le certificat révoqué lors de la tentative d'authentification suivante. Pour une révocation plus rapide, configurez l'OCSP sur le serveur RADIUS pour des vérifications de l'état des certificats en temps réel.

Q3. Une chaîne de magasins déploie du WiFi 802.1X sur 500 points de vente. L'architecte sécurité propose d'utiliser la distribution de certificats PKCS au lieu de SCEP pour éviter de déployer un serveur NDES. L'évaluateur QSA examinant la conformité PCI DSS 4.0 soulève une objection. Quelle est cette objection et quelle est la recommandation correcte ?

Conseil : Considérez ce que stipule la norme GDPR / PCI DSS concernant la gestion des clés privées et ce que fait PKCS avec la clé privée lors de la transmission.

Voir la réponse type

L'objection du QSA réside dans le fait que PKCS transmet la clé privée sur le réseau depuis l'AC vers l'appareil. L'exigence 3.5 de la norme PCI DSS 4.0 impose que les clés privées utilisées pour l'authentification soient protégées contre la divulgation. Transmettre la clé privée sur le réseau — même chiffrée — introduit un risque que SCEP élimine entièrement. La recommandation correcte est d'utiliser SCEP, où la clé privée est générée directement sur l'appareil du point de vente et ne le quitte jamais. Pour éviter d'installer une infrastructure NDES sur site, l'architecte devrait évaluer un service de passerelle SCEP cloud qui s'intègre directement avec Intune et l'AC via API.

Q4. Vous concevez un réseau WiFi pour un grand centre de congrès qui accueille plus de 50 événements par an. Les appareils du personnel doivent être connectés à un réseau sécurisé 802.1X. Vous souhaitez vous assurer que si l'appareil d'un prestataire est compromis, il puisse être isolé du réseau sous 15 minutes. Quel mécanisme de révocation de certificat configurez-vous et pourquoi ?

Conseil : Comparez la CRL et l'OCSP en termes de latence de révocation et déterminez ce qui régit la rapidité avec laquelle un serveur RADIUS réagit à une révocation.

Voir la réponse type

Configurez l'OCSP (Online Certificate Status Protocol) sur le serveur RADIUS. La révocation basée sur la CRL présente une latence définie par la période de validité de la CRL — généralement de une à 24 heures — ce qui signifie qu'un certificat révoqué peut toujours s'authentifier jusqu'à ce que le serveur RADIUS télécharge la CRL suivante. L'OCSP fournit des réponses de statut en temps réel pour chaque certificat : lorsqu'un certificat est révoqué au niveau de l'AC, le répondeur OCSP renvoie immédiatement un statut « révoqué » lors de la requête suivante. Avec l'OCSP configuré sur le serveur RADIUS, le certificat du prestataire révoqué est bloqué dès la tentative d'authentification suivante, généralement en quelques secondes. Veillez à ce que le répondeur OCSP soit hautement disponible — s'il est inaccessible et que le serveur RADIUS est configuré pour bloquer l'accès en cas d'échec de validation, toutes les authentifications échoueront.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Comprendre Cisco SUDI : l'identité matérielle des périphériques dans le contrôle d'accès au réseau

Ce guide détaille l'architecture technique de Cisco SUDI, en expliquant comment l'identité ancrée au niveau matériel sécurise le contrôle d'accès au réseau. Il fournit des étapes de mise en œuvre concrètes pour les responsables informatiques afin de déployer l'authentification 802.1X EAP-TLS et d'automatiser le Zero Touch Provisioning sur les sites de l'entreprise.