Gestion des certificats numériques pour l'authentification WiFi EAP-TLS
Ce guide de référence technique détaille la gestion du cycle de vie des certificats numériques pour l'authentification WiFi EAP-TLS. Il fournit des stratégies concrètes pour le déploiement, le renouvellement et la révocation des certificats à grande échelle sur les réseaux d'entreprise à l'aide des intégrations SCEP et MDM.
Écouter ce guide
Voir la transcription du podcast
- Résumé exécutif
- Analyse technique approfondie
- Architecture PKI à trois niveaux
- Durée de vie des certificats et normes cryptographiques
- Guide d'implémentation
- Étape 1 : Établir la chaîne de confiance
- Étape 2 : Automatiser l'émission via SCEP
- Étape 3 : Configurer les politiques RADIUS
- Bonnes pratiques
- Dépannage et atténuation des risques
- Échecs de l'ancre de confiance
- Échéances d'expiration
- Expirations OCSP
- ROI et impact commercial

Résumé exécutif
La gestion des certificats numériques pour l'authentification WiFi EAP-TLS représente un défi opérationnel majeur pour les équipes IT d'entreprise. Alors que les organisations abandonnent l'authentification basée sur les identifiants pour s'aligner sur la conformité Zero Trust, la charge opérationnelle passe de la réinitialisation des mots de passe à la gestion du cycle de vie des certificats. Ce guide détaille les modèles d'architecture requis pour déployer, renouveler et révoquer des certificats côté client à grande échelle au sein d'environnements complexes.
Pour les CTO et les architectes réseau, l'objectif est clair : implémenter une infrastructure de clés publiques (PKI) robuste qui s'intègre parfaitement aux plateformes de Mobile Device Management (MDM) existantes. En automatisant l'émission de certificats via le protocole SCEP (Simple Certificate Enrolment Protocol) et en exécutant une révocation en temps réel, toute intervention manuelle est éliminée. Cette approche sécurise le périmètre réseau, répond aux cadres de conformité, y compris PCI-DSS 4.0, et garantit une connectivité continue pour plus de 80 000 sites physiques exécutant du matériel d'entreprise.
Analyse technique approfondie
Le protocole EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) représente la référence absolue pour le contrôle d'accès réseau 802.1X. Il impose une authentification mutuelle. Le serveur RADIUS présente son certificat pour prouver son identité au client, tandis que le client présente son certificat pour prouver son identité au réseau.
Architecture PKI à trois niveaux
Une hiérarchie PKI plate introduit un risque inacceptable. Le modèle recommandé est une architecture à trois niveaux :
- Autorité de certification racine (Root CA) : L'ancre de confiance ultime. Ce serveur reste hors ligne et physiquement isolé (air-gapped) du réseau. Sa seule fonction est de signer les certificats des CA intermédiaires.
- CA intermédiaire (Issuing CA) : Ce serveur reste en ligne et gère la signature quotidienne des certificats des clients et des serveurs. S'il est compromis, il peut être révoqué par la Root CA sans avoir à reconstruire toute l'infrastructure de confiance.
- Certificats d'entité finale : Ce sont les certificats réels déployés sur les serveurs RADIUS et les appareils clients.

Durée de vie des certificats et normes cryptographiques
Le secteur impose des durées de vie de certificats plus courtes afin de limiter la fenêtre d'exposition en cas de compromission d'une clé. Alors que les certificats TLS publics sont limités à 398 jours, les certificats clients internes utilisés pour l'authentification WiFi utilisent généralement une période de validité de 365 jours.
Les exigences cryptographiques imposent un minimum de clés RSA 2048 bits ou de cryptographie sur les courbes elliptiques (ECC) utilisant la courbe P-256. Le mode WPA3-Enterprise 192 bits nécessite des suites de chiffrement spécifiques, et EAP-TLS est la seule méthode d'authentification qui répond pleinement à ces exigences.
Guide d'implémentation
Le déploiement de EAP-TLS sur des sites distribués nécessite une intégration étroite entre votre fournisseur d'identité, votre plateforme MDM et votre matériel réseau. L'overlay cloud de Purple s'intègre avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.
Étape 1 : Établir la chaîne de confiance
Avant qu'un appareil ne puisse s'authentifier, il doit faire confiance au serveur RADIUS. Déployez le certificat de l'AC racine sur tous les appareils gérés via votre MDM. Pour les appareils non gérés, vous devez fournir un portail d'intégration de bootstrapping pour installer le profil de confiance.
Étape 2 : Automatiser l'émission via SCEP
La génération manuelle de certificats n'est pas viable. Implémentez SCEP pour automatiser ce flux de travail :
- Le MDM (par exemple, Microsoft Intune) pousse une charge utile SCEP vers l'appareil.
- L'appareil génère une clé privée localement.
- L'appareil soumet une demande de signature de certificat (CSR) au serveur SCEP.
- L'AC émet le certificat, et l'appareil l'installe dans son keystore matériel sécurisé.
Étape 3 : Configurer les politiques RADIUS
Configurez votre serveur RADIUS pour exiger EAP-TLS. Assurez-vous que le serveur valide le nom alternatif du sujet (SAN) dans le certificat client par rapport à votre annuaire d'identité (Microsoft Entra ID, Okta ou Google Workspace) pour confirmer que le compte utilisateur est toujours actif.

Bonnes pratiques
- Automatiser le renouvellement anticipé : Configurez les profils MDM pour déclencher le renouvellement des certificats au moins 30 jours avant leur expiration. Cela évite les échecs d'authentification soudains sur l'ensemble des sites.
- Imposer les keystores matériels : Exigez que les clés privées soient générées et stockées dans le module de plateforme sécurisée (TPM) de l'appareil ou dans la Secure Enclave. Les clés doivent être configurées comme non exportables.
- Implémenter la révocation en temps réel : S'appuyer sur des listes de révocation de certificats (CRL) statiques introduit de la latence. Implémentez le protocole d'état de certificat en ligne (OCSP) afin que le serveur RADIUS puisse vérifier l'état du certificat en temps réel lors de l'authentification.
Dépannage et atténuation des risques
Les modes de défaillance les plus courants dans les déploiements EAP-TLS sont liés à la confiance et au temps.
Échecs de l'ancre de confiance
Si un appareil client rejette le certificat du serveur RADIUS, l'authentification échouera silencieusement. Cela se produit lorsque le certificat de l'AC racine est manquant dans le magasin de confiance de l'appareil. Vérifiez les journaux de déploiement MDM pour vous assurer que le profil de confiance est appliqué avant le profil WiFi. Pour d'autres diagnostics sur les problèmes de connectivité, consultez Dépannage du WiFi public : résoudre les erreurs « Connecté, pas d'Internet » et les échecs de redirection vers la page d'accueil .
Échéances d'expiration
L'émission simultanée de milliers de certificats crée un pic de renouvellement critique. Si le serveur SCEP subit une panne pendant cette fenêtre, les appareils seront déconnectés du réseau. Échelonnez les déploiements initiaux pour répartir la charge de renouvellement.
Expirations OCSP
Si le serveur RADIUS ne peut pas joindre le répondeur OCSP, il doit décider s'il autorise ou bloque l'accès par défaut. Pour les réseaux d'entreprise, le blocage par défaut est la pratique standard. Assurez-vous que votre infrastructure OCSP est hautement disponible et distribuée géographiquement.
ROI et impact commercial
La transition vers EAP-TLS nécessite un effort d'ingénierie initial, mais le retour opérationnel est significatif. Une organisation de 5 000 utilisateurs passe généralement 40 heures par mois à résoudre les réinitialisations de mots de passe et les verrouillages RADIUS causés par les rotations de mots de passe PEAP.
En automatisant le cycle de vie des certificats, vous pouvez éliminer ces tickets de support. De plus, vous répondez aux exigences strictes de contrôle d'accès de ISO 27001 et PCI-DSS, réduisant ainsi les coûts d'audit. Lorsqu'il est intégré avec le WiFi invité et l' Analyse WiFi , Purple offre une vue unifiée de l'accès réseau pour tous les types d'utilisateurs, simplifiant ainsi les rapports de conformité sur les sites distribués.
Définitions clés
EAP-TLS
Extensible Authentication Protocol with Transport Layer Security. Un cadre d'authentification qui exige que le client et le serveur prouvent tous deux leur identité à l'aide de certificats numériques.
La norme de l'industrie pour sécuriser les réseaux WiFi d'entreprise sans dépendre de mots de passe vulnérables.
SCEP
Simple Certificate Enrolment Protocol. Un protocole utilisé par les plateformes MDM pour automatiser de manière sécurisée la demande et l'installation de certificats numériques sur les appareils.
Essentiel pour faire évoluer les déploiements EAP-TLS au-delà de quelques dizaines d'appareils en éliminant la gestion manuelle des certificats.
RADIUS
Remote Authentication Dial-In User Service. Le protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation.
Le composant serveur qui valide le certificat client et indique au point d'accès d'accorder l'accès au réseau.
OCSP
Online Certificate Status Protocol. Un protocole internet utilisé pour obtenir en temps réel le statut de révocation d'un certificat numérique X.509.
Remplace les listes de révocation de certificats (CRL) statiques pour garantir qu'un certificat révoqué soit immédiatement bloqué sur le réseau.
Root CA
Autorité de certification racine. L'autorité cryptographique de premier niveau dans une infrastructure à clés publiques, utilisée pour signer les autorités de certification subordonnées.
Doit être conservé de manière hautement sécurisée et hors ligne pour protéger l'ensemble de la chaîne de confiance de l'organisation.
SAN
Subject Alternative Name. Une extension de la norme X.509 qui permet d'associer diverses valeurs à un certificat de sécurité, telles que des adresses e-mail ou des UPN.
Utilisé par le serveur RADIUS pour associer le certificat à un compte d'utilisateur spécifique dans l'annuaire d'identités.
MDM
Mobile Device Management. Logiciel utilisé par les services informatiques pour surveiller, gérer et sécuriser les appareils mobiles des employés.
Le mécanisme de distribution qui transmet la configuration SCEP et les profils WiFi aux appareils des utilisateurs finaux.
CRL
Certificate Revocation List. Une liste de certificats numériques qui ont été révoqués par l'autorité de certification émettrice avant leur date d'expiration prévue.
Une méthode héritée de vérification de la validité des certificats qui souffre de problèmes de latence par rapport à OCSP.
Exemples concrets
Un groupe hôtelier de 150 établissements doit sécuriser l'accès du personnel sur 3 000 appareils. Il utilise actuellement PEAP avec un mot de passe partagé renouvelé chaque trimestre, ce qui génère un volume important de demandes au support technique. Comment doit-il implémenter EAP-TLS ?
Déployez Microsoft Intune pour gérer tous les appareils de l'entreprise. Établissez une autorité de certification intermédiaire Microsoft ADCS intégrée à Intune via le connecteur de certificat Intune. Diffusez le certificat de l'autorité de certification racine (Root CA) sur tous les appareils, suivi d'un profil SCEP qui demande un certificat client d'une validité de 365 jours. Configurez le profil WiFi pour utiliser EAP-TLS et pointez vers les serveurs RADIUS connectés à Purple. Définissez le profil SCEP pour qu'il se renouvelle automatiquement lorsqu'il reste 20 % de durée de vie (73 jours).
Une chaîne de vente au détail a besoin d'un WiFi sécurisé pour ses terminaux de point de vente portables répartis dans 200 points de vente. Les appareils fonctionnent sous Android et perdent fréquemment la connectivité avec le serveur de gestion centralisé. Comment gérez-vous la révocation des certificats ?
Implémentez OCSP pour la vérification de la révocation en temps réel au niveau du serveur RADIUS. Configurez le serveur RADIUS pour interroger le répondeur OCSP à chaque tentative d'authentification. Si un terminal est signalé comme perdu, l'équipe de sécurité révoque le certificat dans l'autorité de certification. La prochaine fois que l'appareil tentera de s'associer à un point d'accès, le serveur RADIUS recevra une réponse "révoqué" de l'OCSP et refusera immédiatement l'accès.
Questions d'entraînement
Q1. Vous déployez EAP-TLS pour 2 000 ordinateurs portables d'entreprise. L'infrastructure SCEP est configurée, mais lors des tests, les ordinateurs portables ne parviennent pas à se connecter au WiFi. Les journaux RADIUS indiquent "CA inconnue". Quelle est la cause la plus probable ?
Conseil : Considérez l'ordre des opérations lors du déploiement des profils de confiance par rapport aux profils d'authentification.
Voir la réponse type
Les ordinateurs portables n'ont pas le certificat Root CA installé dans leur magasin de racines de confiance. L'MDM doit être configuré pour pousser le certificat Root CA vers les appareils avant de pousser le SCEP ou le profil WiFi EAP-TLS. Sans la Root CA, le client rejette le certificat du serveur RADIUS.
Q2. Un appareil compromis est signalé perdu. L'équipe informatique supprime l'appareil de l'MDM et révoque le certificat dans l'autorité de certification. Cependant, les tests révèlent que l'appareil peut encore se connecter au réseau pendant une durée allant jusqu'à 12 heures. Comment résolvez-vous cela ?
Conseil : Regardez comment le serveur RADIUS valide le statut du certificat.
Voir la réponse type
Le serveur RADIUS s'appuie probablement sur une Certificate Revocation List (CRL) qui n'est publiée ou téléchargée que toutes les 12 à 24 heures. Pour résoudre ce problème, implémentez le protocole OCSP et configurez le serveur RADIUS pour interroger le répondeur OCSP pour une validation en temps réel lors de chaque tentative d'authentification.
Q3. Vous concevez la politique de cycle de vie des certificats. L'équipe de sécurité souhaite des durées de vie de certificat de 30 jours pour minimiser les risques, mais l'équipe réseau s'inquiète de la charge du serveur SCEP et des coupures de connectivité. Quel est l'équilibre recommandé ?
Conseil : Considérez la différence entre les certificats web publics et l'infrastructure PKI interne gérée.
Voir la réponse type
Une période de validité de 365 jours avec un renouvellement automatique déclenché 60 ou 90 jours avant l'expiration offre l'équilibre optimal. Des durées de vie de 30 jours pour les certificats WiFi créent un risque opérationnel excessif si les appareils sont hors ligne pendant leur étroite fenêtre de renouvellement. La sécurité est maintenue grâce à une révocation OCSP robuste et en temps réel plutôt que par des durées de vie agressivement courtes.
Continuer la lecture de cette série
Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs
Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.
Passpoint et OpenRoaming : Le Guide Complet
Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.
Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur
Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.