Passer au contenu principal

Gestion des certificats numériques pour l'authentification WiFi EAP-TLS

Ce guide de référence technique détaille la gestion du cycle de vie des certificats numériques pour l'authentification WiFi EAP-TLS. Il fournit des stratégies concrètes pour le déploiement, le renouvellement et la révocation des certificats à grande échelle sur les réseaux d'entreprise à l'aide des intégrations SCEP et MDM.

📖 4 min de lecture📝 892 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Speak in British English with a confident, authoritative, and conversational tone - like a senior consultant briefing a client. Measured pace, clear diction, warm but direct. Occasional natural pauses for emphasis: Bienvenue dans la série de briefings techniques Purple. Aujourd'hui, nous parlons de la gestion des certificats EAP-TLS - plus précisément, comment gérer un programme d'authentification WiFi basé sur des certificats à grande échelle sans que cela ne devienne une charge opérationnelle à plein temps. [medium pause] Si vous êtes responsable du WiFi d'entreprise ou du personnel sur plusieurs sites - qu'il s'agisse d'un groupe hôtelier, d'un parc de magasins, d'un campus universitaire ou de bâtiments du secteur public - ce briefing est pour vous. Nous allons couvrir l'ensemble du cycle de vie des certificats : de la configuration de votre hiérarchie d'AC, en passant par le déploiement automatisé via SCEP et MDM, jusqu'au renouvellement et à la révocation. Et nous parlerons de ce qui peut mal tourner, parce que cela arrive, et de la façon d'éviter les pièges les plus courants. [medium pause] Commençons par les principes fondamentaux. EAP-TLS - c'est-à-dire Extensible Authentication Protocol avec Transport Layer Security - est la référence absolue pour l'authentification WiFi 802.1X. Contrairement à PEAP, qui repose sur un nom d'utilisateur et un mot de passe, EAP-TLS utilise une authentification mutuelle basée sur des certificats. L'appareil prouve son identité avec un certificat client. Le serveur RADIUS prouve son identité avec un certificat serveur. Les deux parties vérifient l'autre. Pas de mot de passe à hameçonner. Pas d'identifiant à voler. C'est pourquoi la norme PCI-DSS 4.0 et les directives zero-trust du NCSC orientent toutes deux vers une authentification basée sur des certificats pour les réseaux du personnel. [medium pause] Maintenant, l'architecture. Vous avez besoin de trois éléments pour faire fonctionner EAP-TLS. Premièrement, une infrastructure à clés publiques - votre hiérarchie d'AC. Deuxièmement, un mécanisme pour installer les certificats sur les appareils - c'est-à-dire SCEP ou votre plateforme MDM. Troisièmement, un serveur RADIUS qui fait confiance à votre AC et peut valider les certificats clients en temps réel. [medium pause] La hiérarchie d'AC est le domaine où la plupart des organisations rencontrent des difficultés dès le départ. Le modèle correct est un modèle à trois niveaux. Vous avez une AC racine au sommet - celle-ci doit être hors ligne, déconnectée physiquement (air-gapped), et mise en ligne uniquement pour signer le certificat de votre AC intermédiaire. L'AC intermédiaire - parfois appelée AC d'émission - est celle qui signe réellement les certificats au quotidien. Elle est en ligne, mais sa clé privée est bien protégée. En dessous, vous émettez deux types de certificats : les certificats serveurs pour votre infrastructure RADIUS, et les certificats clients pour vos appareils et utilisateurs. [medium pause] Pourquoi est-ce important ? Parce que si votre AC racine est compromise, vous devez reconstruire l'ensemble de votre infrastructure à clés publiques à partir de zéro et réinscrire chaque appareil. La maintenir hors ligne élimine ce risque. L'AC intermédiaire peut être remplacée sans toucher à la racine. C'est l'argument de la résilience opérationnelle en faveur du modèle à trois niveaux. [medium pause] Parlons des périodes de validité des certificats. Il y a eu un changement significatif au sein de l'industrie. Apple, Google et Mozilla ont tous pris des mesures pour imposer des durées de vie maximales plus courtes pour les certificats. Pour les certificats de serveur TLS, le maximum est désormais de 398 jours. Pour les certificats clients dans le cadre du WiFi d'entreprise, vous disposez de plus de flexibilité - un à deux ans est une durée courante - mais la tendance est aux durées de vie plus courtes et au renouvellement automatisé plutôt qu'aux certificats à longue durée de vie gérés manuellement. La raison est simple : une durée de vie plus courte limite la fenêtre d'exposition en cas de compromission d'un certificat. [medium pause] Cela nous amène à l'automatisation. La gestion manuelle des certificats n'est pas évolutive. Si vous avez 500 appareils, vous pouvez tout juste gérer les renouvellements à la main. Si vous avez 5 000 appareils répartis sur 50 sites, c'est impossible. Vous avez besoin de SCEP - le Simple Certificate Enrolment Protocol - ou de son successeur moderne, EST. SCEP s'intègre directement aux plateformes MDM, notamment Microsoft Intune, Jamf Pro et VMware Workspace ONE. Le MDM pousse un profil de configuration SCEP vers l'appareil. L'appareil génère une paire de clés, envoie une demande de signature de certificat à votre serveur SCEP, et reçoit en retour un certificat signé - le tout sans aucune interaction de l'utilisateur. [medium pause] Pour les appareils Windows dans un environnement Active Directory, vous disposez d'une alternative : l'auto-enrôlement piloté par stratégie de groupe (Group Policy) via Active Directory Certificate Services. L'appareil s'authentifie auprès du domaine, l'autorité de certification (CA) délivre automatiquement un certificat, et le certificat est renouvelé avant son expiration sans aucune intervention manuelle. C'est la voie la plus transparente pour les parcs informatiques majoritairement composés de Windows. [medium pause] Maintenant, parlons de la révocation. C'est l'aspect dans lequel les organisations sous-investissent le plus souvent, et c'est pourtant celui qui importe le plus lorsque les choses tournent mal. Si un appareil est perdu, volé, ou qu'un employé s'en va, vous devez révoquer son certificat immédiatement. Il existe deux mécanismes : la CRL - Certificate Revocation Lists - et l'OCSP - Online Certificate Status Protocol. [medium pause] La CRL est le mécanisme le plus ancien. Votre CA publie une liste de numéros de série de certificats révoqués à une URL connue. Le serveur RADIUS télécharge périodiquement cette liste et effectue des vérifications par rapport à celle-ci. Le problème de la CRL est la latence - si votre CRL a une période de validité de 24 heures, un certificat révoqué peut encore s'authentifier jusqu'à 24 heures après sa révocation. [medium pause] L'OCSP est l'alternative en temps réel. Le serveur RADIUS envoie une requête au répondeur OCSP pour chaque tentative d'authentification et obtient une réponse en direct indiquant si le certificat est valide ou révoqué. Le compromis est que votre répondeur OCSP devient une dépendance critique - s'il est indisponible, vous devez décider s'il faut autoriser ou bloquer l'accès. Pour les environnements hautement sécurisés, le blocage est la bonne réponse. Pour les environnements opérationnels où la disponibilité est primordiale, vous pouvez configurer une courte période de grâce OCSP. [medium pause] Laissez-moi vous présenter deux scénarios concrets pour illustrer cela. [medium pause] Premier cas : un groupe hôtelier de 150 établissements. Ils utilisaient PEAP avec un mot de passe partagé pour le WiFi du personnel. La rotation des mots de passe était trimestrielle, ce qui entraînait une période de deux semaines chaque trimestre durant laquelle le personnel était bloqué ou utilisait l'ancien mot de passe. Ils sont passés à EAP-TLS en utilisant Microsoft Intune pour le déploiement des certificats. Des profils SCEP ont été poussés sur tous les appareils Windows et iOS. Active Directory Certificate Services servait d'autorité de certification (CA). Résultat : aucun événement de rotation de mot de passe, renouvellement de certificat géré automatiquement 30 jours avant l'expiration, et lorsqu'un membre du personnel partait, son certificat était révoqué dans le MDM quelques minutes seulement après la désactivation de son compte dans Microsoft Entra ID. L'équipe informatique a estimé avoir économisé environ 40 heures par trimestre en réinitialisations de mots de passe et tickets d'assistance. [medium pause] Second cas : une chaîne de vente au détail multi-sites comptant 3 000 appareils pour le personnel répartis dans 200 magasins. Le défi résidait dans la diversité des appareils - un mélange d'ordinateurs portables Windows, de terminaux mobiles Android et d'appareils iOS. Ils ont utilisé Jamf Pro pour les appareils Apple et Microsoft Intune pour Windows et Android, tous deux pointant vers le même serveur SCEP adossé à une CA intermédiaire Microsoft ADCS. L'infrastructure WiFi était basée sur Cisco Meraki, avec une authentification RADIUS gérée par un service RADIUS hébergé dans le cloud et intégré à Purple. La décision de conception clé a été de délivrer des certificats d'une validité de 12 mois et de configurer le renouvellement automatique à 60 jours avant l'expiration. Cela a permis de bénéficier d'une fenêtre de renouvellement confortable sans générer de surcharge opérationnelle. [medium pause] Voyons maintenant les pièges. J'en observe régulièrement quatre. [medium pause] Premier piège : ne pas tester la révocation. Les entreprises configurent leur PKI, déploient des certificats et ne testent jamais si la révocation fonctionne de bout en bout. Testez-la. Révoquez un certificat de test, confirmez que le serveur RADIUS détecte la révocation dans le délai prévu et vérifiez que l'accès de l'appareil est bien refusé. [medium pause] Deuxième piège : l'effet falaise des expirations. Si vous délivrez tous vos certificats en même temps avec la même période de validité, ils expireront tous en même temps. Échelonnez votre délivrance ou, au minimum, échelonnez vos déclencheurs de renouvellement. Un taux d'échec de renouvellement de 10 % sur 5 000 appareils simultanés constitue un incident majeur. [medium pause] Troisième piège : ne pas distribuer le certificat de la CA racine à tous les appareils avant de déployer EAP-TLS. Si l'appareil ne fait pas confiance à votre CA racine, il rejettera le certificat du serveur RADIUS et l'authentification échouera. Cela semble évident, mais cela surprend les entreprises lorsqu'elles ont des appareils BYOD ou des ordinateurs portables de prestataires qui ne sont pas enregistrés dans le MDM. [medium pause] Quatrième piège : la disponibilité du répondeur OCSP. Si votre répondeur OCSP tombe en panne et que votre serveur RADIUS est configuré pour bloquer l'accès en cas d'erreur OCSP, l'ensemble de votre réseau WiFi cesse de fonctionner. Intégrez de la redondance dans votre infrastructure OCSP ou configurez une courte période de grâce avec une surveillance appropriée. [medium pause] Passons maintenant aux questions rapides. [medium pause] Puis-je utiliser une autorité de certification (CA) publique pour les certificats clients EAP-TLS ? Techniquement oui, mais en pratique non. Les CA publiques ne délivreront pas de certificats clients pour des appareils arbitraires. Vous avez besoin de votre propre CA pour les certificats clients. Pour le certificat du serveur RADIUS, une CA publique convient parfaitement et simplifie la distribution de la confiance. [medium pause] Qu'en est-il du BYOD ? Le BYOD est le cas le plus complexe. Vous ne pouvez pas déployer de certificats sur des appareils non gérés via un MDM. Les options incluent un portail de contrôle d'accès réseau qui délivre des certificats à courte durée de vie après l'authentification de l'utilisateur, ou simplement le maintien du BYOD sur un SSID distinct avec une méthode d'authentification différente. [medium pause] Comment cela interagit-il avec le WPA3 ? Le WPA3-Enterprise impose un mode de sécurité 192 bits pour les environnements sensibles, ce qui nécessite des suites de chiffrement spécifiques. EAP-TLS est entièrement compatible avec le WPA3-Enterprise et constitue en fait la méthode d'authentification recommandée. [medium pause] En résumé. La gestion des certificats EAP-TLS n'est pas simple, mais elle est gérable si vous adoptez la bonne architecture dès le départ. Une hiérarchie de CA à trois niveaux. Un enrôlement automatisé via SCEP ou MDM. Des durées de vie de certificat courtes avec renouvellement automatique. Une révocation en temps réel via OCSP. Testez tout, en particulier la révocation. Et intégrez le cycle de vie de vos certificats à votre fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace - afin que la révocation des certificats soit déclenchée automatiquement lorsqu'un compte est déprovisionné. [medium pause] Si vous utilisez des serveurs RADIUS liés à Purple, les points d'intégration sont l'URL de votre serveur SCEP, le certificat de votre serveur RADIUS et votre point de terminaison CRL ou OCSP. L'architecture de Purple, indépendante du matériel, permet de faire fonctionner l'ensemble sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et le reste de la liste de matériel standard - vous n'êtes pas bloqué dans les outils PKI d'un seul fournisseur. [medium pause] Prochaines étapes : auditez votre inventaire de certificats actuel. Si vous ne savez pas combien de certificats vous possédez, quand ils expirent et qui les a délivrés, c'est la première chose à corriger. À partir de là, la voie vers une automatisation complète est bien définie. Merci pour votre écoute.

header_image.png

Résumé exécutif

La gestion des certificats numériques pour l'authentification WiFi EAP-TLS représente un défi opérationnel majeur pour les équipes IT d'entreprise. Alors que les organisations abandonnent l'authentification basée sur les identifiants pour s'aligner sur la conformité Zero Trust, la charge opérationnelle passe de la réinitialisation des mots de passe à la gestion du cycle de vie des certificats. Ce guide détaille les modèles d'architecture requis pour déployer, renouveler et révoquer des certificats côté client à grande échelle au sein d'environnements complexes.

Pour les CTO et les architectes réseau, l'objectif est clair : implémenter une infrastructure de clés publiques (PKI) robuste qui s'intègre parfaitement aux plateformes de Mobile Device Management (MDM) existantes. En automatisant l'émission de certificats via le protocole SCEP (Simple Certificate Enrolment Protocol) et en exécutant une révocation en temps réel, toute intervention manuelle est éliminée. Cette approche sécurise le périmètre réseau, répond aux cadres de conformité, y compris PCI-DSS 4.0, et garantit une connectivité continue pour plus de 80 000 sites physiques exécutant du matériel d'entreprise.

Analyse technique approfondie

Le protocole EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) représente la référence absolue pour le contrôle d'accès réseau 802.1X. Il impose une authentification mutuelle. Le serveur RADIUS présente son certificat pour prouver son identité au client, tandis que le client présente son certificat pour prouver son identité au réseau.

Architecture PKI à trois niveaux

Une hiérarchie PKI plate introduit un risque inacceptable. Le modèle recommandé est une architecture à trois niveaux :

  1. Autorité de certification racine (Root CA) : L'ancre de confiance ultime. Ce serveur reste hors ligne et physiquement isolé (air-gapped) du réseau. Sa seule fonction est de signer les certificats des CA intermédiaires.
  2. CA intermédiaire (Issuing CA) : Ce serveur reste en ligne et gère la signature quotidienne des certificats des clients et des serveurs. S'il est compromis, il peut être révoqué par la Root CA sans avoir à reconstruire toute l'infrastructure de confiance.
  3. Certificats d'entité finale : Ce sont les certificats réels déployés sur les serveurs RADIUS et les appareils clients.

pki_trust_chain_diagram.png

Durée de vie des certificats et normes cryptographiques

Le secteur impose des durées de vie de certificats plus courtes afin de limiter la fenêtre d'exposition en cas de compromission d'une clé. Alors que les certificats TLS publics sont limités à 398 jours, les certificats clients internes utilisés pour l'authentification WiFi utilisent généralement une période de validité de 365 jours.

Les exigences cryptographiques imposent un minimum de clés RSA 2048 bits ou de cryptographie sur les courbes elliptiques (ECC) utilisant la courbe P-256. Le mode WPA3-Enterprise 192 bits nécessite des suites de chiffrement spécifiques, et EAP-TLS est la seule méthode d'authentification qui répond pleinement à ces exigences.

Guide d'implémentation

Le déploiement de EAP-TLS sur des sites distribués nécessite une intégration étroite entre votre fournisseur d'identité, votre plateforme MDM et votre matériel réseau. L'overlay cloud de Purple s'intègre avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.

Étape 1 : Établir la chaîne de confiance

Avant qu'un appareil ne puisse s'authentifier, il doit faire confiance au serveur RADIUS. Déployez le certificat de l'AC racine sur tous les appareils gérés via votre MDM. Pour les appareils non gérés, vous devez fournir un portail d'intégration de bootstrapping pour installer le profil de confiance.

Étape 2 : Automatiser l'émission via SCEP

La génération manuelle de certificats n'est pas viable. Implémentez SCEP pour automatiser ce flux de travail :

  1. Le MDM (par exemple, Microsoft Intune) pousse une charge utile SCEP vers l'appareil.
  2. L'appareil génère une clé privée localement.
  3. L'appareil soumet une demande de signature de certificat (CSR) au serveur SCEP.
  4. L'AC émet le certificat, et l'appareil l'installe dans son keystore matériel sécurisé.

Étape 3 : Configurer les politiques RADIUS

Configurez votre serveur RADIUS pour exiger EAP-TLS. Assurez-vous que le serveur valide le nom alternatif du sujet (SAN) dans le certificat client par rapport à votre annuaire d'identité (Microsoft Entra ID, Okta ou Google Workspace) pour confirmer que le compte utilisateur est toujours actif.

certificate_lifecycle_infographic.png

Bonnes pratiques

  • Automatiser le renouvellement anticipé : Configurez les profils MDM pour déclencher le renouvellement des certificats au moins 30 jours avant leur expiration. Cela évite les échecs d'authentification soudains sur l'ensemble des sites.
  • Imposer les keystores matériels : Exigez que les clés privées soient générées et stockées dans le module de plateforme sécurisée (TPM) de l'appareil ou dans la Secure Enclave. Les clés doivent être configurées comme non exportables.
  • Implémenter la révocation en temps réel : S'appuyer sur des listes de révocation de certificats (CRL) statiques introduit de la latence. Implémentez le protocole d'état de certificat en ligne (OCSP) afin que le serveur RADIUS puisse vérifier l'état du certificat en temps réel lors de l'authentification.

Dépannage et atténuation des risques

Les modes de défaillance les plus courants dans les déploiements EAP-TLS sont liés à la confiance et au temps.

Échecs de l'ancre de confiance

Si un appareil client rejette le certificat du serveur RADIUS, l'authentification échouera silencieusement. Cela se produit lorsque le certificat de l'AC racine est manquant dans le magasin de confiance de l'appareil. Vérifiez les journaux de déploiement MDM pour vous assurer que le profil de confiance est appliqué avant le profil WiFi. Pour d'autres diagnostics sur les problèmes de connectivité, consultez Dépannage du WiFi public : résoudre les erreurs « Connecté, pas d'Internet » et les échecs de redirection vers la page d'accueil .

Échéances d'expiration

L'émission simultanée de milliers de certificats crée un pic de renouvellement critique. Si le serveur SCEP subit une panne pendant cette fenêtre, les appareils seront déconnectés du réseau. Échelonnez les déploiements initiaux pour répartir la charge de renouvellement.

Expirations OCSP

Si le serveur RADIUS ne peut pas joindre le répondeur OCSP, il doit décider s'il autorise ou bloque l'accès par défaut. Pour les réseaux d'entreprise, le blocage par défaut est la pratique standard. Assurez-vous que votre infrastructure OCSP est hautement disponible et distribuée géographiquement.

ROI et impact commercial

La transition vers EAP-TLS nécessite un effort d'ingénierie initial, mais le retour opérationnel est significatif. Une organisation de 5 000 utilisateurs passe généralement 40 heures par mois à résoudre les réinitialisations de mots de passe et les verrouillages RADIUS causés par les rotations de mots de passe PEAP.

En automatisant le cycle de vie des certificats, vous pouvez éliminer ces tickets de support. De plus, vous répondez aux exigences strictes de contrôle d'accès de ISO 27001 et PCI-DSS, réduisant ainsi les coûts d'audit. Lorsqu'il est intégré avec le WiFi invité et l' Analyse WiFi , Purple offre une vue unifiée de l'accès réseau pour tous les types d'utilisateurs, simplifiant ainsi les rapports de conformité sur les sites distribués.

Définitions clés

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Un cadre d'authentification qui exige que le client et le serveur prouvent tous deux leur identité à l'aide de certificats numériques.

La norme de l'industrie pour sécuriser les réseaux WiFi d'entreprise sans dépendre de mots de passe vulnérables.

SCEP

Simple Certificate Enrolment Protocol. Un protocole utilisé par les plateformes MDM pour automatiser de manière sécurisée la demande et l'installation de certificats numériques sur les appareils.

Essentiel pour faire évoluer les déploiements EAP-TLS au-delà de quelques dizaines d'appareils en éliminant la gestion manuelle des certificats.

RADIUS

Remote Authentication Dial-In User Service. Le protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation.

Le composant serveur qui valide le certificat client et indique au point d'accès d'accorder l'accès au réseau.

OCSP

Online Certificate Status Protocol. Un protocole internet utilisé pour obtenir en temps réel le statut de révocation d'un certificat numérique X.509.

Remplace les listes de révocation de certificats (CRL) statiques pour garantir qu'un certificat révoqué soit immédiatement bloqué sur le réseau.

Root CA

Autorité de certification racine. L'autorité cryptographique de premier niveau dans une infrastructure à clés publiques, utilisée pour signer les autorités de certification subordonnées.

Doit être conservé de manière hautement sécurisée et hors ligne pour protéger l'ensemble de la chaîne de confiance de l'organisation.

SAN

Subject Alternative Name. Une extension de la norme X.509 qui permet d'associer diverses valeurs à un certificat de sécurité, telles que des adresses e-mail ou des UPN.

Utilisé par le serveur RADIUS pour associer le certificat à un compte d'utilisateur spécifique dans l'annuaire d'identités.

MDM

Mobile Device Management. Logiciel utilisé par les services informatiques pour surveiller, gérer et sécuriser les appareils mobiles des employés.

Le mécanisme de distribution qui transmet la configuration SCEP et les profils WiFi aux appareils des utilisateurs finaux.

CRL

Certificate Revocation List. Une liste de certificats numériques qui ont été révoqués par l'autorité de certification émettrice avant leur date d'expiration prévue.

Une méthode héritée de vérification de la validité des certificats qui souffre de problèmes de latence par rapport à OCSP.

Exemples concrets

Un groupe hôtelier de 150 établissements doit sécuriser l'accès du personnel sur 3 000 appareils. Il utilise actuellement PEAP avec un mot de passe partagé renouvelé chaque trimestre, ce qui génère un volume important de demandes au support technique. Comment doit-il implémenter EAP-TLS ?

Déployez Microsoft Intune pour gérer tous les appareils de l'entreprise. Établissez une autorité de certification intermédiaire Microsoft ADCS intégrée à Intune via le connecteur de certificat Intune. Diffusez le certificat de l'autorité de certification racine (Root CA) sur tous les appareils, suivi d'un profil SCEP qui demande un certificat client d'une validité de 365 jours. Configurez le profil WiFi pour utiliser EAP-TLS et pointez vers les serveurs RADIUS connectés à Purple. Définissez le profil SCEP pour qu'il se renouvelle automatiquement lorsqu'il reste 20 % de durée de vie (73 jours).

Commentaire de l'examinateur : Cette approche élimine complètement la rotation trimestrielle des mots de passe. En configurant un déclencheur de renouvellement anticipé, l'équipe informatique évite les interruptions dues à l'expiration. L'intégration directe avec Intune garantit que lorsqu'un membre du personnel s'en va et que son compte Entra ID est désactivé, le MDM révoque le certificat et efface automatiquement le profil WiFi.

Une chaîne de vente au détail a besoin d'un WiFi sécurisé pour ses terminaux de point de vente portables répartis dans 200 points de vente. Les appareils fonctionnent sous Android et perdent fréquemment la connectivité avec le serveur de gestion centralisé. Comment gérez-vous la révocation des certificats ?

Implémentez OCSP pour la vérification de la révocation en temps réel au niveau du serveur RADIUS. Configurez le serveur RADIUS pour interroger le répondeur OCSP à chaque tentative d'authentification. Si un terminal est signalé comme perdu, l'équipe de sécurité révoque le certificat dans l'autorité de certification. La prochaine fois que l'appareil tentera de s'associer à un point d'accès, le serveur RADIUS recevra une réponse "révoqué" de l'OCSP et refusera immédiatement l'accès.

Commentaire de l'examinateur : S'appuyer sur le MDM pour effacer un appareil perdu est insuffisant si l'appareil est hors ligne ou isolé. En appliquant des contrôles de révocation en périphérie du réseau via OCSP, le serveur RADIUS fait office de point de contrôle, garantissant que le certificat compromis ne peut pas être utilisé même si l'appareil lui-même ne peut pas être joint par le MDM.

Questions d'entraînement

Q1. Vous déployez EAP-TLS pour 2 000 ordinateurs portables d'entreprise. L'infrastructure SCEP est configurée, mais lors des tests, les ordinateurs portables ne parviennent pas à se connecter au WiFi. Les journaux RADIUS indiquent "CA inconnue". Quelle est la cause la plus probable ?

Conseil : Considérez l'ordre des opérations lors du déploiement des profils de confiance par rapport aux profils d'authentification.

Voir la réponse type

Les ordinateurs portables n'ont pas le certificat Root CA installé dans leur magasin de racines de confiance. L'MDM doit être configuré pour pousser le certificat Root CA vers les appareils avant de pousser le SCEP ou le profil WiFi EAP-TLS. Sans la Root CA, le client rejette le certificat du serveur RADIUS.

Q2. Un appareil compromis est signalé perdu. L'équipe informatique supprime l'appareil de l'MDM et révoque le certificat dans l'autorité de certification. Cependant, les tests révèlent que l'appareil peut encore se connecter au réseau pendant une durée allant jusqu'à 12 heures. Comment résolvez-vous cela ?

Conseil : Regardez comment le serveur RADIUS valide le statut du certificat.

Voir la réponse type

Le serveur RADIUS s'appuie probablement sur une Certificate Revocation List (CRL) qui n'est publiée ou téléchargée que toutes les 12 à 24 heures. Pour résoudre ce problème, implémentez le protocole OCSP et configurez le serveur RADIUS pour interroger le répondeur OCSP pour une validation en temps réel lors de chaque tentative d'authentification.

Q3. Vous concevez la politique de cycle de vie des certificats. L'équipe de sécurité souhaite des durées de vie de certificat de 30 jours pour minimiser les risques, mais l'équipe réseau s'inquiète de la charge du serveur SCEP et des coupures de connectivité. Quel est l'équilibre recommandé ?

Conseil : Considérez la différence entre les certificats web publics et l'infrastructure PKI interne gérée.

Voir la réponse type

Une période de validité de 365 jours avec un renouvellement automatique déclenché 60 ou 90 jours avant l'expiration offre l'équilibre optimal. Des durées de vie de 30 jours pour les certificats WiFi créent un risque opérationnel excessif si les appareils sont hors ligne pendant leur étroite fenêtre de renouvellement. La sécurité est maintenue grâce à une révocation OCSP robuste et en temps réel plutôt que par des durées de vie agressivement courtes.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →