स्वचालित एंटरप्राइज WiFi सर्टिफिकेट एनरोलमेंट के लिए SCEP को कैसे कॉन्फ़िगर करें

यह गाइड स्वचालित एंटरप्राइज WiFi सर्टिफिकेट एनरोलमेंट के लिए SCEP (Simple Certificate Enrollment Protocol) को कॉन्फ़िगर करने का तरीका बताती है, जिसमें PKI और NDES से लेकर MDM प्रोफाइल परिनियोजन और RADIUS सत्यापन तक संपूर्ण आर्किटेक्चर शामिल है। यह उन होटलों, रिटेल चेन, स्टेडियमों, कॉन्फ्रेंस सेंटरों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए है जिन्हें प्री-शेयर्ड कीज़ से आगे बढ़ने और स्केलेबल, पहचान-आधारित 802.1X EAP-TLS ऑथेंटिकेशन लागू करने की आवश्यकता है। Purple का हार्डवेयर-अज्ञेयवादी, क्लाउड ओवरले प्लेटफॉर्म सीधे इस आर्किटेक्चर के साथ एकीकृत होता है, जो गेस्ट और BYOD WiFi लेयर प्रदान करता है जो आपके सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क के साथ काम करती है।

📖 10 मिनट का पाठ📝 2,282 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

Purple टेक्निकल ब्रीफिंग श्रृंखला में आपका स्वागत है। मैं आज एक ऐसी चीज़ के बारे में बात कर रहा हूँ जो कई IT इनबॉक्स में आती है लेकिन शायद ही कभी उसका सीधा जवाब मिलता है: आप वास्तव में एक बड़े नेटवर्क पर SCEP का उपयोग करके बड़े पैमाने पर सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन कैसे तैनात करते हैं। चाहे वह विश्वविद्यालय का परिसर हो, बहु-साइट होटल समूह हो, या एक बड़ा सार्वजनिक क्षेत्र का एस्टेट हो, चुनौतियाँ समान हैं।

हम पूरी तस्वीर को कवर करने जा रहे हैं। SCEP वास्तव में क्या करता है, यह 802.1X आर्किटेक्चर में कैसे फिट बैठता है, परिनियोजन अनुक्रम जिसे अधिकांश टीमें गलत समझती हैं, दो वास्तविक दुनिया के कार्यान्वयन परिदृश्य, और वे कमियां जो आपके जीवन का एक सप्ताहांत (weekend) बर्बाद कर देंगी यदि आप उनके लिए योजना नहीं बनाते हैं।

यह एक सलाहकार ब्रीफिंग है, कोई ट्यूटोरियल नहीं। मैं मान रहा हूँ कि आप जानते हैं कि RADIUS सर्वर क्या है और आपने शायद पहले ही तय कर लिया है कि आपको प्री-शेयर्ड कीज़ से दूर जाने की आवश्यकता है। अब आपको कार्यान्वयन मानचित्र (implementation map) की आवश्यकता है।

आइए शुरू करते हैं।

पहला सिद्धांत। SCEP का अर्थ Simple Certificate Enrollment Protocol है। इसे 2020 में IETF द्वारा RFC 8894 के रूप में औपचारिक रूप दिया गया था, हालांकि इससे पहले एक दशक से अधिक समय से यह व्यापक रूप से एंटरप्राइज उपयोग में था। इसका काम सीधा है: प्रत्येक मशीन को किसी इंसान द्वारा छुए बिना एक प्रबंधित डिवाइस पर डिजिटल सर्टिफिकेट प्राप्त करने की प्रक्रिया को स्वचालित करना।

WiFi ऑथेंटिकेशन के संदर्भ में, SCEP डिलीवरी तंत्र है। वास्तविक ऑथेंटिकेशन प्रोटोकॉल जिसे आप लक्षित कर रहे हैं वह EAP-TLS, Extensible Authentication Protocol with Transport Layer Security है, जो 802.1X फ्रेमवर्क के अंदर बैठता है। EAP-TLS को व्यापक रूप से एंटरप्राइज वायरलेस नेटवर्क के लिए सबसे सुरक्षित ऑथेंटिकेशन विधि माना जाता है क्योंकि इसके लिए क्लाइंट डिवाइस और RADIUS सर्वर दोनों को वैध सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है। क्रिप्टोग्राफिक प्रमाण के बिना कोई भी पक्ष दूसरे पर भरोसा नहीं करता है। वह पारस्परिक ऑथेंटिकेशन (mutual authentication) ही आपको इविल ट्विन (evil twin) हमलों से बचाता है, जहां एक हमलावर क्रेडेंशियल चुराने के लिए एक नकली एक्सेस पॉइंट बनाता है।

यहाँ बताया गया है कि पूरी श्रृंखला कैसे काम करती है। एक प्रबंधित डिवाइस, एक छात्र का लैपटॉप, एक स्टाफ का फोन, एक होटल का पॉइंट-ऑफ-सेल टर्मिनल, को कॉर्पोरेट वायरलेस नेटवर्क में शामिल होने की आवश्यकता है। आपका MDM प्लेटफॉर्म, जो Microsoft Intune या Jamf हो सकता है, उस डिवाइस पर एक SCEP पेलोड भेजता है। पेलोड में दो चीजें होती हैं: SCEP URL, जो आपके NDES सर्वर या क्लाउड SCEP गेटवे की ओर इशारा करता, और एक चैलेंज पासवर्ड या शेयर्ड सीक्रेट।

डिवाइस स्थानीय रूप से अपनी खुद की पब्लिक और प्राइवेट की (key) जोड़ी उत्पन्न करता है। यह महत्वपूर्ण है। प्राइवेट की कभी भी डिवाइस को नहीं छोड़ती है। यह ऑन-डिवाइस उत्पन्न होती है, सिक्योर एन्क्लेव या TPM में संग्रहीत होती है, और कभी भी नेटवर्क पर प्रसारित नहीं होती है। इसके बाद डिवाइस एक Certificate Signing Request, एक CSR बनाता है, और इसे SCEP गेटवे पर भेजता है। गेटवे चैलेंज को सत्यापित करता है, CSR को आपके Certificate Authority को अग्रेषित करता है, और CA इस पर हस्ताक्षर करता है और डिवाइस को पब्लिक सर्टिफिकेट वापस कर देता है।

उस बिंदु से, जब डिवाइस आपके WiFi SSID से कनेक्ट होता है, तो यह उस सर्टिफिकेट को RADIUS सर्वर के सामने प्रस्तुत करता है। RADIUS सर्वर आपके CA ट्रस्ट चेन के खिलाफ सर्टिफिकेट को सत्यापित करता है, यह पुष्टि करने के लिए Certificate Revocation List की जांच करता है कि सर्टिफिकेट रद्द तो नहीं किया गया है, और यदि सब कुछ ठीक रहता है, तो एक्सेस पॉइंट को एक एक्सेप्ट (accept) संदेश भेजता है। डिवाइस नेटवर्क पर आ जाता है। पूरी प्रक्रिया उपयोगकर्ता के लिए अदृश्य होती है।

अब, आइए बात करते हैं कि SCEP विकल्प की तुलना में कहाँ बैठता है, जो कि PKCS है। PKCS, Public Key Cryptography Standards, Intune जैसे प्लेटफॉर्म द्वारा समर्थित अन्य सर्टिफिकेट डिलीवरी विधि है। PKCS के साथ, CA केंद्रीय रूप से पब्लिक और प्राइवेट की दोनों उत्पन्न करता है, और सर्टिफिकेट कनेक्टर की (key) जोड़ी को डिवाइस पर भेजता है। इसका मतलब है कि प्राइवेट की नेटवर्क पर यात्रा करती है, जो एक सैद्धांतिक हमला सतह (attack surface) पेश करती है। PKCS S/MIME ईमेल एन्क्रिप्शन जैसे उपयोग के मामलों के लिए ठीक है जहां की एस्क्रो (key escrow) वास्तव में वांछनीय है। WiFi ऑथेंटिकेशन के लिए, SCEP सही विकल्प है। प्राइवेट की डिवाइस पर ही रहती है, बात खत्म।

अब, हार्डवेयर लेयर। SCEP और EAP-TLS वेंडर-न्यूट्रल मानक हैं, जिसका अर्थ है कि वे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet एक्सेस पॉइंट्स पर काम करते हैं। आपका RADIUS कॉन्फ़िगरेशन, चाहे वह Windows NPS, FreeRADIUS, या क्लाउड RADIUS सेवा हो, वह स्थान है जहाँ आप सर्टिफिकेट सत्यापन नीति को परिभाषित करते हैं और, गंभीर रूप से, जहाँ आप डायनेमिक VLAN असाइनमेंट को कॉन्फ़िगर करते हैं।

डायनेमिक VLAN वे तरीके हैं जिनसे आप पहचान के आधार पर नेटवर्क को विभाजित करते हैं। एक छात्र डिवाइस को केवल इंटरनेट एक्सेस के लिए VLAN 20 मिलता है। एक फैकल्टी डिवाइस को आंतरिक अनुसंधान प्रणालियों तक पहुंच के लिए VLAN 10 मिलता है। एक सुविधा प्रबंधन (facilities management) डिवाइस को भवन प्रबंधन प्रणालियों तक पहुंच के लिए VLAN 30 मिलता है। यह सब सर्टिफिकेट विशेषताओं और RADIUS नीति द्वारा संचालित होता है, जिसमें प्रति डिवाइस कोई मैन्युअल हस्तक्षेप नहीं होता है।

पहचान प्रदाता (identity provider) एकीकरण के लिए, SCEP सर्टिफिकेट विशेषताएं, विशेष रूप से Subject Alternative Name, Microsoft Entra ID, Okta, या Google Workspace से उपयोगकर्ता का मुख्य नाम (principal name) ले जा सकती हैं। यह सर्टिफिकेट को एक विशिष्ट पहचान से जोड़ता है, जिसका अर्थ है कि जब आप Entra ID में किसी खाते को अक्षम करते हैं और MDM डिवाइस को अन-एनरोल करता है, तो सर्टिफिकेट रद्द कर दिया जाता है और WiFi एक्सेस स्वचालित रूप से कट जाता है। यह वह निरसन (revocation) कहानी है जिसे प्री-शेयर्ड कीज़ बस नहीं बता सकती हैं।

ठीक है, आइए परिनियोजन अनुक्रम के बारे में बात करते हैं, क्योंकि यहीं पर अधिकांश टीमें गलती करती हैं।

अनुक्रम गैर-परक्राम्य है: पहले Trusted Root सर्टिफिकेट, दूसरा SCEP सर्टिफिकेट प्रोफाइल, तीसरा WiFi प्रोफाइल। Intune और Jamf दोनों प्रोफाइल निर्भरता लागू करते हैं। यदि आपकी WiFi प्रोफाइल एक SCEP सर्टिफिकेट को संदर्भित करती है जिसे अभी तक डिवाइस पर तैनात नहीं किया गया है, तो WiFi प्रोफाइल एक रहस्यमयी त्रुटि के साथ विफल हो जाएगी जो गलत कॉन्फ़िगरेशन जैसी दिखती है लेकिन वास्तव में केवल समय (timing) की समस्या है।

दूसरी कमी समूह लक्ष्यीकरण (group targeting) है। तीनों प्रोफाइल, Trusted Root, SCEP, और WiFi, को बिल्कुल एक ही Azure AD या Jamf समूह में तैनात किया जाना चाहिए। यदि SCEP प्रोफाइल किसी उपयोगकर्ता समूह को लक्षित करती है और WiFi प्रोफाइल किसी डिवाइस समूह को लक्षित करती है, तो Intune निर्भरता को हल नहीं कर सकता है और WiFi प्रोफाइल लागू नहीं (Not Applicable) के रूप में दिखाई देगी। यह टीमों को लगातार परेशान करता है।

तीसरा: NDES सर्वर पहुंच। आपका NDES सर्वर इंटरनेट से सुलभ होना चाहिए ताकि डिवाइस ऑन-साइट पहुंचने से पहले एनरोल कर सकें। ऐसा करने का सही तरीका Azure AD Application Proxy के माध्यम से है, न कि आपके फ़ायरवॉल में छेद करके। App Proxy आपको इनबाउंड पोर्ट के बिना सुरक्षित रिमोट एक्सेस देता है और आपको एनरोलमेंट फ्लो पर कंडीशनल एक्सेस नीतियां लागू करने की अनुमति देता है।

चौथा: CRL उपलब्धता। आपका RADIUS सर्वर हर बार डिवाइस के ऑथेंटिकेट होने पर Certificate Revocation List की जांच करता है। यदि आपका CRL Distribution Point अनुपलब्ध है, क्योंकि सर्वर डाउन है, या URL बदल गया है, तो नेटवर्क पर प्रत्येक डिवाइस के लिए ऑथेंटिकेशन एक साथ विफल हो जाता है। यह एक पूरे परिसर (campus-wide) का आउटेज है। अपने CRL एंडपॉइंट्स को अत्यधिक उपलब्ध बनाएं, और लाइव होने से पहले निरसन (revocation) का परीक्षण करें।

बड़े नेटवर्क के लिए, 500 से अधिक डिवाइसों के लिए, ऑन-प्रिमाइसेस NDES के बजाय क्लाउड SCEP गेटवे पर विचार करें। क्लाउड गेटवे NDES के सिंगल पॉइंट ऑफ फेल्योर को समाप्त करते हैं, क्षैतिज रूप से स्केल करते हैं, और आमतौर पर सीधे क्लाउड RADIUS सेवाओं के साथ एकीकृत होते हैं, जिससे एक और इंफ्रास्ट्रक्चर निर्भरता समाप्त हो जाती है।

आइए कुछ त्वरित-फायर प्रश्नों पर ध्यान दें जो हम अक्सर CTOs से सुनते हैं।

क्या SCEP उन BYOD डिवाइसों को संभाल सकता है जो MDM-एनरोल नहीं हैं? सीधे तौर पर नहीं। सर्टिफिकेट पेलोड को पुश करने के लिए SCEP को MDM एनरोलमेंट की आवश्यकता होती है। अप्रबंधित BYOD के लिए, आपको एक अलग दृष्टिकोण की आवश्यकता होती, या तो एक स्व-सेवा ऑनबोर्डिंग पोर्टल, या पहचान सत्यापन के साथ कैप्टिव पोर्टल का उपयोग करने वाला एक अलग SSID। Purple उस गेस्ट और BYOD लेयर को सफाई से संभालता है, जो आपके सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क के साथ काम करता है।

iOS और Android के बारे में क्या? दोनों प्लेटफॉर्म मूल रूप से SCEP का समर्थन करते हैं। iOS ने iOS 4 से SCEP का समर्थन किया है। Android Enterprise, Intune और अन्य MDMs के माध्यम से SCEP का समर्थन करता है। कॉन्फ़िगरेशन प्रति प्लेटफॉर्म थोड़ा अलग है लेकिन अंतर्निहित प्रोटोकॉल समान है।

क्या EAP-TLS, WPA3 के साथ काम करता है? हाँ। WPA3-Enterprise संवेदनशील वातावरण के लिए 192-बिट सुरक्षा मोड को अनिवार्य बनाता है, और EAP-TLS पूरी तरह से संगत है। वास्तव में, EAP-TLS के साथ WPA3-Enterprise सरकारी और वित्तीय नेटवर्क के लिए WiFi Alliance द्वारा अनुशंसित संयोजन है।

इसे एक साथ लाने के लिए। SCEP सर्टिफिकेट WiFi ऑथेंटिकेशन 50 से अधिक प्रबंधित डिवाइसों वाले किसी भी नेटवर्क के लिए सही आर्किटेक्चर है। यह साझा क्रेडेंशियल्स को समाप्त करता है, आपको प्रति-डिवाइस पहचान देता है, डायनेमिक VLAN विभाजन को सक्षम बनाता है, और स्वचालित निरसन के लिए सीधे आपके पहचान प्रदाता के साथ एकीकृत होता है। परिनियोजन अनुक्रम, Trusted Root, फिर SCEP प्रोफाइल, फिर WiFi प्रोफाइल, निश्चित है। समूह लक्ष्यीकरण सुसंगत होना चाहिए। CRL उपलब्धता वैकल्पिक नहीं है।

विशेष रूप से उच्च शिक्षा के लिए, स्टाफ और फैकल्टी डिवाइसों के लिए SCEP का संयोजन, व्यक्तिगत डिवाइसों पर छात्रों के लिए एक अलग गेस्ट WiFi लेयर के साथ, आपको बिना किसी समझौते के सुरक्षा और एक शानदार उपयोगकर्ता अनुभव दोनों देता है।

यदि आप और गहराई से जानना चाहते हैं, तो एंटरप्राइज WiFi ऑथेंटिकेशन पर Purple की गाइड क्लाउड-नेटिव पथ को कवर करती है। और यदि आप सोच रहे हैं कि जब कोई कर्मचारी छोड़ता है तो क्या होता है, तो WiFi एक्सेस को रद्द करने पर हमारी गाइड पूर्ण निरसन वर्कफ़्लो के माध्यम से चलती है।

सुनने के लिए धन्यवाद। मैं Purple तकनीकी टीम से हूँ, और हम आपसे अगली ब्रीफिंग में मिलेंगे।

मुख्य निष्कर्ष

✓SCEP (RFC 8894) प्रबंधित डिवाइसों के लिए सर्टिफिकेट एनरोलमेंट को स्वचालित करता है - प्राइवेट की डिवाइस पर उत्पन्न होती है और कभी प्रसारित नहीं होती है, जिससे यह PKCS की तुलना में WiFi ऑथेंटिकेशन के लिए सही विकल्प बन जाता है।
✓परिनियोजन अनुक्रम गैर-परक्राम्य है: पहले Trusted Root सर्टिफिकेट, दूसरा SCEP सर्टिफिकेट प्रोफाइल, तीसरा WiFi प्रोफाइल। इस क्रम का उल्लंघन करने से प्रोफाइल निर्भरता विफलताएं होती हैं।
✓तीनों MDM प्रोफाइल (Trusted Root, SCEP, WiFi) को बिल्कुल एक ही निर्देशिका समूह (directory group) को लक्षित करना चाहिए। क्रॉस-ग्रुप लक्ष्यीकरण परिनियोजन विफलताओं का सबसे आम कारण है।
✓NDES को Azure AD Application Proxy के माध्यम से प्रकाशित किया जाना चाहिए, सीधे इंटरनेट पर उजागर नहीं किया जाना चाहिए। 500 से अधिक डिवाइस वाले नेटवर्क के लिए, एक क्लाउड SCEP गेटवे NDES के सिंगल पॉइंट ऑफ फेल्योर को समाप्त करता है।
✓CRL Distribution Point की उपलब्धता एक नेटवर्क-महत्वपूर्ण निर्भरता है। यदि RADIUS सर्वर CRL तक नहीं पहुंच पाता है, तो यह कनेक्शन बंद (fails closed) कर देता है और एक साथ सभी ऑथेंटिकेशन को अस्वीकार कर देता है।
✓SCEP-प्रोविजंड सर्टिफिकेट के साथ EAP-TLS कार्डधारक डेटा वातावरण में वायरलेस नेटवर्क के लिए PCI DSS 4.0 आवश्यकता 8.6 को पूरा करता है और WPA3-Enterprise 192-बिट (Suite B) के लिए आवश्यक है।
✓SCEP केवल प्रबंधित डिवाइसों को कवर करता है। अप्रबंधित BYOD और गेस्ट डिवाइसों के लिए कैप्टिव पोर्टल और पहचान सत्यापन के साथ एक अलग SSID की आवश्यकता होती है - Purple का प्लेटफॉर्म आपके सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क के साथ इस लेयर को संभालता है।

कार्यकारी सारांश

एंटरप्राइज स्थानों के लिए - चाहे वह 200 कमरों वाला होटल हो, 50 स्थानों वाली रिटेल चेन हो, या एक बड़ा कॉन्फ्रेंस सेंटर हो - स्टाफ WiFi के लिए प्री-शेयर्ड कीज़ (pre-shared keys) पर निर्भर रहना एक सुरक्षा जोखिम और परिचालन संबंधी बाधा (operational bottleneck) है। एक भी पासवर्ड लीक होने से पूरा नेटवर्क खतरे में पड़ जाता है। IEEE 802.1X और EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) के माध्यम से सर्टिफिकेट-आधारित ऑथेंटिकेशन इस जोखिम को पूरी तरह से समाप्त कर देता है। एक्सेस पॉइंट द्वारा नेटवर्क एक्सेस प्रदान करने से पहले प्रत्येक डिवाइस क्रिप्टोग्राफिक रूप से अपनी पहचान साबित करता है।

चुनौती वितरण (distribution) की है। हजारों Windows, iOS और Android डिवाइसों पर मैन्युअल रूप से विशिष्ट क्लाइंट सर्टिफिकेट तैनात करना व्यावहारिक नहीं है। SCEP (Simple Certificate Enrollment Protocol), जिसे 2020 में IETF द्वारा RFC 8894 के रूप में औपचारिक रूप दिया गया था, इसे हल करता है। यह आपके MDM प्लेटफॉर्म के माध्यम से प्रबंधित (managed) डिवाइसों पर डिजिटल सर्टिफिकेट का अनुरोध करने, जारी करने और इंस्टॉल करने की प्रक्रिया को स्वचालित करता है - बिना किसी उपयोगकर्ता इंटरैक्शन के।

यह गाइड संपूर्ण आर्किटेक्चर को कवर करती है: SCEP क्या करता है, यह Microsoft Intune, Jamf और अन्य MDM प्लेटफॉर्म के साथ कैसे एकीकृत होता है, सटीक परिनियोजन (deployment) अनुक्रम जिसे अधिकांश टीमें गलत समझती हैं, और परिचालन संबंधी कमियां जो आउटेज का कारण बनती हैं। हम हॉस्पिटैलिटी और रिटेल के दो वास्तविक कार्यान्वयन परिदृश्यों को भी कवर करते हैं, और बताते हैं कि आपके सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क के साथ Purple का Guest WiFi प्लेटफॉर्म कहां फिट बैठता है।

साथी पॉडकास्ट ब्रीफिंग सुनें:

तकनीकी गहन विश्लेषण: SCEP, PKI, और 802.1X

SCEP वास्तव में क्या करता है

SCEP आपके Public Key Infrastructure (PKI) का विकल्प नहीं है। यह स्वचालित एनरोलमेंट लेयर है जो इसके ऊपर काम करती है। आपका PKI - आमतौर पर एक ऑफलाइन रूट CA और एक ऑनलाइन जारी करने वाले (issuing) CA के साथ दो-स्तरीय पदानुक्रम (two-tier hierarchy) - ट्रस्ट एंकर बना रहता है। SCEP उस चरण को स्वचालित करता है जहां एक डिवाइस उस CA से सर्टिफिकेट का अनुरोध करता है, जिससे मैन्युअल CSR जनरेशन और सर्टिफिकेट इंस्टॉलेशन की आवश्यकता समाप्त हो जाती है।

WiFi ऑथेंटिकेशन के संदर्भ में, लक्षित प्रोटोकॉल EAP-TLS है। यह 802.1X ऑथेंटिकेशन विधि है जिसके लिए क्लाइंट डिवाइस और RADIUS सर्वर दोनों को वैध X.509 सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है। क्रिप्टोग्राफिक प्रमाण के बिना कोई भी पक्ष दूसरे पर भरोसा नहीं करता है। वह पारस्परिक ऑथेंटिकेशन (mutual authentication) मॉडल क्रेडेंशियल चोरी को समाप्त करता है और इविल ट्विन (evil twin) हमलों से बचाता है, जहां एक हमलावर उपयोगकर्ता नाम और पासवर्ड चुराने के लिए एक नकली एक्सेस पॉइंट बनाता है।

EAP-TLS हैंडशेक के विस्तृत विवरण के लिए, WiFi Certificate Authentication: Secure Network Access पर हमारी गाइड देखें।

SCEP एनरोलमेंट फ्लो, चरण-दर-चरण

पूरी एनरोलमेंट श्रृंखला इस प्रकार काम करती है। आपका MDM प्लेटफॉर्म - Microsoft Intune, Jamf, या कोई अन्य MDM - एक प्रबंधित डिवाइस पर SCEP पेलोड भेजता है। उस पेलोड में दो चीजें होती हैं: आपके NDES (Network Device Enrollment Service) सर्वर या क्लाउड SCEP गेटवे की ओर इशारा करने वाला SCEP URL, और एक चैलेंज पासवर्ड या शेयर्ड सीक्रेट।

डिवाइस स्थानीय रूप से अपनी खुद की पब्लिक और प्राइवेट की (key) जोड़ी उत्पन्न करता है। यह SCEP की महत्वपूर्ण सुरक्षा विशेषता है: प्राइवेट की डिवाइस पर ही उत्पन्न होती है, सिक्योर एन्क्लेव या TPM चिप में सुरक्षित रहती है, और कभी भी नेटवर्क पर प्रसारित नहीं होती है। इसके बाद डिवाइस एक Certificate Signing Request (CSR) बनाता है और इसे SCEP गेटवे पर भेजता है। गेटवे चैलेंज पासवर्ड को सत्यापित करता है, CSR को आपके Certificate Authority को अग्रेषित करता है, और CA इस पर हस्ताक्षर करता है और डिवाइस को पब्लिक सर्टिफिकेट वापस कर देता है।

उस बिंदु से, जब डिवाइस आपके WiFi SSID से कनेक्ट होता है, तो यह उस सर्टिफिकेट को RADIUS सर्वर के सामने प्रस्तुत करता है। RADIUS सर्वर आपके CA ट्रस्ट चेन के खिलाफ सर्टिफिकेट को सत्यापित करता है, यह पुष्टि करने के लिए Certificate Revocation List (CRL) की जांच करता है कि सर्टिफिकेट को रद्द तो नहीं किया गया है, और यदि सब कुछ ठीक रहता है, तो एक्सेस पॉइंट को Access-Accept संदेश भेजता है। डिवाइस नेटवर्क पर आ जाता है। पूरी प्रक्रिया उपयोगकर्ता के लिए अदृश्य होती है।

SCEP बनाम PKCS: WiFi के लिए किसका उपयोग करें

Intune जैसे MDM प्लेटफॉर्म दो सर्टिफिकेट डिलीवरी तंत्रों का समर्थन करते हैं: SCEP और PKCS (Public Key Cryptography Standards)। आर्किटेक्चरल अंतर महत्वपूर्ण है।

SCEP के साथ, प्राइवेट की डिवाइस पर उत्पन्न होती है और इसे कभी नहीं छोड़ती है। PKCS के साथ, Certificate Authority केंद्रीय रूप से पब्लिक और प्राइवेट की दोनों उत्पन्न करता है, और सर्टिफिकेट कनेक्टर नेटवर्क पर डिवाइस पर की (key) जोड़ी भेजता है। इसका मतलब है कि प्राइवेट की प्रसारित होती है, जो एक सैद्धांतिक हमला सतह (attack surface) पेश करती है।

PKCS उन उपयोग के मामलों के लिए उपयुक्त है जहां की एस्क्रो (key escrow) की आवश्यकता होती है, जैसे कि S/MIME ईमेल एन्क्रिप्शन। WiFi ऑथेंटिकेशन के लिए, SCEP सही विकल्प है। प्राइवेट की डिवाइस पर ही रहती है।

विशेषता	SCEP	PKCS
प्राइवेट की जनरेशन	ऑन-डिवाइस (TPM/सिक्योर एन्क्लेव)	केंद्रीकृत (CA)
प्राइवेट की ट्रांसमिशन	कभी नहीं	नेटवर्क पर
NDES सर्वर आवश्यक	हाँ (या क्लाउड गेटवे)	नहीं
WiFi के लिए अनुशंसित	हाँ	नहीं
S/MIME के लिए अनुशंसित	नहीं	हाँ

हार्डवेयर अनुकूलता

SCEP और EAP-TLS वेंडर-न्यूट्रल मानक हैं। वे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet एक्सेस पॉइंट्स पर काम करते हैं। आपका RADIUS कॉन्फ़िगरेशन - चाहे वह Windows NPS, FreeRADIUS, या क्लाउड RADIUS सेवा हो - वह स्थान है जहाँ आप सर्टिफिकेट सत्यापन नीति और डायनेमिक VLAN असाइनमेंट को परिभाषित करते हैं।

डायनेमिक VLAN असाइनमेंट वह तरीका है जिससे आप डिवाइस की पहचान के आधार पर नेटवर्क को विभाजित करते हैं। एक स्टाफ डिवाइस को आंतरिक सिस्टम तक पहुंच के साथ VLAN 10 मिलता है। एक ठेकेदार (contractor) डिवाइस को केवल इंटरनेट एक्सेस के साथ VLAN 20 मिलता है। एक पॉइंट-ऑफ-सेल टर्मिनल को केवल भुगतान प्रसंस्करण प्रणालियों तक पहुंच के साथ VLAN 30 मिलता है। यह सब सर्टिफिकेट विशेषताओं और RADIUS नीति द्वारा संचालित होता है, जिसमें प्रति डिवाइस कोई मैन्युअल हस्तक्षेप नहीं होता है।

पहचान-आधारित नेटवर्क विभाजन के साथ WiFi Analytics कैसे एकीकृत होता है, इस बारे में अधिक जानकारी के लिए, हमारा एनालिटिक्स प्लेटफॉर्म अवलोकन देखें।

कार्यान्वयन गाइड: परिनियोजन (deployment) अनुक्रम

एंटरप्राइज WiFi के लिए SCEP को सफलतापूर्वक कॉन्फ़िगर करने के लिए एक विशिष्ट परिनियोजन अनुक्रम का कड़ाई से पालन करना आवश्यक है। MDM प्लेटफॉर्म प्रोफाइल निर्भरता लागू करते हैं: एक WiFi प्रोफाइल जो SCEP सर्टिफिकेट को संदर्भित करती है, तब तक लागू नहीं हो सकती जब तक कि वह सर्टिफिकेट डिवाइस पर मौजूद न हो। इस अनुक्रम का उल्लंघन परिनियोजन विफलताओं का सबसे आम कारण है।

अनुक्रम है: पहले Trusted Root, दूसरा SCEP प्रोफाइल, तीसरा WiFi प्रोफाइल। यह क्रम गैर-परक्राम्य (non-negotiable) है।

चरण 1: Trusted Root सर्टिफिकेट प्रोफाइल तैनात करें

इससे पहले कि कोई भी डिवाइस क्लाइंट सर्टिफिकेट का अनुरोध कर सके या आपके RADIUS सर्वर पर भरोसा कर सके, उसे जारी करने वाले Certificate Authority पर भरोसा करना चाहिए। अपने Root CA सर्टिफिकेट - और किसी भी इंटरमीडिएट CA सर्टिफिकेट - को .cer फाइलों के रूप में निर्यात (export) करें। अपने MDM एडमिन सेंटर में, एक Trusted Certificate प्रोफाइल बनाएं, .cer फाइल अपलोड करें, और इसे अपने लक्षित डिवाइस समूह में तैनात करें।

यदि आपके पास दो-स्तरीय PKI पदानुक्रम (अनुशंसित) है, तो आपको अपने MDM प्लेटफॉर्म के आधार पर रूट CA और जारी करने वाले CA सर्टिफिकेट दोनों को अलग-अलग Trusted Certificate प्रोफाइल के रूप में, या एकल प्रोफाइल में एक श्रृंखला के रूप में तैनात करने की आवश्यकता है।

चरण 2: SCEP सर्टिफिकेट प्रोफाइल कॉन्फ़िगर करें

एक बार ट्रस्ट स्थापित हो जाने के बाद, डिवाइसों को उनके क्लाइंट सर्टिफिकेट प्राप्त करने के तरीके के बारे में निर्देश देने के लिए SCEP प्रोफाइल को कॉन्फ़िगर करें।

एक नया कॉन्फ़िगरेशन प्रोफाइल बनाएं और SCEP सर्टिफिकेट प्रोफाइल प्रकार चुनें। सब्जेक्ट नाम प्रारूप (Subject name format) कॉन्फ़िगर करें। उपयोगकर्ता-संचालित ऑथेंटिकेशन के लिए, CN={{UserPrincipalName}} मानक है। डिवाइस ऑथेंटिकेशन (साझा डिवाइस, IoT, POS टर्मिनल) के लिए, CN={{AAD_Device_ID}} का उपयोग करें। Key usage को Digital signature और Key encipherment पर सेट करें। Extended Key Usage को Client Authentication (OID: 1.3.6.1.5.5.7.3.2) पर सेट करें। इस प्रोफाइल को चरण 1 में बनाए गए Trusted Root सर्टिफिकेट प्रोफाइल से लिंक करें। अपने NDES सर्वर का बाहरी URL प्रदान करें।

विशेष रूप से Microsoft Intune के लिए, ऑन-साइट पहुंचने से पहले रिमोट डिवाइसों को एनरोल करने की अनुमति देने के लिए NDES सर्वर को Azure AD Application Proxy के माध्यम से प्रकाशित किया जाना चाहिए। NDES को सीधे इंटरनेट पर उजागर न करें।

चरण 3: 802.1X WiFi प्रोफाइल तैनात करें

अंतिम चरण WiFi कॉन्फ़िगरेशन को पुश करना है जो सर्टिफिकेट को नेटवर्क SSID से जोड़ता है। एक WiFi कॉन्फ़िगरेशन प्रोफाइल बनाएं। नेटवर्क नाम (SSID) बिल्कुल वैसे ही दर्ज करें जैसे यह आपके एक्सेस पॉइंट्स द्वारा प्रसारित किया जाता है। सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें। EAP प्रकार को EAP-TLS पर सेट करें। ऑथेंटिकेशन सेटिंग्स में, क्लाइंट ऑथेंटिकेशन सर्टिफिकेट के रूप में चरण 2 में बनाए गए SCEP सर्टिफिकेट प्रोफाइल का चयन करें। सर्वर सत्यापन के लिए Trusted Root सर्टिफिकेट निर्दिष्ट करें - यह सुनिश्चित करता है कि डिवाइस केवल आपके वैध RADIUS सर्वर से कनेक्ट हो, न कि किसी नकली एक्सेस पॉइंट से।

पहचान प्रदाता (Identity provider) एकीकरण

SCEP सर्टिफिकेट विशेषताएं - विशेष रूप से Subject Alternative Name (SAN) - Microsoft Entra ID, Okta, या Google Workspace से उपयोगकर्ता का मुख्य नाम (principal name) ले जा सकती हैं। यह सर्टिफिकेट को एक विशिष्ट पहचान से जोड़ता है। जब आप Entra ID में किसी खाते को अक्षम करते हैं और MDM डिवाइस को अन-एनरोल करता है, तो सर्टिफिकेट रद्द कर दिया जाता है और WiFi एक्सेस स्वचालित रूप से कट जाता है। वह स्वचालित निरसन (automated revocation) वह सुरक्षा कहानी है जिसका मुकाबला प्री-शेयर्ड कीज़ नहीं कर सकती हैं।

PEAP-MSCHAPv2 माइग्रेशन पथों सहित EAP Method WiFi: A Guide to Secure Network Access पर अधिक जानकारी के लिए, हमारी समर्पित गाइड देखें।

सर्वोत्तम प्रथाएं और उद्योग मानक

NDES सर्वर प्लेसमेंट

NDES सर्वर इंटरनेट से सुलभ होना चाहिए ताकि डिवाइस ऑन-साइट पहुंचने से पहले एनरोल कर सकें। Azure AD Application Proxy के माध्यम से NDES URL प्रकाशित करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना सुरक्षित रिमोट एक्सेस प्रदान करता है और आपको एनरोलमेंट फ्लो पर कंडीशनल एक्सेस नीतियां लागू करने की अनुमति देता है। NDES को सीधे इंटरनेट पर कभी भी उजागर न करें।

500 से अधिक प्रबंधित डिवाइसों वाले नेटवर्क के लिए, ऑन-प्रिमाइसेस NDES के बजाय क्लाउड SCEP गेटवे पर विचार करें। क्लाउड गेटवे NDES के सिंगल पॉइंट ऑफ फेल्योर (single point of failure) को समाप्त करते हैं, क्षैतिज रूप से स्केल करते हैं, और आमतौर पर सीधे क्लाउड RADIUS सेवाओं के साथ एकीकृत होते हैं।

CRL उपलब्धता

आपका RADIUS सर्वर हर बार डिवाइस के ऑथेंटिकेट होने पर Certificate Revocation List की जांच करता. यदि आपका CRL Distribution Point (CDP) अनुपलब्ध है - क्योंकि सर्वर डाउन है या URL बदल गया है - तो नेटवर्क पर प्रत्येक डिवाइस के लिए ऑथेंटिकेशन एक साथ विफल हो जाता है। सख्त CRL जांच लागू करने के लिए अपने NPS या RADIUS सर्वर को कॉन्फ़िगर करें, और अपने CRL एंडपॉइंट्स को अत्यधिक उपलब्ध बनाएं। लाइव होने से पहले निरसन (revocation) का परीक्षण करें।

PCI DSS 4.0 आवश्यकता 8.6 कार्डधारक डेटा वातावरण के लिए नेटवर्क लेयर पर मल्टी-फैक्टर ऑथेंटिकेशन को अनिवार्य बनाती है। SCEP-प्रोविजंड सर्टिफिकेट के साथ EAP-TLS Retail और Hospitality वातावरण में वायरलेस नेटवर्क के लिए इस आवश्यकता को पूरा करता है।

WPA3 अनुकूलता

EAP-TLS पूरी तरह से WPA3-Enterprise के साथ संगत है। 192-बिट सुरक्षा सूट (Suite B) के साथ WPA3-Enterprise EAP-TLS को अनिवार्य बनाता है और यह सरकारी, वित्तीय और स्वास्थ्य सेवा नेटवर्क के लिए WiFi Alliance द्वारा अनुशंसित संयोजन है। यदि आप सख्त अनुपालन आवश्यकताओं वाले Healthcare या Transport वातावरण में तैनात कर रहे हैं, तो EAP-TLS के साथ WPA3-Enterprise सही लक्षित आर्किटेक्चर है।

BYOD और गेस्ट WiFi

सर्टिफिकेट पेलोड को पुश करने के लिए SCEP को MDM एनरोलमेंट की आवश्यकता होती है। यह अप्रबंधित (unmanaged) BYOD डिवाइसों या मेहमानों को कवर नहीं करता है। उन उपयोग के मामलों के लिए, आपको कैप्टिव पोर्टल और पहचान सत्यापन के साथ एक अलग SSID की आवश्यकता होती है। Purple का प्लेटफॉर्म उस लेयर को सफाई से संभालता है, जो आपके सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क के साथ काम करता है। हमारा Guest WiFi प्लेटफॉर्म सचेत-विकल्प ऑप्ट-इन (conscious-choice opt-ins), फर्स्ट-पार्टी डेटा कैप्चर, और पहचान सत्यापन के लिए Microsoft Entra ID, Okta, और Google Workspace के साथ एकीकरण का समर्थन करता है।

समस्या निवारण और जोखिम न्यूनीकरण

WiFi प्रोफाइल लागू होने में विफल

लक्षण: डिवाइस को Trusted Root और SCEP सर्टिफिकेट प्राप्त होते हैं, लेकिन WiFi प्रोफाइल MDM में त्रुटि (Error) या लागू नहीं (Not Applicable) के रूप में दिखाई देती है।

मूल कारण: समूह लक्ष्यीकरण बेमेल (Group targeting mismatch)। यदि SCEP प्रोफाइल एक उपयोगकर्ता समूह (User group) को लक्षित करती है और WiFi प्रोफाइल एक डिवाइस समूह (Device group) को लक्षित करती है, तो MDM निर्भरता को हल नहीं कर सकता है।

समाधान: अपने असाइनमेंट का ऑडिट करें। सुनिश्चित करें कि Trusted Root, SCEP, और WiFi प्रोफाइल सभी एक ही निर्देशिका समूह (directory group) को लक्षित करते हैं।

NDES 403 Forbidden त्रुटियां

लक्षण: डिवाइस SCEP सर्टिफिकेट प्राप्त करने में विफल रहते हैं। NDES IIS लॉग HTTP 403 त्रुटियां दिखाते हैं।

मूल कारण: MDM Certificate Connector सेवा खाते में सर्टिफिकेट टेम्पलेट पर Read और Enroll अनुमतियों की कमी है, या फ़ायरवॉल URL फ़िल्टरिंग SCEP क्वेरी स्ट्रिंग मापदंडों को अवरुद्ध कर रही है।

समाधान: सत्यापित करें कि कनेक्टर खाते के पास CA टेम्पलेट पर Read और Enroll अनुमतियां हैं। यह सुनिश्चित करने के लिए फ़ायरवॉल लॉग की जांच करें कि ?operation=GetCACaps वाले URL अवरुद्ध नहीं हैं।

CRL समाप्ति के बाद बड़े पैमाने पर ऑथेंटिकेशन विफलता

लक्षण: नेटवर्क पर सभी डिवाइस एक साथ ऑथेंटिकेट होने में विफल रहते हैं।

मूल कारण: CRL समाप्त हो गया है या CDP URL पहुंच से बाहर है। RADIUS सर्वर पुष्टि नहीं कर सकता कि सर्टिफिकेट वैध हैं और कनेक्शन बंद (fails closed) कर देता है।

समाधान: CRL मॉनिटरिंग और अलर्टिंग कॉन्फ़िगर करें। प्रकाशन अंतराल की तुलना में काफी लंबी वैधता अवधि के साथ CRL प्रकाशित करें। गो-लाइव से पहले RADIUS सर्वर से CDP पहुंच का परीक्षण करें।

सर्टिफिकेट की समाप्ति मूक विफलताओं (silent failures) का कारण बनती है

लक्षण: व्यक्तिगत डिवाइस रुक-रुक कर कनेक्ट होने में विफल रहते हैं, जिसका कोई स्पष्ट पैटर्न नहीं होता है।

मूल कारण: क्लाइंट सर्टिफिकेट समाप्त हो गए हैं और MDM ने उन्हें सफलतापूर्वक नवीनीकृत (renew) नहीं किया है।

समाधान: सर्टिफिकेट के जीवनकाल के 80% पर ट्रिगर होने के लिए सर्टिफिकेट नवीनीकरण कॉन्फ़िगर करें। सर्टिफिकेट त्रुटियों वाले डिवाइसों के लिए MDM एनरोलमेंट स्थिति रिपोर्ट की निगरानी करें। अपने डिवाइस रीफ्रेश चक्र के लिए उपयुक्त सर्टिफिकेट वैधता अवधि सेट करें - आमतौर पर प्रबंधित एंडपॉइंट्स के लिए एक से दो वर्ष।

ROI और व्यावसायिक प्रभाव

SCEP-आधारित 802.1X सर्टिफिकेट ऑथेंटिकेशन पर संक्रमण सुरक्षा, संचालन और अनुपालन में मापने योग्य रिटर्न प्रदान करता है।

हेल्पडेस्क टिकटों में कमी: पासवर्ड-आधारित WiFi बड़ी संख्या में सपोर्ट टिकट उत्पन्न करता है - पासवर्ड की समाप्ति, लॉकआउट और टाइपो। सर्टिफिकेट-आधारित ऑथेंटिकेशन उपयोगकर्ता के लिए अदृश्य है। संगठन आमतौर पर माइग्रेशन के बाद WiFi से संबंधित हेल्पडेस्क वॉल्यूम में 70-80% की कमी देखते हैं।

सुरक्षा स्थिति: EAP-TLS क्रेडेंशियल कटाई (credential harvesting) और मैन-इन-द-मिडल (Man-in-the-Middle) हमलों को समाप्त करता है। यह सीधे रिटेल और हॉस्पिटैलिटी नेटवर्क के लिए PCI DSS 4.0 अनुपालन, और उचित तकनीकी सुरक्षा उपायों के लिए GDPR अनुच्छेद 32 की आवश्यकताओं का समर्थन करता है।

स्वचालित निरसन (Automated revocation): जब कोई कर्मचारी छोड़ता है, तो Microsoft Entra ID में उनके खाते को अक्षम करने से स्वचालित सर्टिफिकेट निरसन और MDM अन-एनरोलमेंट ट्रिगर होता है। नेटवर्क टीम के किसी भी मैन्युअल हस्तक्षेप के बिना WiFi एक्सेस काट दिया जाता है।

नेटवर्क विभाजन: RADIUS सर्टिफिकेट विशेषताओं के माध्यम से डायनेमिक VLAN असाइनमेंट आपको क्रिप्टोग्राफिक रूप से लागू नेटवर्क विभाजन देता है। डिवाइस सर्टिफिकेट गुणों के आधार पर सही नेटवर्क सेगमेंट पर आते हैं, न कि SSID चयन या MAC एड्रेस फ़िल्टरिंग के आधार पर - इन दोनों को आसानी से बायपास किया जा सकता है।

Purple 99.999% अपटाइम के साथ 80,000+ से अधिक लाइव स्थानों पर काम करता है, और हमारा प्लेटफॉर्म ISO 27001, GDPR, CCPA, और Cyber Essentials प्रमाणित है। हमारा हार्डवेयर-अज्ञेयवादी (hardware-agnostic) क्लाउड ओवरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के साथ एकीकृत होता है - ताकि आपका सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क और हमारी गेस्ट WiFi लेयर एक ही इंफ्रास्ट्रक्चर से काम कर सकें।

Behavioral Analytics: Insights for WiFi Networks आपके सुरक्षित नेटवर्क परिनियोजन को कैसे पूरक कर सकता है, इस बारे में अधिक जानकारी के लिए, हमारी एनालिटिक्स गाइड देखें।

संदर्भ

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council

मुख्य परिभाषाएं

SCEP (Simple Certificate Enrollment Protocol)

RFC 8894 में औपचारिक रूप दिया गया एक प्रोटोकॉल जो प्रबंधित डिवाइसों को प्रारंभिक ऑथेंटिकेशन के लिए एक साझा चैलेंज पासवर्ड का उपयोग करके, HTTP के माध्यम से Certificate Authority से X.509 डिजिटल सर्टिफिकेट स्वचालित रूप से अनुरोध करने और प्राप्त करने की अनुमति देता है। प्राइवेट की डिवाइस पर उत्पन्न होती है और कभी प्रसारित नहीं होती है।

पैमाने पर प्रबंधित एंडपॉइंट्स पर WiFi ऑथेंटिकेशन सर्टिफिकेट तैनात करने के लिए Microsoft Intune और Jamf जैसे MDM प्लेटफॉर्म द्वारा उपयोग किया जाने वाला मानक तंत्र।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सबसे सुरक्षित 802.1X ऑथेंटिकेशन विधि, जिसके लिए क्लाइंट डिवाइस और RADIUS सर्वर दोनों को वैध X.509 सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है। पारस्परिक ऑथेंटिकेशन (Mutual authentication) का अर्थ है कि कोई भी पक्ष क्रिप्टोग्राफिक प्रमाण के बिना दूसरे पर भरोसा नहीं करता है।

एंटरप्राइज WiFi के लिए लक्षित ऑथेंटिकेशन प्रोटोकॉल। संवेदनशील डेटा को संभालने वाले वायरलेस नेटवर्क के लिए PCI DSS 4.0, WPA3-Enterprise 192-बिट (Suite B), और HIPAA द्वारा अनिवार्य या दृढ़ता से अनुशंसित।

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server भूमिका जो SCEP-सक्षम डिवाइसों और एक Certificate Authority के बीच Registration Authority (RA) के रूप में कार्य करती है। यह चैलेंज पासवर्ड को सत्यापित करती है और उन डिवाइसों की ओर से CA को CSR अग्रेषित करती है जिनके पास डोमेन क्रेडेंशियल नहीं हैं।

Microsoft Intune के साथ SCEP परिनियोजन के लिए आवश्यक इंफ्रास्ट्रक्चर। सीधे इंटरनेट पर उजागर होने के बजाय Azure AD Application Proxy के माध्यम से प्रकाशित किया जाना चाहिए।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट जारी करने, प्रबंधित करने और रद्द करने के लिए उपयोग किए जाने वाले Certificate Authorities, नीतियों और प्रक्रियाओं का पदानुक्रम। एक दो-स्तरीय PKI में एक ऑफलाइन रूट CA (मुख्य ट्रस्ट एंकर) और एक ऑनलाइन जारी करने वाला CA (जो दैनिक सर्टिफिकेट जारी करने का काम संभालता है) शामिल होता है।

EAP-TLS और SCEP परिनियोजन के लिए गैर-परक्राम्य पूर्व-आवश्यकता। रूट CA को एयर-गैप्ड (air-gapped) रखा जाना चाहिए; इसकी प्राइवेट की आपके संपूर्ण सर्टिफिकेट ट्रस्ट चेन की नींव है।

CSR (Certificate Signing Request)

एक डिवाइस द्वारा उत्पन्न संदेश जिसमें उसकी पब्लिक की और पहचान की जानकारी होती है, जिसे हस्ताक्षरित डिजिटल सर्टिफिकेट का अनुरोध करने के लिए Certificate Authority को भेजा जाता है। SCEP में, CSR ऑन-डिवाइस उत्पन्न होता है और ट्रांसमिशन से पहले एक PKCS लिफाफे में लपेटा जाता है।

SCEP एनरोलमेंट फ्लो के दौरान डिवाइस द्वारा स्वचालित रूप से उत्पन्न। CSR पर हस्ताक्षर करने के लिए उपयोग की जाने वाली प्राइवेट की कभी भी डिवाइस को नहीं छोड़ती है।

CRL (Certificate Revocation List)

Certificate Authority द्वारा प्रकाशित एक सूची जिसमें उन सर्टिफिकेट के सीरियल नंबर होते हैं जिन्हें उनकी समाप्ति तिथि से पहले रद्द कर दिया गया है। RADIUS सर्वर हर ऑथेंटिकेशन प्रयास पर CRL की जांच करते हैं ताकि यह सुनिश्चित किया जा सके कि रद्द किए गए सर्टिफिकेट नेटवर्क तक नहीं पहुंच सकें।

CRL Distribution Point (CDP) की उपलब्धता महत्वपूर्ण है। यदि RADIUS सर्वर CRL तक नहीं पहुंच पाता है, तो यह कनेक्शन बंद (fails closed) कर देता है और सभी ऑथेंटिकेशन को अस्वीकार कर देता है - जिससे पूरे नेटवर्क में आउटेज हो जाता है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रदान करता है। In 802.1X WiFi, the RADIUS server validates client certificates, checks the CRL, and returns an Access-Accept or Access-Reject message to the access point.

802.1X सप्लीकेंट-ऑथेंटिकेटर-सर्वर मॉडल में ऑथेंटिकेशन सर्वर। सामान्य कार्यान्वयनों में Windows NPS, FreeRADIUS, और क्लाउड RADIUS सेवाएं शामिल हैं।

Dynamic VLAN assignment

एक RADIUS विशेषता जो SSID चयन या MAC एड्रेस फ़िल्टरिंग पर भरोसा करने के बजाय, सर्टिफिकेट विशेषताओं या निर्देशिका समूह सदस्यता के आधार पर एक ऑथेंटिकेटेड डिवाइस को एक विशिष्ट VLAN पर रखती है। डिवाइस की पहचान के आधार पर नेटवर्क विभाजन लागू करती है।

एक ही SSID को विभिन्न नेटवर्क एक्सेस स्तरों के साथ कई डिवाइस प्रकारों की सेवा करने में सक्षम बनाता है। एक स्टाफ डिवाइस को VLAN 10 (आंतरिक पहुंच) मिलता है; एक ठेकेदार डिवाइस को VLAN 20 (केवल इंटरनेट) मिलता है; एक POS टर्मिनल को VLAN 30 (केवल भुगतान प्रणाली) मिलता है।

MDM (Mobile Device Management)

स्मार्टफोन, टैबलेट और लैपटॉप को एनरोल, कॉन्फ़िगर, सुरक्षित और प्रबंधित करने के लिए IT टीमों द्वारा उपयोग किया जाने वाला सॉफ़्टवेयर। Microsoft Intune और Jamf जैसे MDM प्लेटफॉर्म उपयोगकर्ता के हस्तक्षेप के बिना प्रबंधित डिवाइसों पर सर्टिफिकेट एनरोलमेंट निर्देश भेजने के लिए SCEP प्रोफाइल का उपयोग करते हैं।

SCEP-आधारित सर्टिफिकेट परिनियोजन के लिए पूर्व-आवश्यकता। SCEP और WiFi प्रोफाइल प्राप्त करने से पहले डिवाइसों को MDM-एनरोल होना चाहिए। अप्रबंधित BYOD डिवाइसों के लिए एक अलग ऑनबोर्डिंग दृष्टिकोण की आवश्यकता होती है।

हल किए गए उदाहरण

एक 200 कमरों वाली Premier Inn संपत्ति को पॉइंट-ऑफ-सेल टैबलेट और हाउसकीपिंग स्मार्टफोन के लिए अपने स्टाफ WiFi को सुरक्षित करने की आवश्यकता है। वे वर्तमान में एक प्री-शेयर्ड की (key) का उपयोग करते हैं जो ठेकेदारों (contractors) को लीक हो गई है। वे Microsoft Intune के माध्यम से डिवाइसों को प्रबंधित करते हैं और उनके पास iOS और Android डिवाइसों का मिश्रण है। यह संपत्ति HPE Aruba एक्सेस पॉइंट्स का उपयोग करती है।

एक आंतरिक Microsoft AD CS दो-स्तरीय PKI तैनात करें। एक समर्पित Windows सर्वर पर NDES कॉन्फ़िगर करें और इसे Azure AD Application Proxy के माध्यम से प्रकाशित करें।
Intune में, Root CA और जारी करने वाले CA सर्टिफिकेट वाले एक Trusted Root Certificate प्रोफाइल बनाएं। इसे 'Property Staff Devices' Azure AD समूह में तैनात करें।
Intune में NDES बाहरी URL की ओर इशारा करते हुए एक SCEP Certificate प्रोफाइल बनाएं। सब्जेक्ट नाम प्रारूप (Subject Name format) को CN={{AAD_Device_ID}} पर सेट करें क्योंकि ये साझा डिवाइस हैं। Key Usage को Digital Signature और Key Encipherment पर, Extended Key Usage को Client Authentication पर सेट करें। 'Property Staff Devices' पर तैनात करें।
स्टाफ SSID के लिए एक WiFi प्रोफाइल बनाएं, जिसमें WPA2-Enterprise और EAP-TLS कॉन्फ़िगर करें। क्लाइंट ऑथेंटिकेशन के लिए SCEP प्रोफाइल और सर्वर सत्यापन के लिए Root CA का चयन करें। 'Property Staff Devices' पर तैनात करें।
Windows NPS की ओर इशारा करने के लिए HPE Aruba RADIUS सेटिंग्स कॉन्फ़िगर करें। NPS पर, EAP-TLS की आवश्यकता वाली और स्टाफ डिवाइसों के लिए VLAN 10 असाइन करने वाली एक नेटवर्क नीति (Network Policy) कॉन्फ़िगर करें।
एक बार जब डिवाइस प्रोफाइल प्राप्त कर लेते हैं और सफलतापूर्वक कनेक्ट हो जाते हैं, तो पुराने SSID पर PSK को घुमाएं (rotate) और इसे बंद करने (decommission) की योजना बनाएं।

परीक्षक की टिप्पणी: यह दृष्टिकोण सही ढंग से पहचानता है कि साझा डिवाइसों (POS, हाउसकीपिंग) को उपयोगकर्ता-आधारित ऑथेंटिकेशन के बजाय डिवाइस-आधारित ऑथेंटिकेशन (CN={{AAD_Device_ID}}) की आवश्यकता होती है, क्योंकि कई स्टाफ सदस्य एक ही डिवाइस का उपयोग करते हैं। यह अनिवार्य प्रोफाइल परिनियोजन अनुक्रम का पालन करता है और यह सुनिश्चित करता है कि तीनों प्रोफाइल एक ही Azure AD समूह को लक्षित करें। सीधे इंटरनेट पर उजागर करने के बजाय App Proxy के माध्यम से NDES प्रकाशित करना हॉस्पिटैलिटी वातावरण के लिए सही सुरक्षा स्थिति है।

50 स्थानों वाली एक रिटेल चेन सभी साइटों पर कॉर्पोरेट लैपटॉप के लिए 802.1X तैनात करना चाहती है। वे Cisco Meraki एक्सेस पॉइंट्स और Microsoft Intune का उपयोग करते हैं। वे प्रत्येक स्थान पर या अपने डेटा सेंटर में ऑन-प्रिमाइसेस NDES सर्वर या AD CS इंफ्रास्ट्रक्चर को तैनात और बनाए रखना नहीं चाहते हैं।

एक क्लाउड-आधारित PKI और SCEP गेटवे सेवा लागू करें जो SCEP प्रोटोकॉल के माध्यम से Intune के साथ एकीकृत होती है। क्लाउड CA सर्टिफिकेट जारी करता है; क्लाउड SCEP गेटवे CSR सत्यापन को संभालता है।
कॉर्पोरेट SSID के लिए Wireless > Access Control के तहत Cisco Meraki डैशबोर्ड के भीतर क्लाउड RADIUS सेवा (PKI विक्रेता द्वारा प्रदान की गई) को कॉन्फ़िगर करें। सुरक्षा को WPA2-Enterprise पर सेट करें और RADIUS को क्लाउड सेवा की ओर इंगित करें।
Intune में, क्लाउड CA रूट सर्टिफिकेट वाला एक Trusted Root Certificate प्रोफाइल बनाएं। 'Corporate Laptops' डिवाइस समूह में तैनात करें।
क्लाउड SCEP गेटवे URL की ओर इशारा करते हुए एक SCEP Certificate प्रोफाइल बनाएं। उपयोगकर्ता-आधारित ऑथेंटिकेशन के लिए सब्जेक्ट नाम को CN={{UserPrincipalName}} पर सेट करें। 'Corporate Laptops' पर तैनात करें।
SCEP प्रोफाइल और क्लाउड CA रूट को संदर्भित करते हुए EAP-TLS के साथ कॉर्पोरेट SSID के लिए एक WiFi प्रोफाइल बनाएं। 'Corporate Laptops' पर तैनात करें।
जब लैपटॉप Intune में एनरोल होते हैं, तो वे क्लाउड SCEP गेटवे के माध्यम से क्लाउड CA से स्वचालित रूप से सर्टिफिकेट का अनुरोध करते हैं। सभी 50 स्थानों में से किसी पर भी ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर की आवश्यकता नहीं है।

परीक्षक की टिप्पणी: यह वितरित रिटेल वातावरण के लिए इष्टतम आधुनिक आर्किटेक्चर है। क्लाउड PKI और क्लाउड RADIUS का लाभ उठाकर, संगठन को प्रत्येक साइट पर जटिल ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर (NDES, AD CS, NPS) को बनाए रखने की आवश्यकता समाप्त हो जाती है। क्लाउड SCEP गेटवे क्षैतिज रूप से स्केल करता है और स्वाभाविक रूप से अत्यधिक उपलब्ध है, जो ऑन-प्रिमाइसेस NDES द्वारा पेश किए जाने वाले सिंगल पॉइंट ऑफ फेल्योर को हटा देता है। Cisco Meraki का क्लाउड-प्रबंधित आर्किटेक्चर इस दृष्टिकोण के साथ अच्छी तरह से मेल खाता है।

अभ्यास प्रश्न

Q1. आपका संगठन PEAP-MSCHAPv2 से EAP-TLS पर माइग्रेट कर रहा है। आपने Intune में अपने 'Corporate Users' Azure AD समूह में Trusted Root और SCEP प्रोफाइल को सफलतापूर्वक तैनात कर दिया है। आप WiFi प्रोफाइल को 'All Corporate Devices' पर तैनात करते हैं। उपयोगकर्ता रिपोर्ट करते हैं कि वे कनेक्ट नहीं हो पा रहे हैं और WiFi प्रोफाइल लागू नहीं (Not Applicable) के रूप में दिखाई देती है।

संकेत: प्रोफाइल निर्भरता और समूह लक्ष्यीकरण नियमों की जांच करें। Intune असाइन किए गए समूह के आधार पर प्रोफाइल निर्भरता को हल करता है।

मॉडल उत्तर देखें

समस्या समूह लक्ष्यीकरण बेमेल (group targeting mismatch) की है। WiFi प्रोफाइल SCEP प्रोफाइल पर निर्भर करती है, जिसे एक उपयोगकर्ता समूह ('Corporate Users') पर लक्षित किया गया था। WiFi प्रोफाइल को एक डिवाइस समूह ('All Corporate Devices') पर लक्षित किया गया था। Intune विभिन्न समूह प्रकारों में निर्भरता को हल नहीं कर सकता है। इसका समाधान तीनों प्रोफाइल असाइनमेंट - Trusted Root, SCEP, और WiFi - को एक ही समूह को लक्षित करने के लिए बदलना है। अपने ऑथेंटिकेशन मॉडल (उपयोगकर्ता-आधारित बनाम डिवाइस-आधारित) के आधार पर तय करें कि उपयोगकर्ता समूह का उपयोग करना है या डिवाइस समूह का, और इसे तीनों प्रोफाइल में लगातार लागू करें।

Q2. एक सुरक्षा ऑडिट से पता चलता है कि जब किसी कर्मचारी को नौकरी से निकाल दिया जाता है और उसका Microsoft Entra ID खाता अक्षम कर दिया जाता है, तो उसका कॉर्पोरेट स्मार्टफोन समाप्ति के एक सप्ताह बाद तक स्टाफ WiFi नेटवर्क से कनेक्ट हो सकता है।

संकेत: विचार करें कि खाता अक्षम होने के बाद RADIUS सर्वर कैसे निर्धारित करता है कि सर्टिफिकेट अभी भी वैध है या नहीं। निरसन (revocation) स्थिति को संप्रेषित करने का तंत्र क्या है?

मॉडल उत्तर देखें

RADIUS सर्वर सख्त Certificate Revocation List जांच नहीं कर रहा है, या CRL को बहुत कम बार प्रकाशित किया जाता है। जब किसी कर्मचारी को नौकरी से निकाला जाता है, तो MDM को डिवाइस को अन-एनरोल करना चाहिए और CA को सर्टिफिकेट रद्द करना चाहिए। हालांकि, यदि RADIUS सर्वर प्रत्येक ऑथेंटिकेशन प्रयास पर CRL की जांच नहीं कर रहा है - या यदि CRL केवल साप्ताहिक रूप से प्रकाशित होता है - तो रद्द किए गए सर्टिफिकेट को स्वीकार किया जाना जारी रहता है। समाधान में तीन चरण शामिल हैं: प्रत्येक ऑथेंटिकेशन पर सख्त CRL जांच लागू करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें; कम अंतराल (दैनिक या अधिक बार) पर CRL प्रकाशित करने के लिए CA को कॉन्फ़िगर करें; और यह सुनिश्चित करें कि डिवाइस के अन-एनरोल होने पर सर्टिफिकेट निरसन को ट्रिगर करने के लिए MDM कॉन्फ़िगर किया गया है।

Q3. आपको हेडलेस IoT डिवाइसों (स्मार्ट थर्मोस्टेट, डिजिटल साइनेज प्लेयर) के लिए सुरक्षित WiFi एक्सेस प्रदान करने की आवश्यकता है जो MDM एजेंट नहीं चला सकते हैं और कैप्टिव पोर्टल प्रदर्शित नहीं कर सकते हैं। क्या आप इन डिवाइसों के लिए SCEP का उपयोग कर सकते हैं, और यदि नहीं, तो अनुशंसित विकल्प क्या है?

संकेत: SCEP एनरोलमेंट के लिए पूर्व-आवश्यकताओं पर विचार करें और उन डिवाइसों के लिए क्या विकल्प मौजूद हैं जिन्हें MDM-एनरोल नहीं किया जा सकता है या जो ब्राउज़र के साथ इंटरैक्ट नहीं कर सकते हैं।

मॉडल उत्तर देखें

इन डिवाइसों के लिए SCEP का उपयोग नहीं किया जा सकता है। SCEP को एनरोलमेंट URL और चैलेंज पासवर्ड प्राप्त करने, की (key) जोड़ी उत्पन्न करने और परिणामी सर्टिफिकेट स्थापित करने के लिए एक MDM एजेंट की आवश्यकता होती है। हेडलेस IoT डिवाइस जो MDM एजेंट नहीं चला सकते हैं, वे SCEP एनरोलमेंट फ्लो में भाग नहीं ले सकते हैं। अनुशंसित विकल्प हैं: (1) सख्त VLAN विभाजन के साथ संयुक्त MAC Authentication Bypass (MAB) - RADIUS सर्वर डिवाइस को उसके MAC एड्रेस के आधार पर अनुमति देता है और इसे कॉर्पोरेट सिस्टम तक पहुंच के बिना एक अलग IoT VLAN पर रखता है; (2) यदि डिवाइस इसका समर्थन करता है, तो EST (Enrollment over Secure Transport, RFC 7030) उन डिवाइसों को सर्टिफिकेट प्रदान कर सकता है जो HTTPS का समर्थन करते हैं लेकिन MDM का नहीं; (3) प्रबंधन इंटरफ़ेस वाले डिवाइसों के लिए, कुछ विक्रेता MDM एजेंट की आवश्यकता के बिना सीधे डिवाइस फ़र्मवेयर के माध्यम से SCEP एनरोलमेंट का समर्थन करते हैं। सभी मामलों में, उपयोग की जाने वाली ऑथेंटिकेशन विधि की परवाह किए बिना IoT डिवाइसों को एक समर्पित VLAN पर अलग किया जाना चाहिए।

इस श्रृंखला में आगे पढ़ें

SCEP के लिए एंटरप्राइज गाइड: ऑटोमेटेड कैंपस WiFi सिक्योरिटी के लिए सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल को डिप्लॉय करना

यह टेक्निकल रेफरेंस गाइड SCEP का उपयोग करके एंटरप्राइज WiFi सर्टिफिकेट डिप्लॉयमेंट के लिए एक निश्चित आर्किटेक्चरल ब्लूप्रिंट और स्टेप-बाय-स्टेप इम्प्लीमेंटेशन स्ट्रेटेजी प्रदान करती है। इसमें SCEP और PKCS के बीच महत्वपूर्ण अंतर, सफलता के लिए आवश्यक सटीक डिप्लॉयमेंट सीक्वेंस और IT लीडर्स के लिए वास्तविक दुनिया की जोखिम कम करने की रणनीतियाँ शामिल हैं।

स्वचालित WiFi प्रमाणपत्र नामांकन के लिए SCEP को कैसे लागू करें

यह गाइड बताती है कि एंटरप्राइज वेन्यू में स्वचालित WiFi प्रमाणपत्र नामांकन के लिए SCEP (Simple Certificate Enrollment Protocol) को कैसे लागू किया जाए। इसमें PKI डिज़ाइन और MDM एकीकरण से लेकर अनिवार्य तीन-चरणीय परिनियोजन अनुक्रम तक - संपूर्ण आर्किटेक्चरल ब्लूप्रिंट शामिल है - और IT प्रबंधकों और नेटवर्क आर्केटेक्ट्स को दिखाता है कि कैसे साझा क्रेडेंशियल्स को समाप्त किया जाए, प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित किया जाए, और बड़े पैमाने पर PCI-DSS और GDPR आवश्यकताओं को पूरा किया जाए।

Cisco SUDI को समझना: नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-आधारित डिवाइस पहचान

यह गाइड Cisco SUDI के तकनीकी आर्किटेक्चर का विवरण देती है, जिसमें बताया गया है कि कैसे हार्डवेयर-एंकर वाली पहचान नेटवर्क एक्सेस कंट्रोल को सुरक्षित करती है। यह IT लीडर्स के लिए एंटरप्राइज स्थानों पर 802.1X EAP-TLS ऑथेंटिकेशन को डिप्लॉय करने और Zero Touch Provisioning को स्वचालित करने के लिए व्यावहारिक कार्यान्वयन चरण प्रदान करती है।