स्वचालित WiFi प्रमाणपत्र नामांकन के लिए SCEP को कैसे लागू करें

कार्यकारी सारांश

होटल, रिटेल संपत्तियों, स्टेडियमों और सम्मेलन केंद्रों में Guest WiFi चलाने वाले स्थल ऑपरेटरों के लिए, कर्मचारियों के नेटवर्क एक्सेस के लिए प्री-शेयर्ड कीज़ (pre-shared keys) या बुनियादी कैप्टिव पोर्टल पर भरोसा करना एक सुरक्षा जोखिम है। आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रांसपोर्ट लेयर सिक्योरिटी) का उपयोग करके 802.1X ऑथेंटिकेशन की मांग करता है, जिससे यह सुनिश्चित होता है कि नेटवर्क को छूने से पहले प्रत्येक डिवाइस को क्रिप्टोग्राफिक रूप से सत्यापित किया जाए। चुनौती वितरण की है: आप अपने हेल्पडेस्क पर काम का बोझ बढ़ाए बिना हजारों Windows, iOS और Android डिवाइसों पर अद्वितीय क्लाइंट प्रमाणपत्र कैसे तैनात करते हैं?

इसका उत्तर SCEP है - सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल। 2020 में IETF द्वारा RFC 8894 के रूप में औपचारिक रूप दिया गया, SCEP प्रबंधित डिवाइस बेड़े में प्रमाणपत्र नामांकन को स्वचालित करता है। जब Microsoft Intune या Jamf जैसे MDM प्लेटफॉर्म के साथ एकीकृत किया जाता है, तो SCEP ज़ीरो-टच प्रमाणपत्र प्रोविज़निंग प्रदान करता है: डिवाइस बिना किसी IT हस्तक्षेप के अपने स्वयं के प्रमाणपत्रों का अनुरोध करते हैं, उन्हें प्राप्त करते हैं और उनका नवीनीकरण करते हैं। प्राइवेट की (private key) डिवाइस पर स्थानीय रूप से उत्पन्न होती है और कभी भी नेटवर्क पर प्रसारित नहीं होती है - यह PKCS-आधारित वितरण की तुलना में एक मौलिक सुरक्षा लाभ है।

यह गाइड संपूर्ण SCEP कार्यान्वयन वर्कफ़्लो के बारे में बताती है: PKI आर्किटेक्चर, NDES गेटवे कॉन्फ़िगरेशन, अनिवार्य तीन-चरणीय MDM परिनियोजन अनुक्रम, और परिचालन नियंत्रण - विशेष रूप से CRL चेकिंग और ग्रुप टारगेटिंग - जो यह निर्धारित करते हैं कि रोलआउट सफल होता है या रुक जाता है। दो वास्तविक दुनिया के परिदृश्य हॉस्पिटैलिटी और रिटेल वातावरण में इस दृष्टिकोण को स्पष्ट करते हैं। Purple 80,000+ लाइव स्थानों और 350 मिलियन अद्वितीय उपयोगकर्ताओं पर काम करता है; यहाँ वर्णित पैटर्न दर्शाते हैं कि उस पैमाने पर क्या काम करता है।

तकनीकी गहन विश्लेषण

SCEP वास्तव में क्या करता है

SCEP आपके MDM प्लेटफॉर्म और आपके सर्टिफिकेट अथॉरिटी (CA) के बीच काम करता है। यह डोमेन-जॉइन्ड क्रेडेंशियल या मैन्युअल एडमिनिस्ट्रेटर की भागीदारी के बिना डिवाइसों के लिए X.509 प्रमाणपत्रों का अनुरोध करने, प्राप्त करने और नवीनीकृत करने के लिए एक मानकीकृत HTTP-आधारित तंत्र प्रदान करता है। यह प्रोटोकॉल मूल रूप से 2000 के दशक की शुरुआत में विकसित किया गया था और IETF द्वारा औपचारिक रूप से इसे RFC 8894 के रूप में प्रकाशित करने से पहले एंटरप्राइज MDM वातावरण में व्यापक रूप से अपनाया गया था।

छह-चरणीय नामांकन प्रवाह इस प्रकार काम करता है। पहला, प्रबंधित डिवाइस अपने MDM प्रोफाइल में पूर्व-कॉन्फ़िगर किए गए SCEP गेटवे URL से जुड़ता है। दूसरा, डिवाइस स्थानीय रूप से एक प्राइवेट/पब्लिक की (key) पेयर उत्पन्न करता है और एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) बनाता है। तीसरा, SCEP गेटवे MDM पॉलिसी में एम्बेडेड चैलेंज पासवर्ड या OTP का उपयोग करके डिवाइस के प्राधिकरण को मान्य करता है। चौथा, गेटवे मान्य CSR को CA को अग्रेषित करता है। पांचवां, CA प्रमाणपत्र पर हस्ताक्षर करता है और इसे गेटवे पर वापस भेजता है। छठा, गेटवे हस्ताक्षरित प्रमाणपत्र डिवाइस को वितरित करता है। भविष्य के नवीनीकरण इसी स्वचालित पथ का अनुसरण करते हैं - डिवाइस बिना किसी उपयोगकर्ता या एडमिनिस्ट्रेटर की कार्रवाई के समाप्ति से पहले फिर से नामांकित हो जाता है।

SCEP बनाम PKCS: वह निर्णय जो मायने रखता है

Microsoft Intune और अधिकांश MDM प्लेटफॉर्म दो प्रमाणपत्र वितरण तंत्रों का समर्थन करते हैं: SCEP और PKCS। यह अंतर आर्किटेक्चरल है, कॉस्मेटिक नहीं।

SCEP के साथ, प्राइवेट की (private key) डिवाइस पर उत्पन्न होती है और वहीं रहती है। CA इसे कभी नहीं देखता है। डिवाइस का TPM (Windows पर) या Secure Enclave (iOS/macOS पर) हार्डवेयर स्तर पर की (key) की सुरक्षा करता है। PKCS के साथ, CA केंद्रीय रूप से की (key) पेयर उत्पन्न करता है और इसे नेटवर्क पर डिवाइस पर प्रसारित करता है। CA एक कॉपी अपने पास रखता है, जिससे की एस्क्रो (key escrow) सक्षम होता है - जो S/MIME ईमेल एन्क्रिप्शन के लिए उपयोगी है लेकिन नेटवर्क ऑथेंटिकेशन के लिए अनावश्यक जोखिम पैदा करता है।

802.1X WiFi ऑथेंटिकेशन के लिए, SCEP का उपयोग करें। प्राइवेट की (private key) कभी भी डिवाइस से बाहर नहीं जाती है। यही नियम है।

802.1X और EAP-TLS: ऑथेंटिकेशन फ्रेमवर्क

IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक है जो एंटरप्राइज WiFi सुरक्षा को आधार प्रदान करता है। यह तीन भूमिकाओं को परिभाषित करता है: सप्लिकेंट (क्लाइंट डिवाइस), ऑथेंटिकेटर (एक्सेस पॉइंट - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, या Fortinet), और ऑथेंटिकेशन सर्वर (एक RADIUS सर्वर जैसे Microsoft NPS, FreeRADIUS, या Cisco ISE)।

EAP-TLS 802.1X के लिए सबसे सुरक्षित EAP तरीका है। दोनों पक्ष प्रमाणपत्र प्रस्तुत करते हैं: RADIUS सर्वर क्लाइंट को अपना प्रमाणपत्र प्रस्तुत करता है, और क्लाइंट RADIUS सर्वर को अपना SCEP-प्रोविजन्ड प्रमाणपत्र प्रस्तुत करता है। विश्वसनीय CA पदानुक्रम से वैध, गैर-रद्द प्रमाणपत्र के बिना कोई भी पक्ष दूसरे का रूप धारण नहीं कर सकता है। यह पारस्परिक ऑथेंटिकेशन मॉडल एक ही आर्किटेक्चरल निर्णय में क्रेडेंशियल चोरी, इविल ट्विन (Evil Twin) हमलों और अनधिकृत एक्सेस पॉइंट के जोखिमों को समाप्त करता है।

EAP-TLS नेटवर्क लेयर पर मल्टी-फैक्टर ऑथेंटिकेशन के लिए PCI-DSS 4.0 आवश्यकता 8.6 को पूरा करता है। यह WPA3-Enterprise 192-बिट (Suite B) परिनियोजन के लिए आवश्यक है। कार्डधारक डेटा प्रोसेसिंग के दायरे में आने वाले किसी भी वायरलेस नेटवर्क के लिए - रिटेल पॉइंट-ऑफ-सेल, होटल फ्रंट डेस्क, स्टेडियम टिकटिंग - EAP-TLS सही विकल्प है।

secure WiFi आर्किटेक्चर और प्रमाणपत्र-आधारित ऑथेंटिकेशन एक व्यापक सुरक्षा स्थिति के भीतर कैसे फिट बैठता है, इस पर गहराई से नज़र डालने के लिए, हमारी आवश्यक गाइड देखें।

कार्यान्वयन गाइड

परिनियोजन अनुक्रम गैर-परक्राम्य है। Intune और Jamf प्रोफाइल निर्भरताओं को क्रम से हल करते हैं: WiFi प्रोफाइल SCEP प्रोफाइल पर निर्भर करता है, जो Trusted Root प्रोफाइल पर निर्भर करता है। उन्हें क्रम से बाहर तैनात करें और WiFi प्रोफाइल लागू होने में विफल हो जाएगा।

चरण 1: अपना PKI डिज़ाइन करें

MDM कंसोल को छूने से पहले, अपने प्रमाणपत्र पदानुक्रम को डिज़ाइन करें। एक दो-स्तरीय PKI मानक है: एक ऑफ़लाइन रूट CA और एक ऑनलाइन जारी करने वाला CA। रूट CA की प्राइवेट की (private key) आपके संपूर्ण प्रमाणपत्र बुनियादी ढांचे के लिए मास्टर ट्रस्ट एंकर है - इसे एयर-गैप्ड रखें। जारी करने वाला CA दैनिक प्रमाणपत्र जारी करने का काम संभालता है और सर्टिफिकेट रिवोकेशन लिस्ट (CRL) और OCSP रिस्पॉन्डर प्रकाशित करता है।

अधिकांश एंटरप्राइज स्थल परिनियोजनों के लिए, Windows Server पर चलने वाली Microsoft Active Directory Certificate Services (AD CS) जारी करने वाला CA प्रदान करती है। SCEPman या SecureW2 जैसे प्रदाताओं से क्लाउड-होस्टेड PKI सेवाएं ऑन-प्रिमाइसेस बुनियादी ढांचे की आवश्यकता को पूरी तरह से समाप्त कर देती हैं और होटल समूहों, रिटेल श्रृंखलाओं, या बहु-साइट सार्वजनिक-क्षेत्र के संगठनों में वितरित संपत्तियों के परिनियोजन के लिए मूल्यांकन करने योग्य हैं।

चरण 2: NDES सर्वर (या क्लाउड SCEP गेटवे) तैनात करें

NDES (नेटवर्क डिवाइस एनरोलमेंट सर्विस) Microsoft Windows Server भूमिका है जो आपके MDM और आपके CA के बीच SCEP गेटवे के रूप में कार्य करती है। मुख्य कॉन्फ़िगरेशन आवश्यकताएँ:

• Azure AD एप्लीकेशन प्रॉक्सी (या समकक्ष रिवर्स प्रॉक्सी) के माध्यम से NDES URL को बाहरी रूप से प्रकाशित करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना, रिमोट डिवाइसों को ऑन-साइट आने से पहले नामांकित होने की अनुमति देता है।
• NDES सेवा खाते को CA प्रमाणपत्र टेम्पलेट पर Read और Enroll अनुमतियों की आवश्यकता होती है।
• की यूसेज (Key Usage) को डिजिटल सिग्नेचर और की एनसाइफरमेंट पर सेट करके प्रमाणपत्र टेम्पलेट को कॉन्फ़िगर करें, और एक्सटेंडेड की यूसेज (Extended Key Usage) को क्लाइंट ऑथेंटिकेशन (OID: 1.3.6.1.5.5.7.3.2) पर सेट करें।
• एक उचित प्रमाणपत्र वैधता अवधि निर्धारित करें। क्लाइंट प्रमाणपत्रों के लिए एक वर्ष मानक है; स्थिर बेड़े में डिवाइस प्रमाणपत्रों के लिए दो वर्ष स्वीकार्य है।

यदि आप ऑन-प्रिमाइसेस NDES बुनियादी ढांचे से बचना चाहते हैं, तो क्लाउड SCEP गेटवे API के माध्यम से सीधे Intune और आपके CA के साथ एकीकृत होते हैं, जिससे IIS निर्भरता पूरी तरह से समाप्त हो जाती है।

चरण 3: Trusted Root प्रमाणपत्र प्रोफ़ाइल तैनात करें

अपने MDM प्लेटफॉर्म में, एक Trusted Certificate प्रोफाइल बनाएं और अपने Root CA प्रमाणपत्र (और किसी भी इंटरमीडिएट CA प्रमाणपत्र) को .cer फ़ाइलों के रूप में अपलोड करें। किसी भी अन्य प्रमाणपत्र या WiFi प्रोफाइल से पहले इस प्रोफाइल को अपने लक्षित डिवाइस समूहों में तैनात करें। इस चरण के बिना, डिवाइस EAP-TLS हैंडशेक के दौरान RADIUS सर्वर के प्रमाणपत्र को मान्य नहीं कर सकते हैं, और वे अपने स्वयं के SCEP प्रमाणपत्र का अनुरोध करते समय जारी करने वाले CA पर भरोसा नहीं कर सकते हैं।

व्यावहारिक नियम: तीनों संबंधित प्रोफाइल में हमेशा एक ही Azure AD समूह (या तो उपयोगकर्ता या डिवाइस) को लक्षित करें। यहाँ बेमेल होना WiFi प्रोफाइल परिनियोजन विफलताओं का सबसे आम कारण है।

चरण 4: SCEP प्रमाणपत्र प्रोफ़ाइल कॉन्फ़िगर करें

अपने MDM में एक SCEP प्रमाणपत्र कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं:

• विषय नाम प्रारूप (Subject name format): उपयोगकर्ता-संचालित ऑथेंटिकेशन के लिए, CN={{UserPrincipalName}} का उपयोग करें। डिवाइस ऑथेंटिकेशन (साझा उपकरणों और IoT के लिए अनुशंसित) के लिए, CN={{AAD_Device_ID}} का उपयोग करें।
• की यूसेज (Key usage): डिजिटल सिग्नेचर, की एनसाइफरमेंट।
• एक्सटेंडेड की यूसेज (Extended key usage): क्लाइंट ऑथेंटिकेशन (OID: 1.3.6.1.5.5.7.3.2)।
• SCEP सर्वर URL: बाहरी रूप से प्रकाशित NDES URL।
• रूट प्रमाणपत्र: चरण 3 से Trusted Root प्रोफ़ाइल से लिंक करें।
• प्रमाणपत्र वैधता अवधि: CA पर कॉन्फ़िगर किए गए टेम्पलेट से मिलान करें।

चरण 5: 802.1X WiFi प्रोफ़ाइल तैनात करें

एक WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं:

• SSID: नेटवर्क का नाम ठीक वैसे ही दर्ज करें जैसे आपके एक्सेस पॉइंट द्वारा प्रसारित किया जाता है।
• सुरक्षा प्रकार: WPA2-Enterprise या WPA3-Enterprise।
• EAP प्रकार: EAP-TLS।
• क्लाइंट ऑथेंटिकेशन प्रमाणपत्र: चरण 4 से SCEP प्रमाणपत्र प्रोफ़ाइल का चयन करें।
• सर्वर सत्यापन: चरण 3 से Trusted Root प्रमाणपत्र निर्दिष्ट करें और अपेक्षित RADIUS सर्वर नाम दर्ज करें। यह डिवाइसों को धोखाधड़ी वाले प्रमाणपत्र प्रस्तुत करने वाले अनधिकृत एक्सेस पॉइंट से जुड़ने से रोकता है।

सर्वोत्तम प्रथाएं

अपने RADIUS सर्वर पर सख्त CRL चेकिंग लागू करें

प्रमाणपत्र निरसन (Certificate revocation) वह परिचालन नियंत्रण है जो किसी खाते को अक्षम करने और नेटवर्क एक्सेस को अवरुद्ध करने के बीच के अंतर को समाप्त करता है। जब कोई डिवाइस खो जाता है, चोरी हो जाता है, या कोई कर्मचारी चला जाता है, तो AD खाते को अक्षम करें और CA पर प्रमाणपत्र रद्द करें। आपके RADIUS सर्वर को प्रत्येक ऑथेंटिकेशन प्रयास पर CRL की जांच करने के लिए कॉन्फ़िगर किया जाना चाहिए। यदि CRL अनुपलब्ध है - क्योंकि CDP (CRL वितरण बिंदु) पहुंच से बाहर है - तो अधिकांश RADIUS सर्वर डिफ़ॉल्ट रूप से फेल-ओपन (failing open) हो जाते हैं, जो एक सुरक्षा जोखिम है। सुनिश्चित करें कि आपके CDP अत्यधिक उपलब्ध हैं और यदि CRL प्राप्त नहीं किया जा सकता है तो आपका RADIUS सर्वर फेल-क्लोज्ड (fail closed) होने के लिए कॉन्फ़िगर किया गया है।

वास्तविक समय निरसन के लिए, CRL के अलावा OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) को कॉन्फ़िगर करें। OCSP RADIUS सर्वर को संपूर्ण CRL डाउनलोड और पार्स करने की आवश्यकता के बिना प्रति-प्रमाणपत्र स्थिति प्रतिक्रियाएं प्रदान करता है।

साझा और IoT डिवाइसों के लिए डिवाइस प्रमाणपत्रों का उपयोग करें

साझा उपकरणों - होटल हाउसकीपिंग टैबलेट, रिटेल POS टर्मिनल, स्टेडियम एक्सेस कंट्रोल रीडर - के लिए उपयोगकर्ता प्रमाणपत्रों के बजाय डिवाइस प्रमाणपत्रों का उपयोग करें। डिवाइस प्रमाणपत्र मशीन की पहचान से जुड़े होते हैं, न कि किसी उपयोगकर्ता खाते से। इसका मतलब है कि डिवाइस ऑथेंटिकेट होता है चाहे कोई भी उपयोगकर्ता लॉग इन हो, और निरसन कर्मचारी के जाने के बजाय डिवाइस रिकॉर्ड से जुड़ा होता है।

retail परिनियोजनों के लिए, POS हार्डवेयर पर डिवाइस प्रमाणपत्र बिक्री के बिंदु (point of sale) पर उपयोगकर्ता-क्रेडेंशियल जटिलता पेश किए बिना नेटवर्क-लेयर डिवाइस पहचान के लिए PCI-DSS आवश्यकता को भी पूरा करते हैं।

प्रमाणपत्र नवीनीकरण को स्वचालित करें

SCEP स्वचालित नवीनीकरण का समर्थन करता है: MDM प्रमाणपत्र समाप्त होने से पहले डिवाइस को फिर से नामांकित करने का निर्देश देता है। प्रमाणपत्र की शेष वैधता अवधि के 20% पर नवीनीकरण शुरू करने के लिए अपने SCEP प्रोफ़ाइल को कॉन्फ़िगर करें। एक वर्ष के प्रमाणपत्र के लिए, नवीनीकरण समाप्ति से लगभग 73 दिन पहले शुरू होता है। यह विंडो प्रमाणपत्र समाप्त होने और डिवाइसों के नेटवर्क एक्सेस खोने से पहले किसी भी नवीनीकरण विफलताओं को हल करने के लिए पर्याप्त समय प्रदान करती है।

802.1X परिनियोजन में समाप्त हो चुके प्रमाणपत्रों के कारण बड़े पैमाने पर ऑथेंटिकेशन विफलताएं सबसे आम परिचालन घटना हैं। SCEP के माध्यम से स्वचालित नवीनीकरण इस जोखिम को पूरी तरह से समाप्त कर देता है।

प्रमाणपत्र विशेषता द्वारा नेटवर्क को विभाजित करें

RADIUS सर्वर प्रमाणपत्र विशेषताओं - Subject, SAN, या कस्टम OID - को पढ़ सकते हैं और उनका उपयोग डिवाइसों को गतिशील रूप से VLAN में असाइन करने के लिए कर सकते हैं। HousekeepingDevices टेम्पलेट से जारी प्रमाणपत्र वाला एक हाउसकीपिंग टैबलेट हाउसकीपिंग VLAN पर जाता है। RetailPOS टेम्पलेट से प्रमाणपत्र वाला एक POS टर्मिनल PCI-दायरे वाले VLAN पर जाता है। यह क्रिप्टोग्राफिक रूप से लागू नेटवर्क विभाजन है - जो SSID-आधारित या MAC-आधारित दृष्टिकोणों की तुलना में कहीं अधिक विश्वसनीय है।

एक ही भौतिक बुनियादी ढांचे पर Staff WiFi के साथ Guest WiFi चलाने वाले hospitality ऑपरेटरों के लिए, प्रमाणपत्र विशेषताओं के माध्यम से VLAN असाइनमेंट यह सुनिश्चित करता है कि मेहमान और कर्मचारी हमेशा अलग-अलग नेटवर्क सेगमेंट पर हों, चाहे कोई डिवाइस किसी भी SSID से कनेक्ट हो।

समस्या निवारण और जोखिम न्यूनीकरण

Intune में WiFi प्रोफ़ाइल 'Error' या 'Not Applicable' दिखाती है

मूल कारण: ग्रुप टारगेटिंग बेमेल। SCEP प्रोफ़ाइल को WiFi प्रोफ़ाइल की तुलना में एक अलग समूह में असाइन किया गया है। Intune प्रमाणपत्र निर्भरता को हल नहीं कर सकता है।

समाधान: तीनों प्रोफाइल (Trusted Root, SCEP, WiFi) का ऑडिट करें। सुनिश्चित करें कि वे सभी बिल्कुल एक ही Azure AD समूह को असाइन किए गए हैं। यदि आप उपयोगकर्ताओं (Users) के लिए तैनात कर रहे हैं, तो तीनों प्रोफाइल को एक Users समूह को लक्षित करना चाहिए। यदि डिवाइसों (Devices) के लिए तैनात कर रहे हैं, तो तीनों को एक Devices समूह को लक्षित करना चाहिए।

NDES HTTP 403 त्रुटियां लौटाता है

मूल कारण: Intune प्रमाणपत्र कनेक्टर सेवा खाते में CA प्रमाणपत्र टेम्पलेट पर Read या Enroll अनुमतियों की कमी है, या फ़ायरवॉल URL फ़िल्टरिंग SCEP क्वेरी स्ट्रिंग्स को ब्लॉक कर रही है।

समाधान: सत्यापित करें कि कनेक्टर खाते के पास CA कंसोल में टेम्पलेट पर Read और Enroll अनुमतियां हैं। ?operation=GetCACaps या ?operation=PKIOperation वाले ब्लॉक किए गए अनुरोधों के लिए फ़ायरवॉल लॉग की जांच करें। ये क्वेरी स्ट्रिंग्स बिना किसी संशोधन के गुजरनी चाहिए।

डिवाइस समाप्ति से पहले प्रमाणपत्रों को नवीनीकृत करने में विफल रहते हैं

मूल कारण: SCEP नवीनीकरण विंडो बहुत छोटी है, या नवीनीकरण के समय NDES सर्वर पहुंच से बाहर है।

समाधान: नवीनीकरण सीमा को प्रमाणपत्र वैधता के 20% पर सेट करें। सुनिश्चित करें कि NDES URL अत्यधिक उपलब्ध रिवर्स प्रॉक्सी के माध्यम से प्रकाशित किया गया है। नवीनीकरण अनुरोध विफलताओं के लिए NDES IIS लॉग की निगरानी करें और उनके बारे में सक्रिय रूप से सचेत करें।

RADIUS वैध प्रमाणपत्रों को अस्वीकार करता है

मूल कारण: RADIUS सर्वर के विश्वसनीय CA स्टोर में जारी करने वाला CA प्रमाणपत्र शामिल नहीं है, या CRL पुराना है।

समाधान: RADIUS सर्वर के विश्वसनीय स्टोर में पूर्ण CA श्रृंखला (Root CA + Issuing CA) आयात करें। सत्यापित करें कि CRL सफलतापूर्वक प्राप्त किया जा रहा है और CDP URL RADIUS सर्वर से पहुंच योग्य है। CRL के अगले-अपडेट टाइमस्टैम्प की जांच करें - यदि यह बीत चुका है, तो CA को एक नया CRL प्रकाशित करने की आवश्यकता है।

सुरक्षा के साथ-साथ व्यापक नेटवर्क प्रदर्शन विचारों के लिए, हमारी bandwidth management guide देखें।

ROI और व्यावसायिक प्रभाव

SCEP-आधारित प्रमाणपत्र नामांकन के लिए व्यावसायिक मामला सीधा है। पासवर्ड-आधारित WiFi हेल्पडेस्क टिकटों की एक अनुमानित मात्रा उत्पन्न करता है: पासवर्ड की समाप्ति, लॉकआउट, कर्मचारियों द्वारा मेहमानों के साथ क्रेडेंशियल साझा करना, और नए शुरू करने वालों के लिए ऑनबोर्डिंग घर्षण। प्रमाणपत्र-आधारित ऑथेंटिकेशन अंतिम उपयोगकर्ता के लिए अदृश्य है। डिवाइस स्वचालित रूप से कनेक्ट होते हैं। समाप्त होने, साझा करने या भूलने के लिए कोई पासवर्ड नहीं हैं।

पासवर्ड-आधारित WiFi से SCEP के साथ EAP-TLS पर माइग्रेट करने वाले संगठन आमतौर पर WiFi-संबंधित हेल्पडेस्क टिकटों में 70-80% की कमी की रिपोर्ट करते हैं (Purple आंतरिक डेटा, 2024, हॉस्पिटैलिटी और रिटेल संपत्तियों में परिनियोजन के आधार पर)। अकेले हेल्पडेस्क की बचत अक्सर पहले वर्ष के भीतर कार्यान्वयन लागत को सही ठहराती है।

अनुपालन प्रभाव भी उतना ही ठोस है। EAP-TLS नेटवर्क लेयर पर मल्टी-फैक्टर ऑथेंटिकेशन के लिए PCI-DSS 4.0 आवश्यकता 8.6 को पूरा करता है। healthcare वातावरण के लिए, यह वायरलेस नेटवर्क एक्सेस के लिए HIPAA तकनीकी सुरक्षा आवश्यकताओं के अनुरूप है। सार्वजनिक-क्षेत्र के संगठनों के लिए, यह नेटवर्क एक्सेस कंट्रोल के लिए Cyber Essentials Plus प्रमाणन आवश्यकताओं का समर्थन करता है।

transport ऑपरेटरों - रेल फ्रेंचाइजी, हवाई अड्डा ऑपरेटरों, बस नेटवर्क - के लिए, कर्मचारियों के उपकरणों पर प्रमाणपत्र-आधारित ऑथेंटिकेशन यह सुनिश्चित करता है कि सुरक्षा-महत्वपूर्ण डेटा ले जाने वाले परिचालन नेटवर्क यात्री WiFi से अलग हों और क्रेडेंशियल-आधारित हमलों से सुरक्षित हों।

Purple का WiFi Analytics प्लेटफॉर्म अंतर्निहित बुनियादी ढांचे की सुरक्षा स्थिति से समझौता किए बिना प्रथम-पक्ष डेटा अंतर्दृष्टि प्रदान करने के लिए 802.1X-सुरक्षित नेटवर्क के साथ एकीकृत होता है। Purple के नेटवर्क पर एकत्र किए गए 29 बिलियन डेटा बिंदु प्रदर्शित करते हैं कि सुरक्षा और एनालिटिक्स पूरक हैं, प्रतिस्पर्धी उद्देश्य नहीं।

अपने सुरक्षित नेटवर्क परिनियोजन के साथ-साथ फीडबैक और अनुभव प्रबंधन के लिए, हमारा venue feedback playbook देखें।