मुख्य सामग्री पर जाएं
हिन्दी

EAP-TLS के साथ Android डिवाइस पर एंटरप्राइज WiFi कैसे सेटअप करें

यह तकनीकी संदर्भ मार्गदर्शिका वरिष्ठ IT नेताओं को Android डिवाइसों पर 802.1X EAP-TLS प्रमाणीकरण तैनात करने के लिए एक व्यापक खाका प्रदान करती है। इसमें एंटरप्राइज वायरलेस नेटवर्क को सुरक्षित करने के लिए आवश्यक आर्किटेक्चरल मैकेनिक्स, मैन्युअल और MDM-संचालित कार्यान्वयन रणनीतियाँ, और समस्या निवारण पद्धतियाँ शामिल हैं।

📖 5 मिनट का पाठ📝 1,161 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
EAP-TLS के साथ Android डिवाइस पर एंटरप्राइज WiFi कैसे सेटअप करें एक Purple तकनीकी ब्रीफिंग — लगभग 10 मिनट --- परिचय और संदर्भ — लगभग 1 मिनट Purple तकनीकी ब्रीफिंग श्रृंखला में स्वागत है। मैं आपका होस्ट हूँ, और आज हम Android उपकरणों पर 802.1X EAP-TLS प्रमाणीकरण को तैनात करने की बारीकियों में जा रहे हैं — चाहे आप किसी होटल संपत्ति, एक रिटेल श्रृंखला, एक स्टेडियम, या एक सार्वजनिक क्षेत्र के परिसर का प्रबंधन कर रहे हों। यदि आप एक ऐसे नेटवर्क के लिए जिम्मेदार हैं जिसे साझा पासवर्ड पर भरोसा किए बिना कॉर्पोरेट या BYOD Android उपकरणों को प्रमाणित करने की आवश्यकता है, यह एपिसोड आपके लिए है। EAP-TLS एंटरप्राइज WiFi सुरक्षा के लिए स्वर्ण मानक है — यह पारस्परिक प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करता है, जिसका अर्थ है कि फ़िशिंग के लिए कोई क्रेडेंशियल नहीं, रोटेट करने के लिए कोई पासवर्ड नहीं, और एक अनुपालन स्थिति जो PCI-DSS, ISO 27001 और अधिकांश सार्वजनिक-क्षेत्र के सुरक्षा ढांचों को संतुष्ट करती है। इस ब्रीफिंग के अंत तक, आप ठीक से समझ जाएंगे कि Android पर EAP-TLS कैसे काम करता है, आपके परिनियोजन विकल्प क्या हैं, और तीन सबसे आम गलतियाँ क्या हैं जो विफल रोलआउट का कारण बनती हैं। आइए शुरू करते हैं। --- तकनीकी गहन विश्लेषण — लगभग 5 मिनट आइए आर्किटेक्चर से शुरू करते हैं। 802.1X IEEE मानक है जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को नियंत्रित करता है। जब एक Android डिवाइस एक एंटरप्राइज WiFi नेटवर्क से जुड़ता है — जो WPA2-Enterprise या WPA3-Enterprise के रूप में कॉन्फ़िगर किया गया है — तो एक्सेस पॉइंट एक ऑथेंटिकेटर के रूप में कार्य करता है। यह स्वयं प्रमाणीकरण का निर्णय नहीं लेता है; यह डिवाइस और एक RADIUS सर्वर के बीच बातचीत को आगे बढ़ाता है, जो कि वास्तविक प्रमाणीकरण सर्वर है। EAP-TLS — यानी एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी — उस 802.1X ढांचे के भीतर चलने वाली प्रमाणीकरण विधि है। जो बात इसे EAP-PEAP या EAP-TTLS से अलग बनाती है, जो TLS टनल के भीतर उपयोगकर्ता नाम और पासवर्ड का उपयोग करते हैं, वह यह है कि EAP-TLS दोनों पक्षों में X.509 प्रमाणपत्रों का उपयोग करता है। RADIUS सर्वर डिवाइस के सामने एक सर्वर प्रमाणपत्र प्रस्तुत करता है, और डिवाइस RADIUS सर्वर को वापस एक क्लाइंट प्रमाणपत्र प्रस्तुत करता है। दोनों पक्ष एक-दूसरे को सत्यापित करते हैं। यह पारस्परिक प्रमाणीकरण है, और यही EAP-TLS को उपलब्ध सबसे सुरक्षित विकल्प बनाता है। अब, विशेष रूप से Android पर, कुछ चीजें हैं जिन्हें आपको समझना होगा। Android 11 और उसके बाद के संस्करणों ने सख्त प्रमाणपत्र सत्यापन आवश्यकताओं को पेश किया। यदि आप Android 11 या उससे ऊपर के संस्करण पर तैनात कर रहे हैं — जो इस समय आपके अधिकांश उपकरणों का हिस्सा है — तो डिवाइस तब तक कनेक्ट होने से इनकार कर देगा जब तक कि RADIUS सर्वर प्रमाणपत्र पर स्पष्ट रूप से भरोसा न किया जाए। आप केवल सिस्टम ट्रस्ट स्टोर पर भरोसा नहीं कर सकते; आपको या तो डिवाइस पर रूट CA प्रमाणपत्र पुश करना होगा या स्पष्ट रूप से इसे संदर्भित करने के लिए WiFi प्रोफ़ाइल को कॉन्फ़िगर करना होगा। आइए प्रमाणपत्र श्रृंखला के बारे में बात करते हैं। एक भी Android डिवाइस EAP-TLS के माध्यम से प्रमाणित हो सके, इसके लिए आपको तीन घटकों की आवश्यकता होती है। पहला, एक प्रमाणपत्र प्राधिकरण (Certificate Authority) — या तो आपका आंतरिक PKI, Microsoft Active Directory Certificate Services, या Intune के माध्यम से SCEP जैसा क्लाउड PKI। दूसरा, आपके RADIUS सर्वर को जारी किया गया एक सर्वर प्रमाणपत्र, जो उस CA द्वारा हस्ताक्षरित हो। तीसरा, प्रत्येक डिवाइस या उपयोगकर्ता को जारी किया गया एक विशिष्ट क्लाइंट प्रमाणपत्र, जो उसी CA द्वारा हस्ताक्षरित हो। डिवाइस TLS हैंडशेक के दौरान अपना क्लाइंट प्रमाणपत्र प्रस्तुत करता है, और RADIUS सर्वर CA की प्रमाणपत्र निरसन सूची (CRL) या OCSP — ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल के माध्यम से इसे सत्यापित करता है। Android के लिए, क्लाइंट प्रमाणपत्र और निजी कुंजी आमतौर पर एक PKCS12 फ़ाइल के रूप में पैक की जाती है — जो कि एक डॉट-P12 या डॉट-PFX फ़ाइल है — जिसमें प्रमाणपत्र और एन्क्रिप्टेड निजी कुंजी दोनों शामिल होते हैं। मैन्युअल रूप से कॉन्फ़िगर किए गए डिवाइस पर, उपयोगकर्ता इस फ़ाइल को Settings, फिर Security, फिर Install a Certificate के माध्यम से आयात करता है। MDM-प्रबंधित डिवाइस पर, प्रमाणपत्र को चुपचाप डिवाइस के प्रबंधित कीस्टोर में पुश कर दिया जाता है — किसी उपयोगकर्ता के हस्तक्षेप की आवश्यकता नहीं होती है। अब बात करते हैं खुद WiFi प्रोफ़ाइल की। Android पर एंटरप्राइज WiFi कनेक्शन कॉन्फ़िगर करते समय, आपको निर्दिष्ट करना होगा: SSID, सुरक्षा प्रकार — WPA2-Enterprise या WPA3-Enterprise — EAP विधि — जो कि TLS है — सर्वर सत्यापन के लिए CA प्रमाणपत्र, डिवाइस प्रमाणीकरण के लिए क्लाइंट प्रमाणपत्र, और पहचान स्ट्रिंग (identity string), जो आमतौर पर डिवाइस का कॉमन नेम या उपयोगकर्ता का UPN होता है। Android 11 और उससे ऊपर के संस्करणों पर, आपको मैन-इन-द-मिडल हमलों को रोकने के लिए डोमेन प्रत्यय मिलान (domain suffix match) या सर्वर प्रमाणपत्र विषय को भी निर्दिष्ट करना होगा। MDM परिनियोजन के लिए — और यहीं पर वास्तविक पैमाना काम आता है — आप इस सब को एक संरचित कॉन्फ़िगरेशन प्रोफ़ाइल के रूप में पुश कर रहे हैं। Microsoft Intune में, आप एक SCEP प्रमाणपत्र प्रोफ़ाइल बनाते हैं जो प्रत्येक नामांकित Android डिवाइस पर स्वचालित रूप से एक विशिष्ट क्लाइंट प्रमाणपत्र का अनुरोध और स्थापना करती है। फिर आप एक WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाते हैं जो उस प्रमाणपत्र प्रोफ़ाइल को संदर्भित करती है। जब डिवाइस चेक इन करता है, तो उसे प्रमाणपत्र और WiFi प्रोफ़ाइल दोनों प्राप्त होते हैं, और यह आपके 802.1X नेटवर्क से स्वचालित रूप से कनेक्ट हो जाता है। कोई उपयोगकर्ता हस्तक्षेप नहीं, कोई सपोर्ट कॉल नहीं। यदि आप इसके लिए Intune का उपयोग कर रहे हैं, तो उपकरणों पर WiFi प्रमाणपत्र पुश करने के लिए Microsoft Intune का उपयोग कैसे करें, इस पर हमारी साथी मार्गदर्शिका सटीक कॉन्फ़िगरेशन चरणों के माध्यम से चलती है — मैं इस ब्रीफिंग के साथ उसे पढ़ने की सलाह दूंगा। VMware Workspace ONE और Jamf Connect के लिए, प्रक्रिया संरचनात्मक रूप से समान है — SCEP या PKCS प्रमाणपत्र प्रोफ़ाइल, उसके बाद एक WiFi प्रोफ़ाइल जो इसे संदर्भित करती है। विशिष्ट UI भिन्न होता है, लेकिन प्रमाणपत्र श्रृंखला और RADIUS कॉन्फ़िगरेशन आवश्यकताएं समान होती हैं। RADIUS पक्ष पर ध्यान देने योग्य एक बात: यदि आप FreeRADIUS, Microsoft NPS, या Cisco ISE चला रहे हैं, तो सुनिश्चित करें कि आपके सर्वर प्रमाणपत्र में सही Extended Key Usage विशेषताएँ शामिल हैं — विशेष रूप से, Server Authentication, OID 1.3.6.1.5.5.7.3.1। Android इस बारे में सख्त है। एक प्रमाणपत्र जो Windows क्लाइंट के साथ ठीक काम करता है, वह Android पर विफल हो सकता है यदि EKU गायब या गलत कॉन्फ़िगर किया गया है। --- कार्यान्वयन सिफारिशें और कमियां — लगभग 2 मिनट ठीक है, आइए बात करते हैं कि वास्तव में फील्ड में क्या गलत होता है, क्योंकि यहीं पर अधिकांश परिनियोजन समस्याओं का सामना करते हैं। पहली और सबसे आम विफलता प्रमाणपत्र ट्रस्ट है। यदि RADIUS सर्वर की प्रमाणपत्र श्रृंखला को सत्यापित नहीं किया जा सकता है, तो Android 11 और उससे ऊपर के संस्करण कनेक्ट नहीं होंगे। इसका समाधान सीधा है: MDM के माध्यम से अपने रूट CA प्रमाणपत्र को डिवाइस के उपयोगकर्ता प्रमाणपत्र स्टोर में पुश करें, और WiFi प्रोफ़ाइल के CA प्रमाणपत्र फ़ील्ड में स्पष्ट रूप से इसे संदर्भित करें। इसे "Do not validate" के रूप में न छोड़ें — यह एक सुरक्षा छेद है और यह वैसे भी कुछ Android संस्करणों पर विफल हो जाएगा। दूसरा नुकसान प्रमाणपत्र की समाप्ति है। क्लाइंट प्रमाणपत्रों की वैधता अवधि आमतौर पर एक से दो वर्ष की होती है। यदि आपके पास SCEP या NDES के माध्यम से स्वचालित नवीनीकरण की व्यवस्था नहीं है, तो आप एक सुबह उठकर पाएंगे कि आपके आधे उपकरणों ने एक साथ WiFi एक्सेस खो दिया है। प्रमाणपत्र नवीनीकरण स्वचालन को अपने MDM वर्कफ़्लो में पहले दिन से ही शामिल करें, बाद के विचार के रूप में नहीं। तीसरा मुद्दा RADIUS सर्वर क्षमता का है। पूर्ण पारस्परिक प्रमाणपत्र विनिमय के कारण EAP-TLS हैंडशेक PEAP हैंडशेक की तुलना में कम्प्यूटेशनल रूप से अधिक महंगे होते हैं। हजारों समवर्ती प्रमाणीकरणों वाले स्टेडियम या सम्मेलन केंद्र में, एक कम आकार का RADIUS सर्वर बाधा बन जाएगा। अपने RADIUS बुनियादी ढांचे को औसत लोड के लिए नहीं, बल्कि चरम समवर्ती प्रमाणीकरणों के लिए आकार दें। अंत में, Android पक्ष पर, ध्यान रखें कि विभिन्न निर्माताओं — Samsung, Google, Xiaomi — के पास WiFi कॉन्फ़िगरेशन API के थोड़े अलग कार्यान्वयन हैं। बड़े पैमाने पर रोल आउट करने से पहले अपने बेड़े में प्रत्येक निर्माता के प्रतिनिधि उपकरणों पर अपने MDM-पुश किए गए प्रोफाइल का परीक्षण करें। विशेष रूप से Samsung उपकरणों को ऐतिहासिक रूप से पहचान (identity) फ़ील्ड को स्पष्ट रूप से सेट करने की आवश्यकता होती है, भले ही इसका अनुमान प्रमाणपत्र से लगाया जा सके। --- रैपिड-फायर प्रश्न और उत्तर — लगभग 1 मिनट कुछ त्वरित प्रश्न जो मुझसे नियमित रूप से पूछे जाते हैं। क्या मैं BYOD उपकरणों के लिए EAP-TLS का उपयोग कर सकता हूँ? हाँ, लेकिन इसके लिए उपयोगकर्ता को अपने व्यक्तिगत डिवाइस पर क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है। बड़े पैमाने पर BYOD के लिए, विचार करें कि क्या PAP या PEAP-MSCHAPv2 के साथ EAP-TTLS अधिक व्यावहारिक समझौता है, जिसमें EAP-TLS को कॉर्पोरेट-स्वामित्व वाले उपकरणों के लिए आरक्षित रखा गया है। क्या EAP-TLS WPA3-Enterprise के साथ काम करता है? हाँ, और 192-बिट मोड के साथ WPA3-Enterprise वास्तव में EAP-TLS को अनिवार्य करता है। यदि आप उच्च-सुरक्षा वातावरण में WPA3-Enterprise तैनात कर रहे हैं, तो EAP-TLS आपका एकमात्र अनुपालन विकल्प है। मुझे किस न्यूनतम Android संस्करण को लक्षित करना चाहिए? Android 8 और उससे ऊपर के संस्करण मूल रूप से EAP-TLS का समर्थन करते हैं। Android 11 और उससे ऊपर के लिए, स्पष्ट CA प्रमाणपत्र सत्यापन लागू करें। Android 13 और उससे ऊपर के लिए, आप अधिक बारीक नियंत्रण के लिए बेहतर प्रमाणपत्र प्रबंधन API का लाभ उठा सकते हैं। क्या Purple का प्लेटफ़ॉर्म EAP-TLS नेटवर्क के साथ एकीकृत हो सकता है? Purple का गेस्ट WiFi और एनालिटिक्स प्लेटफ़ॉर्म आपके 802.1X कॉर्पोरेट नेटवर्क से एक अलग SSID पर काम करता है। आपके कॉर्पोरेट उपकरण सुरक्षित SSID पर EAP-TLS के माध्यम से प्रमाणित होते हैं, जबकि गेस्ट उपकरण गेस्ट SSID पर Purple के कैप्टिव पोर्टल का उपयोग करते हैं। दोनों एक ही एक्सेस पॉइंट बुनियादी ढांचे पर सह-अस्तित्व में हैं, जिसमें VLAN अलगाव सुरक्षा सीमा प्रदान करता है। --- सारांश और अगले कदम — लगभग 1 मिनट संक्षेप में: Android पर EAP-TLS उपलब्ध सबसे सुरक्षित एंटरप्राइज WiFi प्रमाणीकरण विधि है, और आधुनिक MDM टूलिंग के साथ इसे बड़े पैमाने पर तैनात करना पूरी तरह से व्यावहारिक है। तीन चीजें जिन्हें सही करना है वे हैं: स्वचालित प्रमाणपत्र नवीनीकरण के साथ एक ठीक से कॉन्फ़िगर किया गया PKI, Android 11 और उससे ऊपर के संस्करणों पर स्पष्ट CA प्रमाणपत्र ट्रस्ट, और चरम लोड के लिए आकार दिया गया एक RADIUS बुनियादी ढांचा। यदि आप मिश्रित कॉर्पोरेट और गेस्ट ट्रैफ़िक वाले स्थान पर तैनात कर रहे हैं, तो Purple का प्लेटफ़ॉर्म आपको गेस्ट नेटवर्क पर एनालिटिक्स और जुड़ाव परत देता है जबकि आपका EAP-TLS बुनियादी ढांचा कॉर्पोरेट पक्ष को सुरक्षित करता है। दोनों एक-दूसरे के पूरक हैं। आपके अगले कदमों के लिए: पूरी मार्गदर्शिका में हमारे आर्किटेक्चर आरेख की समीक्षा करें, Intune परिनियोजन वॉकथ्रू के माध्यम से काम करें, और अपने पूरे बेड़े में रोल आउट करने से पहले उपकरणों के एक सबसेट पर एक पायलट चलाएं। पचास उपकरणों के एक नियंत्रित समूह के साथ शुरू करें, प्रमाणपत्र वितरण और WiFi कनेक्टिविटी को सत्यापित करें, फिर आत्मविश्वास के साथ स्केल करें। Purple तकनीकी ब्रीफिंग सुनने के लिए धन्यवाद। आपको पूरी लिखित मार्गदर्शिका, आरेख और कॉन्फ़िगरेशन संदर्भ purple.ai पर मिलेंगे। अगली बार तक के लिए अलविदा।

header_image.png

कार्यकारी सारांश

क्रेडेंशियल चोरी और अनधिकृत पहुंच से एंटरप्राइज वायरलेस नेटवर्क को सुरक्षित रखने के लिए साझा पासवर्ड से आगे बढ़ने की आवश्यकता है। कॉर्पोरेट परिवेशों में Android डिवाइस बेड़े के लिए, 802.1X EAP-TLS (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी) निश्चित सुरक्षा मानक का प्रतिनिधित्व करता है। पारस्परिक प्रमाणपत्र-आधारित प्रमाणीकरण का लाभ उठाकर, EAP-TLS पासवर्ड की थकान, फ़िशिंग और कमजोर क्रेडेंशियल से जुड़े जोखिमों को समाप्त करता है।

यह तकनीकी संदर्भ मार्गदर्शिका नेटवर्क आर्किटेक्ट्स, IT प्रबंधकों और CTOs को Android डिवाइसों पर EAP-TLS तैनात करने के लिए व्यावहारिक रणनीतियाँ प्रदान करती है। चाहे रिटेल में पॉइंट-ऑफ-सेल टर्मिनलों का प्रबंधन करना हो, हेल्थकेयर में नैदानिक उपकरणों का, या हॉस्पिटैलिटी में बैक-ऑफ-हाउस संचालन का, इस पर महारत हासिल करना अंतिम-उपयोगकर्ताओं के लिए एक सहज कनेक्शन अनुभव प्रदान करते हुए मजबूत सुरक्षा अनुपालन (PCI-DSS, GDPR, ISO 27001) सुनिश्चित करता है। हम BYOD परिवेशों के लिए मैन्युअल कॉन्फ़िगरेशन और कॉर्पोरेट-स्वामित्व वाले बेड़े के लिए ज़ीरो-टच MDM प्रोविज़निंग दोनों को कवर करते हैं।

ब्रीफिंग सुनें

तकनीकी गहन विश्लेषण

802.1X आर्किटेक्चर और EAP-TLS मैकेनिक्स

इसके मूल में, 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक है। वायरलेस संदर्भ में, एक्सेस पॉइंट Authenticator के रूप में कार्य करता है, जो Android डिवाइस (Supplicant) और RADIUS सर्वर (प्रमाणीकरण सर्वर) के बीच संचार को सुगम बनाता।

PEAP या TTLS के विपरीत, जो TLS के भीतर लीगेसी पासवर्ड प्रमाणीकरण को टनल करते हैं, EAP-TLS पूरी तरह से X.509 प्रमाणपत्रों पर निर्भर करता है। यह एक पारस्परिक प्रमाणीकरण प्रतिमान बनाता है:

  1. RADIUS सर्वर यह साबित करने के लिए Android डिवाइस के सामने अपना प्रमाणपत्र प्रस्तुत करता है कि नेटवर्क वैध है।
  2. Android डिवाइस RADIUS सर्वर के सामने अपना विशिष्ट क्लाइंट प्रमाणपत्र प्रस्तुत करता है ताकि यह साबित हो सके कि यह एक अधिकृत एंडपॉइंट है।

eap_tls_architecture_overview.png

Android-विशिष्ट प्रमाणपत्र आवश्यकताएँ

Android पर तैनात करने से विशिष्ट सीमाएँ आती हैं, विशेष रूप से Android 11 के बाद से। Google ने मैन-इन-द-मिडल (MitM) हमलों को कम करने के लिए सर्वर प्रमाणपत्रों के लिए "Do not validate" (सत्यापित न करें) विकल्प को हटा दिया है। परिणामस्वरूप, Android डिवाइस के पास Root CA प्रमाणपत्र होना ही चाहिए जिसने RADIUS सर्वर के प्रमाणपत्र पर हस्ताक्षर किए हैं।

इसके अलावा, RADIUS सर्वर प्रमाणपत्र में सही Extended Key Usage (EKU) विशेषताएँ होनी चाहिए—विशेष रूप से Server Authentication (OID 1.3.6.1.5.5.7.3.1)। इसके बिना, Android सप्लिकेंट बिना किसी सूचना के TLS हैंडशेक को छोड़ देगा।

क्लाइंट साइड के लिए, Android को निजी कुंजी और प्रमाणपत्र को बंडल करने की आवश्यकता होती है, आमतौर पर PKCS#12 प्रारूप (.p12 या .pfx) में।

Purple के इकोसिस्टम के साथ एकीकरण

जबकि EAP-TLS आपके कॉर्पोरेट उपकरणों और परिचालन बुनियादी ढांचे को सुरक्षित करता है, वेन्यू ऑपरेटरों को विज़िटर एक्सेस का भी प्रबंधन करना होगा। यहीं पर एक डुअल-SSID रणनीति महत्वपूर्ण हो जाती है। आपका कॉर्पोरेट SSID 802.1X EAP-TLS का उपयोग करता है, जबकि आपका सार्वजनिक SSID Purple के Guest WiFi प्लेटफ़ॉर्म का लाभ उठाता है। यह अलगाव परिचालन सुरक्षा सुनिश्चित करता है जबकि मार्केटिंग टीम को गेस्ट नेटवर्क पर WiFi Analytics का लाभ उठाने की अनुमति देता है। भौतिक बुनियादी ढांचे को सुरक्षित करने के बारे में व्यापक दृष्टिकोण के लिए, एक्सेस पॉइंट सुरक्षा: आपकी 2026 एंटरप्राइज गाइड देखें।

कार्यान्वयन गाइड

Android पर EAP-TLS को तैनात करने के लिए छोटे BYOD परिनियोजन के लिए मैन्युअल रूप से या एंटरप्राइज स्तर के लिए मोबाइल डिवाइस प्रबंधन (MDM) के माध्यम से किया जा सकता है।

mdm_deployment_comparison.png

विधि 1: मैन्युअल कॉन्फ़िगरेशन (BYOD / छोटा पैमाना)

यह विधि सपोर्ट-गहन है और केवल सीमित रोलआउट या परीक्षण के लिए अनुशंसित है।

  1. प्रमाणपत्र वितरण (Certificate Delivery): Android डिवाइस पर .p12 क्लाइंट प्रमाणपत्र और Root CA .cer फ़ाइल को सुरक्षित रूप से वितरित करें (जैसे, सुरक्षित पोर्टल या एन्क्रिप्टेड ईमेल के माध्यम से)।
  2. इंस्टॉलेशन:
    • Settings > Security > Encryption & credentials > Install a certificate पर जाएं।
    • Root CA को "WiFi प्रमाणपत्र" के रूप में स्थापित करें।
    • संकेत मिलने पर एक्सट्रैक्शन पासवर्ड प्रदान करते हुए .p12 फ़ाइल स्थापित करें।
  3. नेटवर्क कॉन्फ़िगरेशन:
    • Settings > Network & internet > WiFi पर जाएं और "Add network" चुनें।
    • SSID दर्ज करें।
    • सुरक्षा को WPA/WPA2/WPA3-Enterprise पर सेट करें।
    • EAP विधि को TLS पर सेट करें।
    • CA प्रमाणपत्र को स्थापित Root CA पर सेट करें।
    • ऑनलाइन प्रमाणपत्र स्थिति को Request certificate status पर सेट करें।
    • डोमेन को RADIUS सर्वर के प्रमाणपत्र Subject Alternative Name (SAN) से मिलान करने के लिए सेट करें।
    • स्थापित क्लाइंट प्रमाणपत्र चुनें।
    • पहचान (Identity) दर्ज करें (आमतौर पर उपयोगकर्ता का UPN या डिवाइस MAC)।

विधि 2: MDM-पुश किया गया प्रोफ़ाइल (एंटरप्राइज पैमाना)

बड़े परिसरों के लिए, जैसे कि विश्वविद्यालय परिसर या परिवहन में एक लॉजिस्टिक्स हब, MDM अनिवार्य है। यह ज़ीरो-टच प्रोविज़निंग और लाइफसाइकल प्रबंधन प्रदान करता है।

  1. PKI एकीकरण: SCEP या NDES का उपयोग करके अपने MDM (Intune, Workspace ONE, Jamf) को अपने प्रमाणपत्र प्राधिकरण (Certificate Authority) से कनेक्ट करें।
  2. प्रमाणपत्र प्रोफ़ाइल: डिवाइस ट्रस्ट स्टोर में Root CA को पुश करने के लिए एक कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं। विशिष्ट क्लाइंट प्रमाणपत्र का स्वचालित रूप से अनुरोध करने और स्थापित करने के लिए दूसरा प्रोफ़ाइल (SCEP) बनाएं।
  3. WiFi प्रोफ़ाइल: तैनात प्रमाणपत्रों को जोड़ने वाली एक WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं।
    • सुरक्षा प्रकार: WPA2/WPA3 Enterprise
    • EAP प्रकार: EAP-TLS
    • प्रमाणीकरण विधि: प्रमाणपत्र
    • सर्वर ट्रस्ट: Root CA और सटीक सर्वर डोमेन नाम निर्दिष्ट करें।

विस्तृत Microsoft-विशिष्ट निर्देशों के लिए, हमारी मार्गदर्शिका देखें: डिवाइसों पर WiFi प्रमाणपत्र पुश करने के लिए Microsoft Intune का उपयोग कैसे करें

सर्वोत्तम प्रथाएं

  1. WPA3-Enterprise लागू करें: जहां हार्डवेयर इसका समर्थन करता है, वहां WPA3-Enterprise को अनिवार्य करें। 192-बिट सुरक्षा सुइट के लिए स्पष्ट रूप से EAP-TLS की आवश्यकता होती है, जो उच्चतम क्रिप्टोग्राफिक मानकों को सुनिश्चित करता है।
  2. प्रमाणपत्र लाइफसाइकल को स्वचालित करें: क्लाइंट प्रमाणपत्र समाप्त हो जाते हैं। यदि आप मैन्युअल नवीनीकरण पर भरोसा करते हैं, तो आपको बड़े पैमाने पर आउटेज का सामना करना पड़ेगा। समाप्ति से 30 दिन पहले प्रमाणपत्रों को स्वचालित रूप से नवीनीकृत करने के लिए SCEP/NDES लागू करें।
  3. मजबूत DNS लागू करें: प्रमाणपत्र निरसन सूची (CRL) जांच और OCSP को एज से विश्वसनीय DNS रिज़ॉल्यूशन की आवश्यकता होती है। मजबूत DNS और सुरक्षा के साथ अपने नेटवर्क को सुरक्षित रखें में और पढ़ें।
  4. VLAN सेगमेंटेशन: Tunnel-Private-Group-Id जैसी RADIUS विशेषताओं का उपयोग करके प्रमाणपत्र विशेषताओं के आधार पर विशिष्ट VLANs में EAP-TLS प्रमाणित सत्रों को मैप करें (जैसे, मैनेजर टैबलेट से POS टर्मिनलों को अलग करना)।

समस्या निवारण और जोखिम शमन

जब Android डिवाइस EAP-TLS के माध्यम से कनेक्ट होने में विफल होते हैं, तो समस्या लगभग हमेशा प्रमाणपत्र श्रृंखला (certificate chain) या RADIUS कॉन्फ़िगरेशन में होती है।

  • लक्षण: Android 11+ डिवाइस तुरंत डिस्कनेक्ट हो जाते हैं या उपयोगकर्ता को संकेत दिए बिना "प्रमाणीकरण त्रुटि" (Authentication error) दिखाते हैं।
    • मूल कारण: डिवाइस RADIUS सर्वर प्रमाणपत्र पर भरोसा नहीं करता है। WiFi प्रोफ़ाइल में "Domain" फ़ील्ड सर्वर प्रमाणपत्र के SAN से बिल्कुल मेल खाना चाहिए, और Root CA स्थापित होना चाहिए।
  • लक्षण: TLS हैंडशेक के दौरान कनेक्शन का समय समाप्त (timeout) हो जाता है।
    • मूल कारण: RADIUS सर्वर क्लाइंट प्रमाणपत्र की निरसन स्थिति (revocation status) को सत्यापित करने के लिए CRL वितरण बिंदु तक नहीं पहुंच सकता है। सुनिश्चित करें कि आपके RADIUS सर्वर के पास आपके PKI के CRL एंडपॉइंट्स तक आउटबाउंड HTTP पहुंच है।
  • लक्षण: Windows डिवाइस कनेक्ट होते हैं, लेकिन Android डिवाइस विफल हो जाते हैं।
    • मूल कारण: RADIUS प्रमाणपत्र पर Server Authentication EKU गायब है, या Android सप्लिकेंट एक असमर्थित सिफर सुइट का उपयोग करने का प्रयास कर रहा है। TLS नेगोशिएशन विफलताओं के लिए RADIUS लॉग की जांच करें।

ROI और व्यावसायिक प्रभाव

EAP-TLS पर संक्रमण के लिए PKI और MDM बुनियादी ढांचे में अग्रिम निवेश की आवश्यकता होती, लेकिन वरिष्ठ IT नेताओं के लिए निवेश पर रिटर्न (ROI) पर्याप्त है।

  • हेल्पडेस्क लागत में कमी: पासवर्ड रीसेट IT हेल्पडेस्क टिकटों का 20-30% हिस्सा होते हैं। प्रमाणपत्र-आधारित प्रमाणीकरण नेटवर्क एक्सेस के लिए पासवर्ड रोटेशन नीतियों को समाप्त करता है, जिससे सपोर्ट ओवरहेड काफी कम हो जाता है।
  • जोखिम शमन: EAP-TLS क्रेडेंशियल हार्वेस्टिंग और ऑफलाइन डिक्शनरी हमलों के खिलाफ सुरक्षा प्रदान करता है। हेल्थकेयर जैसे विनियमित उद्योग में एक एकल उल्लंघन (breach) की लागत PKI की तैनाती लागत से कहीं अधिक है।
  • परिचालन निरंतरता: स्वचालित प्रमाणपत्र प्रोविज़निंग यह सुनिश्चित करता है कि महत्वपूर्ण परिचालन उपकरण—गोदाम स्कैनर से लेकर रिटेल POS सिस्टम तक—समाप्त क्रेडेंशियल के कारण कभी भी नेटवर्क से बाहर न हों। जैसा कि Purple अपनी पहुंच का विस्तार करना जारी रखता है, जिसे हाल ही में VP Education Tim Peers की नियुक्ति के साथ Purple ने उच्च शिक्षा की महत्वाकांक्षाओं का संकेत दिया जैसे रणनीतिक कदमों द्वारा रेखांकित किया गया है, मजबूत बुनियादी कनेक्टिविटी उन्नत एनालिटिक्स और जुड़ाव के लिए सक्षमकर्ता बन जाती है।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

बुनियादी ढांचा जो अनधिकृत उपकरणों को एज पर कॉर्पोरेट नेटवर्क तक पहुंचने से रोकता है।

EAP-TLS

एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी। एक प्रमाणीकरण ढांचा जो क्लाइंट और सर्वर के बीच पारस्परिक प्रमाणीकरण के लिए X.509 प्रमाणपत्रों का उपयोग करता है।

सबसे सुरक्षित EAP प्रकार माना जाता है, यह पासवर्ड पर निर्भरता को समाप्त करता है, जिससे यह उच्च-सुरक्षा वाले वातावरण के लिए आवश्यक हो जाता है।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है।

सर्वर घटक (जैसे, Cisco ISE, Microsoft NPS) जो PKI के खिलाफ Android डिवाइस के प्रमाणपत्र को सत्यापित करता है।

Supplicant

क्लाइंट डिवाइस (इस मामले में, Android स्मार्टफोन या टैबलेट) जो नेटवर्क तक पहुंच का अनुरोध कर रहा है।

सप्लिकेंट की विशिष्ट OS सीमाओं (जैसे Android 11 का सख्त सत्यापन) को समझना एक सफल तैनाती की कुंजी है।

Authenticator

नेटवर्क डिवाइस (WiFi एक्सेस पॉइंट) जो सप्लिकेंट और RADIUS सर्वर के बीच प्रमाणीकरण प्रक्रिया को सुगम बनाता है।

AP निर्णय नहीं लेता है; यह केवल RADIUS सर्वर की प्रतिक्रिया के आधार पर पोर्ट नियंत्रण लागू करता है।

PKI

पब्लिक की इन्फ्रास्ट्रक्चर। डिजिटल प्रमाणपत्रों को बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का एक सेट।

EAP-TLS की रीढ़। एक मजबूत PKI के बिना, प्रमाणपत्र-आधारित प्रमाणीकरण असंभव है।

SCEP

सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल। डिजिटल प्रमाणपत्रों को जारी करने और निरस्त करने को यथासंभव स्केलेबल बनाने के लिए डिज़ाइन किया गया एक प्रोटोकॉल।

उपयोगकर्ता के हस्तक्षेप के बिना Android उपकरणों के लिए क्लाइंट प्रमाणपत्रों को स्वचालित रूप से प्रोविज़न करने के लिए MDM प्लेटफ़ॉर्म द्वारा उपयोग किया जाता है।

SAN

सब्जेक्ट अल्टरनेटिव नेम। X.509 का एक विस्तार जो सुरक्षा प्रमाणपत्र के साथ विभिन्न मानों को जोड़ने की अनुमति देता है।

Android 11+ को WiFi प्रोफ़ाइल में 'Domain' फ़ील्ड को RADIUS सर्वर के प्रमाणपत्र के SAN से मेल खाने की आवश्यकता होती है।

हल किए गए उदाहरण

एक राष्ट्रीय रिटेल श्रृंखला को 5,000 Android-आधारित पॉइंट-ऑफ-सेल (POS) टैबलेट तैनात करने की आवश्यकता है। सुरक्षा टीम का आदेश है कि इन उपकरणों को साझा पासवर्ड का उपयोग नहीं करना चाहिए और क्रेडेंशियल फ़िशिंग से सुरक्षित होना चाहिए। इन्फ्रास्ट्रक्चर टीम को इस तैनाती के लिए क्या दृष्टिकोण अपनाना चाहिए?

टीम को SCEP के माध्यम से अपने आंतरिक पब्लिक की इन्फ्रास्ट्रक्चर (PKI) के साथ एकीकृत एक मोबाइल डिवाइस प्रबंधन (MDM) समाधान तैनात करना होगा। MDM एक कॉन्फ़िगरेशन प्रोफ़ाइल पुश करेगा जिसमें Root CA प्रमाणपत्र होगा, प्रत्येक POS टैबलेट के लिए स्वचालित रूप से एक विशिष्ट क्लाइंट प्रमाणपत्र का अनुरोध करेगा, और EAP-TLS का उपयोग करने के लिए WPA3-Enterprise WiFi प्रोफ़ाइल को कॉन्फ़िगर करेगा। RADIUS सर्वर को सफल प्रमाणपत्र सत्यापन के आधार पर इन उपकरणों को एक पृथक POS VLAN में असाइन करने के लिए कॉन्फ़िगर किया जाएगा।

परीक्षक की टिप्पणी: यह इष्टतम एंटरप्राइज दृष्टिकोण है। 5,000 उपकरणों के लिए मैन्युअल कॉन्फ़िगरेशन का प्रयास करना परिचालन रूप से व्यावहारिक नहीं है। MDM और SCEP का उपयोग करके, संगठन ज़ीरो-टच प्रोविज़निंग और स्वचालित प्रमाणपत्र नवीनीकरण प्राप्त करता है, जिससे तैनाती की बाधाओं को कम करते हुए सुरक्षा आदेश संतुष्ट होता है।

एक अस्पताल का IT प्रबंधक वायरलेस नेटवर्क को अपग्रेड कर रहा है। अपग्रेड के बाद, पुराने Android 9 डिवाइस EAP-TLS नेटवर्क से सफलतापूर्वक कनेक्ट हो जाते हैं, लेकिन नए खरीदे गए Android 12 डिवाइस ट्रस्ट त्रुटि का हवाला देते हुए प्रमाणित होने में विफल हो जाते हैं।

IT प्रबंधक को उपकरणों पर पुश की गई WiFi कॉन्फ़िगरेशन प्रोफ़ाइल को अपडेट करना होगा। Android 11+ सख्त सर्वर प्रमाणपत्र सत्यापन लागू करता है। MitM हमलों को रोकने के लिए प्रोफ़ाइल को स्पष्ट रूप से भरोसा करने के लिए Root CA प्रमाणपत्र को परिभाषित करने और सटीक 'Domain' (RADIUS सर्वर के SAN से मेल खाने वाले) को निर्दिष्ट करने के लिए अपडेट किया जाना चाहिए।

परीक्षक की टिप्पणी: यह Android के सप्लिकेंट व्यवहार में एक महत्वपूर्ण OS-स्तरीय परिवर्तन को उजागर करता है। लीगेसी 'Do not validate' कॉन्फ़िगरेशन एक महत्वपूर्ण सुरक्षा जोखिम हैं और आधुनिक Android संस्करणों में पूरी तरह से हटा दिए गए हैं। समाधान स्पष्ट रूप से ट्रस्ट कॉन्फ़िगरेशन की आवश्यकता की सही पहचान करता है।

अभ्यास प्रश्न

Q1. आपका संगठन PEAP-MSCHAPv2 से EAP-TLS पर माइग्रेट कर रहा है। पायलट चरण के दौरान, कई Android 13 डिवाइस कनेक्ट होने में विफल रहते हैं। RADIUS लॉग दिखाते हैं कि TLS हैंडशेक शुरू किया गया है लेकिन क्लाइंट प्रमाणपत्र भेजे जाने से पहले क्लाइंट द्वारा छोड़ दिया गया है। सबसे संभावित कॉन्फ़िगरेशन त्रुटि क्या है?

संकेत: सर्वर की पहचान के संबंध में हाल के Android संस्करणों में पेश की गई सख्त सत्यापन आवश्यकताओं पर विचार करें।

मॉडल उत्तर देखें

सबसे संभावित त्रुटि यह है कि Android 13 उपकरणों पर पुश की गई WiFi प्रोफ़ाइल 'Domain' प्रत्यय मिलान को सही ढंग से निर्दिष्ट नहीं करती है, या Root CA प्रोफ़ाइल में ठीक से लिंक नहीं है। Android मैन-इन-द-मिडल हमले को रोकने के लिए कनेक्शन को छोड़ देता है क्योंकि यह RADIUS सर्वर के प्रमाणपत्र को सत्यापित नहीं कर सकता है।

Q2. आप एक बड़े स्टेडियम परिनियोजन के लिए आर्किटेक्चर डिज़ाइन कर रहे हैं। क्लाइंट सभी स्टाफ उपकरणों के लिए EAP-TLS का उपयोग करना चाहता है। एक मानक WPA2-PSK नेटवर्क की तुलना में किस विशिष्ट बुनियादी ढांचे के घटक को बढ़ाया जाना चाहिए, और क्यों?

संकेत: EAP-TLS में कनेक्शन चरण के दौरान जटिल क्रिप्टोग्राफिक संचालन शामिल होते हैं।

मॉडल उत्तर देखें

RADIUS सर्वर बुनियादी ढांचे को महत्वपूर्ण रूप से बढ़ाया जाना चाहिए। EAP-TLS के लिए पूर्ण पारस्परिक प्रमाणपत्र सत्यापन (असममित क्रिप्टोग्राफी) की आवश्यकता होती है, जो कम्प्यूटेशनल रूप से महंगी है। एक स्टेडियम के वातावरण में जहां हजारों उपकरण व्यक्तिगत रूप से या एक साथ रोमिंग या प्रमाणित हो रहे हैं, एक कम आकार का RADIUS परिनियोजन प्रमाणीकरण टाइमआउट और कनेक्शन विफलताओं का कारण बनेगा।

Q3. एक खोए हुए Android टैबलेट पर एक क्लाइंट प्रमाणपत्र से समझौता हो जाता है। वह सटीक तंत्र क्या है जिसके द्वारा नेटवर्क इस डिवाइस को EAP-TLS के माध्यम से कनेक्ट होने से रोकता है?

संकेत: RADIUS सर्वर को कैसे पता चलता है कि प्रमाणपत्र उसकी समाप्ति तिथि से पहले मान्य नहीं रह गया है?

मॉडल उत्तर देखें

IT प्रशासक PKI में क्लाइंट प्रमाणपत्र को निरस्त (revoke) करता है। PKI अपनी प्रमाणपत्र निरसन सूची (CRL) या OCSP रिस्पॉन्डर को अपडेट करता है। जब खोया हुआ टैबलेट कनेक्ट करने का प्रयास करता है, तो RADIUS सर्वर CRL/OCSP के खिलाफ क्लाइंट प्रमाणपत्र की जांच करता है। इसे निरस्त देखकर, RADIUS सर्वर प्रमाणीकरण अनुरोध को अस्वीकार कर देता है।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन से जुड़े समझौतों (trade-offs) का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →