मुख्य सामग्री पर जाएं
हिन्दी

एंटरप्राइज SCEP सेटअप गाइड: उच्च शिक्षा और बड़े नेटवर्क के लिए सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन

यह गाइड SCEP का उपयोग करके सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन को तैनात करने के लिए एक व्यापक तकनीकी ब्लूप्रिंट प्रदान करती है। इसमें प्री-शेयर्ड कीज़ से EAP-TLS में आर्किटेक्चरल संक्रमण, MDM प्लेटफॉर्म पर परिनियोजन अनुक्रम और बड़े पैमाने के नेटवर्क के लिए महत्वपूर्ण जोखिम शमन रणनीतियों को शामिल किया गया है।

📖 5 मिनट का पाठ📝 1,151 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
एंटरप्राइज SCEP सेटअप गाइड: उच्च शिक्षा और बड़े नेटवर्क के लिए सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन एक Purple तकनीकी ब्रीफिंग - पॉडकास्ट स्क्रिप्ट (लगभग 10 मिनट) --- परिचय और संदर्भ - लगभग 1 मिनट Purple टेक्निकल ब्रीफिंग सीरीज़ में आपका स्वागत है। आज मैं एक ऐसी चीज़ के बारे में बात कर रहा हूँ जो कई IT इनबॉक्स में आती है लेकिन शायद ही कभी उसका सीधा जवाब मिलता है: आप वास्तव में बड़े पैमाने पर, SCEP का उपयोग करके, एक बड़े नेटवर्क पर सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन कैसे तैनात करते हैं - चाहे वह एक विश्वविद्यालय परिसर हो, एक मल्टी-साइट होटल समूह हो, या एक बड़ा सार्वजनिक क्षेत्र का एस्टेट हो? हम पूरी तस्वीर को कवर करने जा रहे हैं। SCEP वास्तव में क्या करता है, यह 802.1X आर्किटेक्चर में कैसे फिट बैठता है, परिनियोजन अनुक्रम (deployment sequence) जिसे अधिकांश टीमें गलत समझती हैं, दो वास्तविक दुनिया के कार्यान्वयन परिदृश्य, और वे कमियां जो आपकी जिंदगी का एक सप्ताहांत (weekend) बर्बाद कर देंगी यदि आप उनके लिए योजना नहीं बनाते हैं। यह एक सलाहकार ब्रीफिंग है, कोई ट्यूटोरियल नहीं। मैं मान रहा हूँ कि आप जानते हैं कि RADIUS सर्वर क्या है और आपने शायद पहले ही तय कर लिया है कि आपको प्री-शेयर्ड कीज़ से दूर जाने की आवश्यकता है। अब आपको कार्यान्वयन मानचित्र (implementation map) की आवश्यकता है। आइए शुरू करते हैं। --- तकनीकी गहन विश्लेषण - लगभग 5 मिनट तो, बुनियादी सिद्धांत। SCEP का अर्थ Simple Certificate Enrollment Protocol है। इसे 2020 में IETF द्वारा RFC 8894 के रूप में औपचारिक रूप दिया गया था, हालांकि इससे पहले एक दशक से अधिक समय से यह व्यापक रूप से एंटरप्राइज उपयोग में था। इसका काम सीधा है: प्रत्येक मशीन को किसी व्यक्ति द्वारा छुए बिना एक प्रबंधित डिवाइस पर डिजिटल सर्टिफिकेट प्राप्त करने की प्रक्रिया को स्वचालित करना। WiFi ऑथेंटिकेशन के संदर्भ में, SCEP वितरण तंत्र (delivery mechanism) है। वास्तविक ऑथेंटिकेशन प्रोटोकॉल जिसे आप लक्षित कर रहे हैं वह EAP-TLS है - Extensible Authentication Protocol with Transport Layer Security - जो 802.1X फ्रेमवर्क के अंदर काम करता है। EAP-TLS को व्यापक रूप से एंटरप्राइज वायरलेस नेटवर्क के लिए सबसे सुरक्षित ऑथेंटिकेशन विधि माना जाता है क्योंकि इसके लिए क्लाइंट डिवाइस और RADIUS सर्वर दोनों को वैध सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है। कोई भी पक्ष क्रिप्टोग्राफिक प्रमाण के बिना दूसरे पर भरोसा नहीं करता है। यही म्यूचुअल ऑथेंटिकेशन आपको ईविल ट्विन (evil twin) हमलों से बचाता है - जहां एक हमलावर क्रेडेंशियल चोरी करने के लिए एक अनधिकृत एक्सेस पॉइंट (rogue access point) स्थापित करता है। यहाँ बताया गया है कि पूरी श्रृंखला कैसे काम करती है। एक प्रबंधित डिवाइस - एक छात्र का लैपटॉप, स्टाफ का फोन, होटल का पॉइंट-ऑफ-सेल टर्मिनल - को कॉर्पोरेट वायरलेस नेटवर्क से जुड़ने की आवश्यकता होती है। आपका MDM प्लेटफॉर्म, जो Microsoft Intune या Jamf हो सकता है, उस डिवाइस पर SCEP पेलोड भेजता है। पेलोड में दो चीजें होती हैं: SCEP URL, जो आपके NDES सर्वर या क्लाउड SCEP गेटवे को इंगित करता है, और एक चैलेंज पासवर्ड या साझा रहस्य (shared secret)। डिवाइस स्थानीय रूप से अपनी स्वयं की पब्लिक और प्राइवेट की (key) जोड़ी उत्पन्न करता है। यह महत्वपूर्ण है। प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है। यह डिवाइस पर उत्पन्न होती है, सुरक्षित एन्क्लेव या TPM में संग्रहीत होती है, और इसे कभी भी नेटवर्क पर प्रसारित नहीं किया जाता है। डिवाइस फिर एक Certificate Signing Request - एक CSR - बनाता है और इसे SCEP गेटवे पर भेजता है। गेटवे चैलेंज को सत्यापित करता है, CSR को आपके Certificate Authority को अग्रेषित करता है, और CA इस पर हस्ताक्षर करता है और डिवाइस को पब्लिक सर्टिफिकेट वापस कर देता है। उस बिंदु से, जब डिवाइस आपके WiFi SSID से कनेक्ट होता, तो यह उस सर्टिफिकेट को RADIUS सर्वर के सामने प्रस्तुत करता है। RADIUS सर्वर आपके CA की ट्रस्ट चेन के खिलाफ सर्टिफिकेट को सत्यापित करता है, यह पुष्टि करने के लिए Certificate Revocation List की जांच करता है कि सर्टिफिकेट रद्द तो नहीं किया गया है, और यदि सब कुछ ठीक रहता है, तो एक्सेस पॉइंट को एक स्वीकृति संदेश भेजता है। डिवाइस नेटवर्क पर आ जाता है। पूरी प्रक्रिया उपयोगकर्ता के लिए अदृश्य होती है। अब, बात करते हैं कि SCEP विकल्प की तुलना में कहां खड़ा है, जो कि PKCS है। PKCS - Public Key Cryptography Standards - दूसरा सर्टिफिकेट वितरण तरीका है जो Intune जैसे प्लेटफॉर्म द्वारा समर्थित है। PKCS के साथ, CA केंद्रीय रूप से पब्लिक और प्राइवेट दोनों की (key) उत्पन्न करता है, और सर्टिफिकेट कनेक्टर की (key) जोड़ी को डिवाइस पर भेजता है। इसका मतलब है कि प्राइवेट की नेटवर्क पर यात्रा करती है, जो एक सैद्धांतिक हमला क्षेत्र (attack surface) पेश करती है। PKCS उन उपयोग के मामलों के लिए ठीक है जैसे S/MIME ईमेल एन्क्रिप्शन जहां की एस्क्रो (key escrow) वास्तव में वांछनीय है। WiFi ऑथेंटिकेशन के लिए, SCEP सही विकल्प है। प्राइवेट की डिवाइस पर ही रहती है, बात खत्म। अब, हार्डवेयर लेयर। SCEP और EAP-TLS वेंडर-न्यूट्रल मानक हैं, जिसका अर्थ है कि वे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet एक्सेस पॉइंट्स पर काम करते हैं। आपका RADIUS कॉन्फ़िगरेशन - चाहे वह Windows NPS हो, FreeRADIUS हो, या क्लाउड RADIUS सेवा हो - वह जगह है जहाँ आप सर्टिफिकेट सत्यापन नीति को परिभाषित करते हैं और, गंभीर रूप से, जहाँ आप डायनेमिक VLAN असाइनमेंट कॉन्फ़िगर करते हैं। डायनेमिक VLAN वे हैं जिनके द्वारा आप पहचान के आधार पर नेटवर्क को विभाजित करते हैं। एक छात्र के डिवाइस को VLAN 20 मिलता है - केवल इंटरनेट एक्सेस। एक फैकल्टी डिवाइस को VLAN 10 मिलता है - आंतरिक अनुसंधान प्रणालियों तक पहुंच। एक सुविधा प्रबंधन (facilities management) डिवाइस को VLAN 30 मिलता है - भवन प्रबंधन प्रणालियों तक पहुंच। यह सब सर्टिफिकेट विशेषताओं और RADIUS नीति द्वारा संचालित होता है, जिसमें प्रति डिवाइस कोई मैन्युअल हस्तक्षेप नहीं होता है। पहचान प्रदाता (identity provider) एकीकरण के लिए, SCEP सर्टिफिकेट विशेषताएं - विशेष रूप से Subject Alternative Name - Microsoft Entra ID, Okta, या Google Workspace से उपयोगकर्ता का मुख्य नाम ले जा सकती हैं। यह सर्टिफिकेट को एक विशिष्ट पहचान से जोड़ता है, जिसका अर्थ है कि जब आप Entra ID में किसी खाते को अक्षम करते हैं और MDM डिवाइस को अनएनरोल करता है, तो सर्टिफिकेट रद्द कर दिया जाता है और WiFi एक्सेस स्वचालित रूप से कट जाती है। यह निरसन (revocation) की वह कहानी है जो प्री-शेयर्ड कीज़ बस नहीं बता सकतीं। --- कार्यान्वयन सिफारिशें और कमियां - लगभग 2 मिनट ठीक है, आइए परिनियोजन अनुक्रम (deployment sequence) के बारे में बात करते हैं, क्योंकि यहीं पर अधिकांश टीमें गलती करती हैं। अनुक्रम गैर-परक्राम्य (non-negotiable) है: पहले Trusted Root सर्टिफिकेट, दूसरा SCEP सर्टिफिकेट प्रोफ़ाइल, तीसरा WiFi प्रोफ़ाइल। Intune और Jamf दोनों प्रोफ़ाइल निर्भरताओं को लागू करते हैं। यदि आपकी WiFi प्रोफ़ाइल किसी ऐसे SCEP सर्टिफिकेट को संदर्भित करती है जो अभी तक डिवाइस पर तैनात नहीं किया गया है, तो WiFi प्रोफ़ाइल एक रहस्यमयी त्रुटि के साथ विफल हो जाएगी जो एक गलत कॉन्फ़िगरेशन की तरह दिखती है लेकिन वास्तव में केवल एक समय (timing) की समस्या है। दूसरी कमी समूह लक्ष्यीकरण (group targeting) है। तीनों प्रोफ़ाइल - Trusted Root, SCEP, और WiFi - बिल्कुल एक ही Azure AD या Jamf समूह में तैनात होने चाहिए। यदि SCEP प्रोफ़ाइल किसी उपयोगकर्ता समूह को लक्षित करती है और WiFi प्रोफ़ाइल किसी डिवाइस समूह को लक्षित करती है, तो Intune निर्भरता को हल नहीं कर सकता है और WiFi प्रोफ़ाइल 'लागू नहीं' (Not Applicable) के रूप में दिखाई देगी। यह टीमों को लगातार परेशान करता है। तीसरा: NDES सर्वर की सुलभता। आपका NDES सर्वर इंटरनेट से सुलभ होना चाहिए ताकि डिवाइस साइट पर पहुंचने से पहले नामांकन कर सकें। ऐसा करने का सही तरीका Azure AD Application Proxy के माध्यम से है, न कि आपके फ़ायरवॉल में छेद करके। App Proxy आपको इनबाउंड पोर्ट के बिना सुरक्षित रिमोट एक्सेस देता है और आपको नामांकन प्रवाह पर कंडीशनल एक्सेस नीतियां लागू करने देता है। चौथा: CRL की उपलब्धता। जब भी कोई डिवाइस ऑथेंटिकेट होता है, आपका RADIUS सर्वर Certificate Revocation List की जांच करता है। यदि आपका CRL वितरण बिंदु (Distribution Point) अनुपलब्ध है - क्योंकि सर्वर डाउन है, या URL बदल गया है - तो नेटवर्क पर प्रत्येक डिवाइस के लिए ऑथेंटिकेशन एक साथ विफल हो जाता है। यह पूरे परिसर में आउटेज है। अपने CRL एंडपॉइंट्स को अत्यधिक उपलब्ध बनाएं, और लाइव होने से पहले निरसन (revocation) का परीक्षण करें। बड़े नेटवर्क के लिए - 500 से अधिक उपकरणों के लिए - ऑन-प्रिमाइसेस NDES के बजाय क्लाउड SCEP गेटवे पर विचार करें। क्लाउड गेटवे NDES के सिंगल पॉइंट ऑफ़ फेल्योर को समाप्त करते हैं, क्षैतिज रूप से स्केल करते हैं, और आमतौर पर क्लाउड RADIUS सेवाओं के साथ सीधे एकीकृत होते हैं, जिससे एक और बुनियादी ढांचा निर्भरता समाप्त हो जाती है। --- रैपिड-फायर प्रश्न और उत्तर - लगभग 1 मिनट क्या SCEP उन BYOD उपकरणों को संभाल सकता है जो MDM-नामांकित नहीं हैं? सीधे तौर पर नहीं। सर्टिफिकेट पेलोड को पुश करने के लिए SCEP को MDM नामांकन की आवश्यकता होती है। अप्रबंधित BYOD के लिए, आपको एक अलग दृष्टिकोण की आवश्यकता है - या तो एक स्व-सेवा (self-service) ऑनबोर्डिंग पोर्टल, या पहचान सत्यापन के साथ कैप्टिव पोर्टल का उपयोग करने वाला एक अलग SSID। Purple का प्लेटफॉर्म उस गेस्ट और BYOD लेयर को सफाई से संभालता है, जो आपके सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्क के साथ काम करता है। iOS और Android के बारे में क्या? दोनों प्लेटफॉर्म मूल रूप से SCEP का समर्थन करते हैं। iOS ने iOS 4 से SCEP का समर्थन किया है। Android Enterprise, Intune और अन्य MDMs के माध्यम से SCEP का समर्थन करता है। कॉन्फ़िगरेशन प्रति प्लेटफॉर्म थोड़ा अलग है लेकिन अंतर्निहित प्रोटोकॉल समान है। क्या EAP-TLS, WPA3 के साथ काम करता है? हाँ। WPA3-Enterprise संवेदनशील वातावरण के लिए 192-बिट सुरक्षा मोड को अनिवार्य करता है, और EAP-TLS पूरी तरह से संगत है। वास्तव में, EAP-TLS के साथ WPA3-Enterprise सरकारी और वित्तीय नेटवर्क के लिए WiFi Alliance द्वारा अनुशंसित संयोजन है। --- सारांश और अगले कदम - लगभग 1 मिनट इसे एक साथ लाने के लिए। SCEP सर्टिफिकेट WiFi ऑथेंटिकेशन 50 से अधिक प्रबंधित उपकरणों वाले किसी भी नेटवर्क के लिए सही आर्किटेक्चर है। यह साझा क्रेडेंशियल को समाप्त करता है, आपको प्रति-डिवाइस पहचान देता है, डायनेमिक VLAN सेगमेंटेशन को सक्षम बनाता है, और स्वचालित निरसन (revocation) के लिए आपके पहचान प्रदाता के साथ सीधे एकीकृत होता है। परिनियोजन अनुक्रम - Trusted Root, फिर SCEP प्रोफ़ाइल, फिर WiFi प्रोफ़ाइल - निश्चित है। समूह लक्ष्यीकरण सुसंगत होना चाहिए। CRL की उपलब्धता वैकल्पिक नहीं है। विशेष रूप से उच्च शिक्षा के लिए, स्टाफ और फैकल्टी उपकरणों के लिए SCEP का संयोजन, व्यक्तिगत उपकरणों पर छात्रों के लिए एक अलग गेस्ट WiFi लेयर के साथ, आपको बिना किसी समझौते के सुरक्षा और एक बेहतरीन उपयोगकर्ता अनुभव दोनों देता है। यदि आप और गहराई से जानना चाहते हैं, तो Active Directory या ऑन-प्रिमाइसेस सर्वर के बिना एंटरप्राइज WiFi ऑथेंटिकेशन पर Purple की गाइड क्लाउड-नेटिव पथ को कवर करती है। और यदि आप सोच रहे हैं कि जब कोई कर्मचारी छोड़ता है तो क्या होता है, तो WiFi एक्सेस रद्द करने पर हमारी गाइड पूर्ण निरसन (revocation) वर्कफ़्लो के माध्यम से मार्गदर्शन करती है। सुनने के लिए धन्यवाद। मैं Purple तकनीकी टीम से हूँ, और हम आपसे अगली ब्रीफिंग में मिलेंगे। --- स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश

एंटरप्राइज स्थानों के लिए—चाहे वह एक आधुनिक उच्च शिक्षा परिसर हो, मल्टी-साइट रिटेल ऑपरेशन हो, या एक बड़ा हॉस्पिटैलिटी ग्रुप हो—स्टाफ और ऑपरेशनल WiFi के लिए प्री-शेयर्ड कीज़ (pre-shared keys) पर निर्भर रहना अस्वीकार्य सुरक्षा कमजोरियों और ऑपरेशनल ओवरहेड को जन्म देता है। आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS का उपयोग करके 802.1X ऑथेंटिकेशन की मांग करता है, जिससे यह सुनिश्चित होता है कि नेटवर्क तक पहुंचने से पहले प्रत्येक डिवाइस को क्रिप्टोग्राफिक रूप से सत्यापित किया जाए।

चुनौती वितरण में है: अपने हेल्पडेस्क को सपोर्ट टिकटों में डुबोए बिना हजारों Windows, iOS, और Android डिवाइसों पर विशिष्ट क्लाइंट सर्टिफिकेट तैनात करना। Microsoft Intune, Jamf, और अन्य MDM प्लेटफॉर्म ऑटोमेटेड सर्टिफिकेट लाइफसाइकल मैनेजमेंट के माध्यम से इसे हल करते हैं। SCEP (Simple Certificate Enrollment Protocol) का लाभ उठाकर, IT टीमें प्रबंधित एंडपॉइंट्स पर चुपचाप विश्वसनीय रूट और क्लाइंट सर्टिफिकेट भेज सकती हैं।

यह गाइड एंटरप्राइज SCEP सर्टिफिकेट परिनियोजन (deployment) के लिए एक निश्चित आर्किटेक्चरल ब्लूप्रिंट और चरण-दर-चरण कार्यान्वयन रणनीति प्रदान करती है। हम सफलता के लिए आवश्यक परिनियोजन अनुक्रम (deployment sequence) का पता लगाएंगे, वास्तविक दुनिया की जोखिम शमन रणनीतियों को रेखांकित करेंगे, और विस्तार से बताएंगे कि Purple का पहचान-आधारित नेटवर्क दृष्टिकोण इन आवश्यकताओं से कैसे मेल खाता है।

तकनीकी गहन विश्लेषण: SCEP और 802.1X आर्किटेक्चर

सर्टिफिकेट-आधारित WiFi परिनियोजन रणनीति तैयार करते समय, अंतर्निहित प्रोटोकॉल इंटरैक्शन को समझना महत्वपूर्ण है। SCEP वितरण तंत्र (delivery mechanism) है; EAP-TLS ऑथेंटिकेशन प्रोटोकॉल है।

SCEP (Simple Certificate Enrollment Protocol)

SCEP एंटरप्राइज डिवाइस नामांकन (enrollment) के लिए उद्योग मानक है। SCEP वर्कफ़्लो में, MDM सेवा एंडपॉइंट को अपनी स्वयं की प्राइवेट और पब्लिक की (key) जोड़ी बनाने का निर्देश देती है। डिवाइस एक Certificate Signing Request (CSR) बनाता है और इसे Network Device Enrollment Service (NDES) सर्वर या क्लाउड गेटवे के माध्यम से आपके Certificate Authority (CA) को भेजता है। CA अनुरोध पर हस्ताक्षर करता है और डिवाइस को पब्लिक सर्टिफिकेट वापस कर देता है।

SCEP का महत्वपूर्ण सुरक्षा लाभ यह है कि प्राइवेट की (private key) कभी भी डिवाइस से बाहर नहीं जाती है। यह स्थानीय रूप से उत्पन्न होती है, डिवाइस के सुरक्षित हार्डवेयर एन्क्लेव में संग्रहीत होती है, और इसे कभी भी नेटवर्क पर प्रसारित नहीं किया जाता है। यह SCEP को 802.1X ऑथेंटिकेशन के लिए अत्यधिक अनुशंसित दृष्टिकोण बनाता है।

scep_architecture_overview.png

EAP-TLS और म्यूचुअल ऑथेंटिकेशन

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) 802.1X फ्रेमवर्क के अंदर काम करता है। EAP-TLS को व्यापक रूप से एंटरप्राइज वायरलेस नेटवर्क के लिए सबसे सुरक्षित ऑथेंटिकेशन विधि माना जाता है क्योंकि इसके लिए म्यूचुअल ऑथेंटिकेशन (पारस्परिक प्रमाणीकरण) की आवश्यकता होती है। क्लाइंट डिवाइस और RADIUS सर्वर दोनों को वैध सर्टिफिकेट प्रस्तुत करने होंगे। कोई भी पक्ष क्रिप्टोग्राफिक प्रमाण के बिना दूसरे पर भरोसा नहीं करता है। यह म्यूचुअल ऑथेंटिकेशन नेटवर्क को अनधिकृत एक्सेस पॉइंट्स (rogue access points) और क्रेडेंशियल हार्वेस्टिंग से बचाता है।

जब एक डिवाइस आपके WiFi SSID से कनेक्ट होता है, तो यह अपना सर्टिफिकेट RADIUS सर्वर के सामने प्रस्तुत करता है। RADIUS सर्वर आपके CA ट्रस्ट चेन के खिलाफ सर्टिफिकेट को सत्यापित करता है, यह पुष्टि करने के लिए Certificate Revocation List (CRL) की जांच करता है कि सर्टिफिकेट रद्द तो नहीं किया गया है, और सफल होने पर, एक्सेस पॉइंट को एक स्वीकृति संदेश भेजता है।

कार्यान्वयन गाइड: परिनियोजन अनुक्रम (Deployment Sequence)

802.1X के लिए MDM WiFi प्रोफ़ाइल को सफलतापूर्वक कॉन्फ़िगर करने के लिए एक विशिष्ट परिनियोजन अनुक्रम का कड़ाई से पालन करना आवश्यक है। प्रोफ़ाइल निर्भरताएं यह तय करती हैं कि ऑथेंटिकेशन कॉन्फ़िगर करने से पहले ट्रस्ट स्थापित किया जाना चाहिए।

चरण 1: विश्वसनीय रूट सर्टिफिकेट प्रोफ़ाइल तैनात करें

इससे पहले कि कोई भी डिवाइस क्लाइंट सर्टिफिकेट का अनुरोध कर सके या आपके RADIUS सर्वर पर भरोसा कर सके, उसे जारी करने वाले Certificate Authority पर भरोसा करना होगा।

  1. अपने Root CA सर्टिफिकेट को .cer फ़ाइल के रूप में एक्सपोर्ट करें।
  2. अपने MDM (जैसे, Intune या Jamf) में, एक Trusted Certificate प्रोफ़ाइल बनाएं।
  3. .cer फ़ाइल अपलोड करें और इस प्रोफ़ाइल को अपने लक्षित डिवाइस समूहों में तैनात करें।

चरण 2: SCEP सर्टिफिकेट प्रोफ़ाइल कॉन्फ़िगर करें

एक बार ट्रस्ट स्थापित हो जाने पर, डिवाइसों को उनके क्लाइंट सर्टिफिकेट प्राप्त करने का निर्देश देने के लिए SCEP प्रोफ़ाइल को कॉन्फ़िगर करें।

  1. एक नई कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं और SCEP सर्टिफिकेट चुनें।
  2. Subject नाम प्रारूप कॉन्फ़िगर करें। उपयोगकर्ता-संचालित ऑथेंटिकेशन के लिए, User Principal Name का उपयोग करें।
  3. Key usage को Digital signature और Key encipherment पर सेट करें।
  4. Extended key usage के अंतर्गत, Client Authentication निर्दिष्ट करें।
  5. इस प्रोफ़ाइल को चरण 1 में बनाई गई Trusted Root सर्टिफिकेट प्रोफ़ाइल से लिंक करें।
  6. अपने NDES सर्वर या SCEP गेटवे का बाहरी URL प्रदान करें।

चरण 3: 802.1X WiFi प्रोफ़ाइल तैनात करें

अंतिम चरण WiFi कॉन्फ़िगरेशन को पुश करना है जो सर्टिफिकेट को नेटवर्क SSID से जोड़ता है।

  1. एक WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं।
  2. नेटवर्क नाम (SSID) ठीक वैसे ही दर्ज करें जैसे आपके एक्सेस पॉइंट्स द्वारा प्रसारित किया जाता है।
  3. सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
  4. EAP प्रकार को EAP-TLS पर सेट करें।
  5. चरण 2 में बनाई गई SCEP सर्टिफिकेट प्रोफ़ाइल को क्लाइंट ऑथेंटिकेशन सर्टिफिकेट के रूप में चुनें।
  6. सर्वर सत्यापन के लिए Trusted Root सर्टिफिकेट निर्दिष्ट करें।

सर्वोत्तम अभ्यास और उद्योग मानक

जब SCEP सर्टिफिकेट परिनियोजन को लागू कर रहे हों, तो अनुपालन और विश्वसनीयता सुनिश्चित करने के लिए इन वेंडर-न्यूट्रल सर्वोत्तम अभ्यासों का पालन करें।

NDES सर्वर प्लेसमेंट और सुरक्षा

साइट पर पहुंचने से पहले रिमोट डिवाइसों को सर्टिफिकेट प्रोविज़निंग की अनुमति देने के लिए NDES सर्वर इंटरनेट से सुलभ होना चाहिए। हालांकि, किसी आंतरिक सर्वर को सीधे इंटरनेट पर उजागर करना एक महत्वपूर्ण सुरक्षा जोखिम है। Azure AD Application Proxy का उपयोग करके NDES URL प्रकाशित करें या क्लाउड-होस्टेड SCEP गेटवे का उपयोग करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना सुरक्षित रिमोट एक्सेस प्रदान करता है।

RADIUS और CRL चेकिंग

सर्टिफिकेट परिनियोजन सुरक्षा समीकरण का केवल आधा हिस्सा है; निरसन (revocation) भी उतना ही महत्वपूर्ण है। यदि कोई कर्मचारी छोड़ता है, तो उनके Active Directory खाते को अक्षम करने से उनकी WiFi एक्सेस तुरंत समाप्त नहीं हो सकती है यदि उनका क्लाइंट सर्टिफिकेट वैध रहता है और RADIUS सर्वर कड़ाई से Certificate Revocation List (CRL) की जांच नहीं कर रहा है। सख्त CRL चेकिंग लागू करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें और सुनिश्चित करें कि आपके CRL वितरण बिंदु (Distribution Points) अत्यधिक उपलब्ध हैं।

हार्डवेयर एग्नॉस्टिक परिनियोजन

SCEP और EAP-TLS वेंडर-न्यूट्रल मानक हैं। आपका परिनियोजन हार्डवेयर-एग्नॉस्टिक होना चाहिए, जो Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet इन्फ्रास्ट्रक्चर पर निर्बाध रूप से काम करे।

समस्या निवारण और जोखिम शमन

सावधानीपूर्वक योजना बनाने के बाद भी, सर्टिफिकेट परिनियोजन में समस्याएं आ सकती हैं।

समस्या: WiFi प्रोफ़ाइल लागू होने में विफल

यह लगभग हमेशा समूह लक्ष्यीकरण (group targeting) में बेमेल होने के कारण होता है। यदि SCEP प्रोफ़ाइल किसी User Group को सौंपी गई है, लेकिन WiFi प्रोफ़ाइल किसी Device Group को सौंपी गई है, तो MDM निर्भरता को हल नहीं कर सकता है। सुनिश्चित करें कि Trusted Root, SCEP, और WiFi प्रोफ़ाइल सभी बिल्कुल एक ही समूह में तैनात हैं।

समस्या: NDES 403 Forbidden त्रुटियां

डिवाइस SCEP सर्टिफिकेट प्राप्त करने में विफल रहते हैं। संभवतः Intune Certificate Connector सेवा खाते के पास सर्टिफिकेट टेम्पलेट पर आवश्यक अनुमतियां नहीं हैं, या आपके फ़ायरवॉल पर URL फ़िल्टरिंग SCEP द्वारा उपयोग किए जाने वाले विशिष्ट क्वेरी स्ट्रिंग पैरामीटर को ब्लॉक कर रही है।

ROI और व्यावसायिक प्रभाव

SCEP 802.1X सर्टिफिकेट परिनियोजन पर संक्रमण सुरक्षा और संचालन दोनों में मापने योग्य लाभ प्रदान करता है।

scep_vs_psk_comparison.png

  1. हेल्पडेस्क टिकटों में कमी: पासवर्ड-आधारित WiFi बड़ी संख्या में सपोर्ट टिकट उत्पन्न करता है। सर्टिफिकेट-आधारित ऑथेंटिकेशन उपयोगकर्ता के लिए अदृश्य होता है, जो आमतौर पर WiFi से संबंधित हेल्पडेस्क वॉल्यूम को 70% तक कम कर देता है।
  2. बेहतर सुरक्षा स्थिति: EAP-TLS क्रेडेंशियल हार्वेस्टिंग और मैन-इन-द-मिडल (Man-in-the-Middle) हमलों के जोखिम को समाप्त करता है। यह PCI-DSS और GDPR जैसे अनुपालन ढांचों के लिए महत्वपूर्ण है।
  3. निर्बाध ऑनबोर्डिंग: Windows के साथ-साथ Apple उपकरणों के बड़े बेड़े का प्रबंधन करने वाले संगठनों के लिए, मौजूदा MDM वर्कफ़्लो के साथ एकीकरण एक एकीकृत, ज़ीरो-टच प्रोविज़निंग अनुभव सुनिश्चित करता है।
  4. डायनेमिक सेगमेंटेशन: पहचान के आधार पर डायनेमिक VLAN असाइनमेंट का समर्थन करता है, जिससे अलग SSIDs की आवश्यकता के बिना IoT उपकरणों को कॉर्पोरेट डेटा से अलग किया जा सकता है।

अधिक पढ़ने के लिए, एंटरप्राइज WiFi सुरक्षा: 2026 के लिए एक संपूर्ण गाइड और कर्मचारी के जाने पर WiFi एक्सेस कैसे रद्द करें पर हमारे संबंधित गाइड देखें।

मुख्य परिभाषाएं

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो मानवीय हस्तक्षेप के बिना प्रबंधित उपकरणों को डिजिटल सर्टिफिकेट के अनुरोध और जारी करने को स्वचालित करता है।

नेटवर्क ऑथेंटिकेशन के लिए उपकरणों को सुरक्षित रूप से विशिष्ट पहचान प्रदान करने के लिए MDM प्लेटफॉर्म द्वारा उपयोग किया जाता है।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सबसे सुरक्षित 802.1X ऑथेंटिकेशन विधि, जिसमें क्लाइंट और RADIUS सर्वर दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है।

लक्षित ऑथेंटिकेशन प्रोटोकॉल जिसके समर्थन के लिए SCEP सर्टिफिकेट प्रदान किए जाते हैं।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक ऑथेंटिकेशन तंत्र प्रदान करता है।

व्यापक ढांचा जो एंटरप्राइज नेटवर्क को अनधिकृत पहुंच से सुरक्षित करता है।

RADIUS

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग प्रबंधन प्रदान करता है।

सर्वर घटक जो क्लाइंट सर्टिफिकेट को सत्यापित करता है और यह निर्धारित करता है कि डिवाइस को किस VLAN में शामिल होना चाहिए।

CSR (Certificate Signing Request)

SSL/TLS सर्टिफिकेट के लिए आवेदन करते समय Certificate Authority को दिया जाने वाला एन्कोडेड टेक्स्ट का एक ब्लॉक, जिसमें पब्लिक की और पहचान की जानकारी होती है।

SCEP नामांकन प्रक्रिया के दौरान डिवाइस पर स्थानीय रूप से उत्पन्न होता है।

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server भूमिका जो एक ब्रिज के रूप में कार्य करती है, जिससे उपकरणों को SCEP के माध्यम से सर्टिफिकेट प्राप्त करने की अनुमति मिलती है।

वह गेटवे जो डिवाइस से CSR प्राप्त करता है और इसे आंतरिक Certificate Authority को अग्रेषित करता है।

CRL (Certificate Revocation List)

Certificate Authority द्वारा प्रकाशित एक सूची जिसमें उन सर्टिफिकेट के सीरियल नंबर होते हैं जिन्हें रद्द कर दिया गया है और जिन पर अब भरोसा नहीं किया जाना चाहिए।

यह सुनिश्चित करने के लिए कि नौकरी से निकाले गए कर्मचारी का डिवाइस कनेक्ट न हो सके, ऑथेंटिकेशन के दौरान RADIUS सर्वर द्वारा जांचा जाता है।

VLAN (Virtual Local Area Network)

एक लॉजिकल सबनेटवर्क जो विभिन्न भौतिक LAN से उपकरणों के संग्रह को समूहित करता है।

SCEP सर्टिफिकेट में प्रस्तुत पहचान के आधार पर नेटवर्क ट्रैफ़िक को गतिशील रूप से विभाजित करने के लिए RADIUS के संयोजन में उपयोग किया जाता है।

हल किए गए उदाहरण

एक 400 कमरों वाले होटल को गेस्ट WiFi नेटवर्क से सख्त अलगाव सुनिश्चित करते हुए 150 स्टाफ उपकरणों (टैबलेट और लैपटॉप) के लिए सुरक्षित ऑपरेशनल WiFi तैनात करने की आवश्यकता है।

IT टीम अपने MDM के साथ एकीकृत क्लाउड SCEP गेटवे को कॉन्फ़िगर करती है। वे एक Trusted Root प्रोफ़ाइल तैनात करते हैं, जिसके बाद 'होटल ऑपरेशन्स' डिवाइस समूह को लक्षित करने वाली SCEP प्रोफ़ाइल तैनात की जाती है। फिर 'Staff-Secure' SSID के लिए एक WiFi प्रोफ़ाइल तैनात की जाती है, जिसे WPA3-Enterprise और EAP-TLS के लिए कॉन्फ़िगर किया गया है। RADIUS सर्वर को इन ऑथेंटिकेटेड उपकरणों को VLAN 40 में असाइन करने के लिए कॉन्फ़िगर किया गया है, जिससे वे गेस्ट WiFi (VLAN 50) से पूरी तरह से अलग हो जाते हैं।

परीक्षक की टिप्पणी: यह दृष्टिकोण कर्मचारियों द्वारा मेहमानों के साथ PSK साझा करने के जोखिम को समाप्त करता है। SCEP का उपयोग करके, प्राइवेट कीज़ ऑपरेशनल उपकरणों पर सुरक्षित रहती हैं, और डायनेमिक VLAN असाइनमेंट कई SSIDs को प्रसारित किए बिना उचित नेटवर्क सेगमेंटेशन सुनिश्चित करता है।

25,000 छात्रों और 3,000 कर्मचारियों वाले एक बड़े विश्वविद्यालय परिसर को अपने 'Edu-Secure' नेटवर्क को सुरक्षित करने की आवश्यकता है। वे वर्तमान में उपयोगकर्ता नाम और पासवर्ड के साथ PEAP का उपयोग करते हैं, जिसके परिणामस्वरूप पासवर्ड समाप्त होने के कारण प्रति माह 500+ हेल्पडेस्क टिकट आते हैं।

विश्वविद्यालय Intune और SCEP का उपयोग करके स्टाफ और फैकल्टी उपकरणों को EAP-TLS पर माइग्रेट करता है। वे स्टाफ उपयोगकर्ता समूहों में सख्त अनुक्रम (Root -> SCEP -> WiFi) में सर्टिफिकेट प्रोफ़ाइल तैनात करते हैं। अप्रबंधित छात्र BYOD उपकरणों के लिए, वे एक अलग ऑनबोर्डिंग पोर्टल तैनात करते हैं जो अस्थायी सर्टिफिकेट प्रदान करता है, या निर्बाध, सुरक्षित पहुंच के लिए प्रोफ़ाइल-आधारित ऑथेंटिकेशन के साथ Purple के गेस्ट WiFi प्लेटफॉर्म का उपयोग करते हैं।

परीक्षक की टिप्पणी: प्रबंधित उपकरणों को SCEP/EAP-TLS पर माइग्रेट करने से पासवर्ड से संबंधित टिकटों की संख्या तुरंत कम हो जाती है। हाइब्रिड दृष्टिकोण यह स्वीकार करता है कि SCEP के लिए MDM नामांकन की आवश्यकता होती है, जो अप्रबंधित BYOD ट्रैफ़िक को उद्देश्य-निर्मित ऑनबोर्डिंग फ़्लो पर सही ढंग से रूट करता है।

अभ्यास प्रश्न

Q1. आपकी टीम 500 Windows लैपटॉप के बेड़े में एक नया SCEP सर्टिफिकेट प्रोफ़ाइल तैनात कर रही है। Trusted Root प्रोफ़ाइल को 'All Corporate Devices' समूह में तैनात किया गया था। SCEP प्रोफ़ाइल को 'All Corporate Users' समूह में तैनात किया गया था। लैपटॉप पर WiFi प्रोफ़ाइल 'लागू नहीं' (Not Applicable) के रूप में दिखाई दे रही है। इसका मूल कारण क्या है?

संकेत: Intune प्रोफ़ाइल निर्भरता नियमों और समूह लक्ष्यीकरण आवश्यकताओं पर विचार करें।

मॉडल उत्तर देखें

मूल कारण समूह लक्ष्यीकरण (group targeting) में बेमेल होना है। Intune के लिए आवश्यक है कि निर्भर प्रोफ़ाइल (Root, SCEP, WiFi) बिल्कुल एक ही समूह प्रकार में तैनात किए जाएं। चूंकि Root प्रोफ़ाइल डिवाइसों को लक्षित करती है और SCEP प्रोफ़ाइल उपयोगकर्ताओं को लक्षित करती है, इसलिए निर्भरता श्रृंखला टूट जाती है। तीनों प्रोफ़ाइलों को या तो एक ही Device समूह या एक ही User समूह को लक्षित करना चाहिए।

Q2. एक होटल संचालन निदेशक EAP-TLS का उपयोग करके स्टाफ WiFi नेटवर्क को सुरक्षित करना चाहता है। वे SCEP के बजाय PKCS का उपयोग करने का सुझाव देते हैं क्योंकि इसके लिए NDES सर्वर की आवश्यकता नहीं होती है। नेटवर्क आर्किटेक्ट के रूप में, आपको WiFi ऑथेंटिकेशन के लिए इसके खिलाफ सलाह क्यों देनी चाहिए?

संकेत: इस बारे में सोचें कि प्राइवेट की (private key) कहाँ उत्पन्न होती है और यह कैसे यात्रा करती है।

मॉडल उत्तर देखें

आपको WiFi ऑथेंटिकेशन के लिए PKCS के खिलाफ सलाह देनी चाहिए क्योंकि इसके लिए प्राइवेट की को CA द्वारा केंद्रीय रूप से उत्पन्न करने और नेटवर्क पर डिवाइस तक प्रसारित करने की आवश्यकता होती है। SCEP काफी अधिक सुरक्षित है क्योंकि डिवाइस स्थानीय रूप से प्राइवेट की उत्पन्न करता है और इसे एक सुरक्षित हार्डवेयर एन्क्लेव में संग्रहीत करता है; प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है।

Q3. एक नेटवर्क ऑडिट के दौरान, आपको पता चलता है कि RADIUS सर्वर को CRL (Certificate Revocation List) चेकिंग त्रुटियों को अनदेखा करने के लिए कॉन्फ़िगर किया गया है। जब किसी कर्मचारी को नौकरी से निकाला जाता है, तो इससे क्या विशिष्ट सुरक्षा जोखिम पैदा होता है?

संकेत: विचार करें कि यदि MDM डिवाइस को अनएनरोल कर देता है लेकिन RADIUS सर्वर निरसन (revocation) स्थिति को सत्यापित नहीं कर पाता है, तो सर्टिफिकेट की वैधता का क्या होता है।

मॉडल उत्तर देखें

यदि CRL चेकिंग को अनदेखा किया जाता है या विफल होने पर भी खुला छोड़ दिया जाता है, तो एक नौकरी से निकाला गया कर्मचारी जिसका डिवाइस अनएनरोल कर दिया गया है (और CA द्वारा सर्टिफिकेट रद्द कर दिया गया है) अभी भी WiFi नेटवर्क से कनेक्ट होने में सक्षम हो सकता है। RADIUS सर्वर एक क्रिप्टोग्राफिक रूप से वैध सर्टिफिकेट देखेगा और, CRL की जांच किए बिना, पहुंच प्रदान कर देगा, जिससे एक गंभीर सुरक्षा भेद्यता (vulnerability) पैदा होगी।

इस श्रृंखला में आगे पढ़ें

GDPR और अतिथि डेटा गोपनीयता अनुपालन के लिए नेटवर्क एडमिनिस्ट्रेटर की गाइड

IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस निदेशकों के लिए GDPR-अनुपालन Guest WiFi नेटवर्क को डिजाइन करने पर एक व्यापक तकनीकी संदर्भ। इसमें अतिथि नेटवर्क द्वारा एकत्र किए गए व्यक्तिगत डेटा की चार श्रेणियां, प्रत्येक के लिए कानूनी आधार, कैप्टिव पोर्टल सहमति यांत्रिकी, VLAN सेगमेंटेशन, डेटा प्रतिधारण स्वचालन, और कैसे Purple का हार्डवेयर-अज्ञेयवादी (hardware-agnostic) प्लेटफॉर्म प्रत्येक अनुपालन आवश्यकता के अनुरूप काम करता है, शामिल है। वेन्यू ऑपरेटर सीखेंगे कि कैसे Guest WiFi अनुपालन को एक नियामक दायित्व से एक मजबूत, फर्स्ट-पार्टी डेटा संपत्ति में बदला जाए।

गाइड पढ़ें →

कैप्टिव पोर्टल के लिए WeChat OAuth प्रमाणीकरण को कैसे कॉन्फ़िगर करें

यह तकनीकी गाइड बताती है कि कैप्टिव पोर्टल के लिए WeChat OAuth प्रमाणीकरण को कैसे कॉन्फ़िगर करें। इसमें चीनी विज़िटर्स से सुरक्षित रूप से फ़र्स्ट-पार्टी डेटा कैप्चर करने के लिए आवश्यक प्लेटफ़ॉर्म पंजीकरण, OAuth 2.0 फ़्लो, स्कोप चयन और नेटवर्क प्रवर्तन तंत्र का विवरण दिया गया है।

गाइड पढ़ें →

Active Directory या ऑन-प्रिमाइसेस सर्वर के बिना एंटरप्राइज WiFi ऑथेंटिकेशन

यह गाइड बताती है कि ऑन-प्रिमाइसेस Active Directory, विंडोज NPS, या RADIUS सर्वर के बिना सुरक्षित WPA2/3-Enterprise WiFi ऑथेंटिकेशन कैसे तैनात किया जाए। इसमें क्लाउड पहचान प्रदाताओं और 802.1X के बीच प्रोटोकॉल विसंगति, PEAP-MSCHAPv2 पर EAP-TLS के लाभ, और Microsoft Entra ID, Okta, या Google Workspace के विरुद्ध MDM-जारी प्रमाणपत्रों के साथ क्लाउड RADIUS को तैनात करने का तरीका शामिल है। यह उन क्लाउड-फर्स्ट और Mac/Chromebook-प्रधान संगठनों के IT प्रमुखों के लिए लिखा गया है जो ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर को सेवानिवृत्त (retire) करने के लिए तैयार हैं।

गाइड पढ़ें →