मुख्य सामग्री पर जाएं
हिन्दी

EAP-TLS WiFi प्रमाणीकरण के लिए डिजिटल प्रमाणपत्रों का प्रबंधन

यह तकनीकी संदर्भ मार्गदर्शिका EAP-TLS WiFi प्रमाणीकरण के लिए डिजिटल प्रमाणपत्रों के जीवनचक्र प्रबंधन का विवरण देती है। यह SCEP और MDM एकीकरण का उपयोग करके उद्यम नेटवर्क पर बड़े पैमाने पर प्रमाणपत्रों को तैनात करने, नवीनीकृत करने और निरस्त करने के लिए व्यावहारिक रणनीतियां प्रदान करती है।

📖 4 मिनट का पाठ📝 892 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
एक आत्मविश्वासी, आधिकारिक और संवादात्मक लहजे में बात करें - जैसे कि एक वरिष्ठ सलाहकार किसी क्लाइंट को जानकारी दे रहा हो। नपी-तुली गति, स्पष्ट उच्चारण, गर्मजोशी से भरा लेकिन सीधा। जोर देने के लिए बीच-बीच में स्वाभाविक ठहराव: Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम EAP-TLS प्रमाणपत्र प्रबंधन के बारे में बात कर रहे हैं - विशेष रूप से, बिना किसी पूर्णकालिक परिचालन बोझ के बड़े पैमाने पर प्रमाणपत्र-आधारित WiFi प्रमाणीकरण कार्यक्रम कैसे चलाया जाए। [medium pause] यदि आप कई स्थानों पर कॉर्पोरेट या स्टाफ WiFi के लिए जिम्मेदार हैं - चाहे वह होटल समूह हो, रिटेल एस्टेट हो, विश्वविद्यालय परिसर हो, या सार्वजनिक क्षेत्र का एस्टेट हो - तो यह ब्रीफिंग आपके लिए है। हम संपूर्ण प्रमाणपत्र जीवनचक्र को कवर करने जा रहे हैं: आपके CA पदानुक्रम को सेट करने से लेकर, SCEP और MDM के माध्यम से स्वचालित परिनियोजन, और फिर नवीनीकरण और निरसन तक। और हम इस बारे में भी बात करेंगे कि चीजें कहाँ गलत होती हैं, क्योंकि वे गलत होती हैं, और सबसे आम गलतियों से कैसे बचा जाए। [medium pause] आइए बुनियादी बातों से शुरुआत करें। EAP-TLS - यानी ट्रांसपोर्ट लेयर सिक्योरिटी के साथ एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - 802.1X WiFi प्रमाणीकरण के लिए स्वर्ण मानक है। PEAP के विपरीत, जो उपयोगकर्ता नाम और पासवर्ड पर निर्भर करता है, EAP-TLS आपसी प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करता है। डिवाइस एक क्लाइंट प्रमाणपत्र के साथ अपनी पहचान साबित करता है। RADIUS सर्वर एक सर्वर प्रमाणपत्र के साथ अपनी पहचान साबित करता है। दोनों पक्ष एक-दूसरे को सत्यापित करते हैं। फ़िशिंग के लिए कोई पासवर्ड नहीं। चुराने के लिए कोई क्रेडेंशियल नहीं। यही कारण है कि PCI DSS 4.0 और NCSC के ज़ीरो-ट्रस्ट दिशानिर्देश दोनों स्टाफ नेटवर्क के लिए प्रमाणपत्र-आधारित प्रमाणीकरण की ओर इशारा करते हैं। [medium pause] अब, आर्किटेक्चर की बात करते हैं। EAP-TLS को काम में लाने के लिए आपको तीन चीजों की आवश्यकता होती है। पहला, एक सार्वजनिक कुंजी अवसंरचना (PKI) - आपका CA पदानुक्रम। दूसरा, उपकरणों पर प्रमाणपत्र प्राप्त करने के लिए एक तंत्र - यानी SCEP या आपका MDM प्लेटफॉर्म। तीसरा, एक RADIUS सर्वर जो आपके CA पर भरोसा करता है और वास्तविक समय में क्लाइंट प्रमाणपत्रों को मान्य कर सकता है। [medium pause] CA पदानुक्रम वह जगह है जहाँ अधिकांश संगठन शुरुआत में ही परेशानी में पड़ जाते हैं। सही पैटर्न थ्री-टियर मॉडल है। आपके पास शीर्ष पर एक Root CA होता है - यह ऑफ़लाइन, एयर-गैप्ड होना चाहिए, और केवल आपके Intermediate CA प्रमाणपत्र पर हस्ताक्षर करने के लिए ऑनलाइन लाया जाना चाहिए। Intermediate CA - जिसे कभी-कभी Issuing CA भी कहा जाता है - वह है जो वास्तव में दैनिक प्रमाणपत्रों पर हस्ताक्षर करता है। यह ऑनलाइन है, लेकिन इसकी निजी कुंजी अच्छी तरह से सुरक्षित है। इसके नीचे, आप दो प्रकार के प्रमाणपत्र जारी करते हैं: आपके RADIUS बुनियादी ढांचे के लिए सर्वर प्रमाणपत्र, और आपके उपकरणों और उपयोगकर्ताओं के लिए क्लाइंट प्रमाणपत्र। [medium pause] यह क्यों मायने रखता है? क्योंकि यदि आपका Root CA से समझौता हो जाता है, तो आपको अपने पूरे PKI को फिर से शुरू से बनाना होगा और हर डिवाइस को फिर से नामांकित करना होगा। इसे ऑफ़लाइन रखने से वह जोखिम समाप्त हो जाता है। Root को छुए बिना Intermediate CA को बदला जा सकता है। थ्री-टियर मॉडल के लिए यही परिचालन लचीलेपन का तर्क है। [medium pause] आइए सर्टिफिकेट वैधता अवधि के बारे में बात करते हैं। इस क्षेत्र में इंडस्ट्री में एक बड़ा बदलाव आया है। Apple, Google और Mozilla सभी ने अधिकतम सर्टिफिकेट लाइफटाइम को छोटा करने की नीति लागू की है। TLS सर्वर सर्टिफिकेट के लिए, अधिकतम अवधि अब 398 दिन है। एंटरप्राइज़ WiFi में क्लाइंट सर्टिफिकेट के लिए, आपके पास अधिक लचीलापन है - आमतौर पर एक से दो साल - लेकिन ट्रेंड मैन्युअल रूप से प्रबंधित लंबे समय तक चलने वाले सर्टिफिकेट के बजाय छोटे लाइफटाइम और स्वचालित रिन्यूअल (automated renewal) की ओर है। इसका कारण सीधा है: छोटा लाइफटाइम सर्टिफिकेट के साथ छेड़छाड़ होने की स्थिति में नुकसान के जोखिम को कम करता है। [medium pause] यह हमें ऑटोमेशन की ओर लाता है। मैन्युअल सर्टिफिकेट मैनेजमेंट को बड़े पैमाने पर लागू नहीं किया जा सकता। यदि आपके पास 500 डिवाइस हैं, तो आप मैन्युअल रूप से रिन्यूअल को संभाल सकते हैं। यदि आपके पास 50 साइटों पर 5,000 डिवाइस हैं, तो आप ऐसा नहीं कर सकते। आपको SCEP - Simple Certificate Enrolment Protocol - या इसके आधुनिक उत्तराधिकारी, EST की आवश्यकता है। SCEP सीधे MDM प्लेटफॉर्म्स के साथ एकीकृत होता है, जिसमें Microsoft Intune, Jamf Pro और VMware Workspace ONE शामिल हैं। MDM डिवाइस पर एक SCEP कॉन्फ़िगरेशन प्रोफ़ाइल पुश करता है। डिवाइस एक की-पेयर (key pair) जनरेट करता है, आपके SCEP सर्वर पर एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) भेजता है, और एक हस्ताक्षरित (signed) सर्टिफिकेट वापस प्राप्त करता है - यह सब बिना किसी यूजर इंटरैक्शन के होता है। [medium pause] Active Directory वातावरण में Windows डिवाइस के लिए, आपके पास एक विकल्प है: Active Directory Certificate Services के माध्यम से ग्रुप पॉलिसी-संचालित ऑटो-एनरोलमेंट। डिवाइस डोमेन पर ऑथेंटिकेट करता है, CA स्वचालित रूप से एक सर्टिफिकेट जारी करता है, और बिना किसी मैन्युअल हस्तक्षेप के समाप्त होने से पहले सर्टिफिकेट को रिन्यू कर दिया जाता है। यह मुख्य रूप से Windows-आधारित नेटवर्क के लिए सबसे आसान और सहज तरीका है। [medium pause] अब बात करते हैं निरसन (revocation) की। यह वह हिस्सा है जिसमें संगठन अक्सर सबसे कम निवेश करते हैं, और कुछ गड़बड़ होने पर यह हिस्सा सबसे महत्वपूर्ण होता है। यदि कोई डिवाइस खो जाता है, चोरी हो जाता है, या कोई कर्मचारी छोड़ देता है, तो आपको तुरंत उनके सर्टिफिकेट को निरस्त (revoke) करना होगा। इसके लिए दो तंत्र हैं: CRL - Certificate Revocation Lists - और OCSP - Online Certificate Status Protocol। [medium pause] CRL पुराना तंत्र है। आपका CA एक ज्ञात URL पर निरस्त किए गए सर्टिफिकेट सीरियल नंबरों की एक सूची प्रकाशित करता है। RADIUS सर्वर समय-समय पर इस सूची को डाउनलोड करता है और इसकी जांच करता है। CRL के साथ समस्या लेटेंसी (देरी) की है - यदि आपके CRL की वैधता अवधि 24 घंटे है, तो एक निरस्त सर्टिफिकेट निरस्तीकरण के बाद भी 24 घंटे तक ऑथेंटिकेट हो सकता है। [medium pause] OCSP एक रियल-टाइम विकल्प है। RADIUS सर्वर प्रत्येक ऑथेंटिकेशन प्रयास के लिए OCSP रिस्पॉन्डर को एक क्वेरी भेजता है, और एक लाइव 'good' या 'revoked' रिस्पॉन्स प्राप्त करता है। इसमें समझौता यह है कि आपका OCSP रिस्पॉन्डर एक महत्वपूर्ण निर्भरता बन जाता है - यदि यह अनुपलब्ध है, तो आपको यह तय करना होगा कि 'fail open' करना है या 'fail closed'। उच्च-सुरक्षा वातावरण के लिए, 'fail closed' सही विकल्प है। परिचालन वातावरण के लिए जहां उपलब्धता महत्वपूर्ण है, आप एक संक्षिप्त OCSP ग्रेस पीरियड कॉन्फ़िगर कर सकते हैं। [medium pause] इसे वास्तविक रूप में समझाने के लिए मुझे आपको दो ठोस उदाहरण (scenarios) देने दें। [medium pause] पहला: एक 150-प्रॉपर्टी वाला होटल समूह। वे स्टाफ WiFi के लिए एक शेयर्ड पासवर्ड के साथ PEAP चला रहे थे। पासवर्ड रोटेशन त्रैमासिक था, जिसका अर्थ था प्रत्येक तिमाही में दो सप्ताह की विंडो जहां स्टाफ लॉक आउट हो जाता था या पुराने पासवर्ड का उपयोग कर रहा था। वे सर्टिफिकेट डिप्लॉयमेंट के लिए Microsoft Intune का उपयोग करके EAP-TLS पर चले गए। सभी Windows और iOS डिवाइसों पर SCEP प्रोफ़ाइल पुश की गईं। CA के रूप में Active Directory Certificate Services। परिणाम: शून्य पासवर्ड रोटेशन इवेंट, समाप्ति से 30 दिन पहले सर्टिफिकेट रिन्यूअल ऑटोमैटिक रूप से हैंडल किया गया, और जब स्टाफ का कोई सदस्य नौकरी छोड़ता था, तो Microsoft Entra ID में उनका अकाउंट डिसेबल होने के कुछ ही मिनटों के भीतर MDM में उनका सर्टिफिकेट रिवोक (रद्द) कर दिया जाता था। IT टीम ने अनुमान लगाया कि उन्होंने पासवर्ड रीसेट और हेल्पडेस्क टिकटों में प्रति तिमाही लगभग 40 घंटे बचाए। [medium pause] दूसरा: 200 स्टोरों में 3,000 स्टाफ डिवाइसों के साथ एक मल्टी-साइट रिटेल चेन। यहाँ चुनौती डिवाइस की विविधता थी - Windows लैपटॉप, Android हैंडहेल्ड और iOS डिवाइसों का मिश्रण। उन्होंने Apple डिवाइसों के लिए Jamf Pro और Windows और Android के लिए Microsoft Intune का उपयोग किया, दोनों एक ही SCEP सर्वर की ओर इशारा करते थे जो Microsoft ADCS इंटरमीडिएट CA द्वारा समर्थित था। WiFi इंफ्रास्ट्रक्चर Cisco Meraki था, जिसमें RADIUS ऑथेंटिकेशन Purple के साथ इंटीग्रेटेड क्लाउड-होस्टेड RADIUS सर्विस द्वारा हैंडल किया जाता था। मुख्य डिजाइन निर्णय 12 महीने की वैधता के साथ सर्टिफिकेट जारी करना और समाप्ति से 60 दिन पहले ऑटोमैटिक रिन्यूअल कॉन्फ़िगर करना था। इससे परिचालन ओवरहेड पैदा किए बिना एक आरामदायक रिन्यूअल विंडो मिली। [medium pause] अब, संभावित कमियाँ। ऐसी चार चीज़ें हैं जिन्हें मैं लगातार देखता हूँ। [medium pause] पहला: रिवोकेशन (रद्दीकरण) का परीक्षण न करना। संगठन अपना PKI सेटअप करते हैं, सर्टिफिकेट डिप्लॉय करते हैं, और वास्तव में कभी परीक्षण नहीं करते हैं कि रिवोकेशन शुरू से अंत तक काम करता है या नहीं। इसका परीक्षण करें। एक टेस्ट सर्टिफिकेट रिवोक करें, पुष्टि करें कि RADIUS सर्वर आपकी अपेक्षित विंडो के भीतर रिवोकेशन को पहचानता है, और पुष्टि करें कि डिवाइस को एक्सेस देने से मना कर दिया गया है। [medium pause] दूसरा: एक्सपायरी क्लिफ एज (एक साथ समाप्त होना)। यदि आप अपने सभी सर्टिफिकेट एक ही समय में समान वैधता अवधि के साथ जारी करते हैं, तो वे सभी एक ही समय में समाप्त हो जाते हैं। अपने जारी करने के समय में अंतर रखें, या कम से कम अपने रिन्यूअल ट्रिगर्स में अंतर रखें। 5,000 डिवाइसों में एक साथ 10% रिन्यूअल विफलता दर एक गंभीर घटना है। [medium pause] तीसरा: EAP-TLS डिप्लॉय करने से पहले सभी डिवाइसों में Root CA सर्टिफिकेट वितरित न करना। यदि डिवाइस आपके Root CA पर भरोसा नहीं करता है, तो यह RADIUS सर्वर के सर्टिफिकेट को अस्वीकार कर देगा और ऑथेंटिकेशन विफल हो जाएगा। यह स्पष्ट लगता है, लेकिन संगठन तब मात खा जाते हैं जब उनके पास BYOD डिवाइस या कांट्रैक्टर लैपटॉप होते हैं जो MDM में नामांकित नहीं होते हैं। [medium pause] चौथा: OCSP रेस्पॉन्डर उपलब्धता। यदि आपका OCSP रेस्पॉन्डर बंद हो जाता है और आपका RADIUS सर्वर OCSP त्रुटियों पर फेल-क्लोज (बंद होना) के लिए कॉन्फ़िगर किया गया है, तो आपका पूरा WiFi एस्टेट काम करना बंद कर देता है। अपने OCSP इंफ्रास्ट्रक्चर में रिडंडेंसी बनाएं, या उचित मॉनिटरिंग के साथ एक छोटी ग्रेस अवधि कॉन्फ़िगर करें। [medium pause] ठीक है, रैपिड-फायर प्रश्न। [medium pause] क्या मैं EAP-TLS क्लाइंट सर्टिफिकेट के लिए पब्लिक CA का उपयोग कर सकता हूँ? तकनीकी रूप से हाँ, लेकिन व्यवहार में नहीं। पब्लिक CA किसी भी डिवाइस के लिए क्लाइंट सर्टिफिकेट जारी नहीं करेंगे। आपको क्लाइंट सर्टिफिकेट के लिए अपने खुद के CA की आवश्यकता होगी। RADIUS सर्वर सर्टिफिकेट के लिए, एक पब्लिक CA ठीक है और ट्रस्ट डिस्ट्रीब्यूशन को सरल बनाता है। [medium pause] BYOD के बारे में क्या? BYOD एक कठिन मामला है। आप MDM के माध्यम से अनमैनेज्ड डिवाइसेस पर सर्टिफिकेट पुश नहीं कर सकते। विकल्पों में एक नेटवर्क एक्सेस कंट्रोल पोर्टल शामिल है जो उपयोगकर्ता प्रमाणीकरण के बाद शॉर्ट-लाइव्ड सर्टिफिकेट जारी करता है, या बस BYOD को एक अलग SSID पर एक अलग प्रमाणीकरण विधि के साथ रखना शामिल है। [medium pause] यह WPA3 के साथ कैसे इंटरैक्ट करता है? WPA3-Enterprise संवेदनशील वातावरणों के लिए 192-बिट सुरक्षा मोड को अनिवार्य बनाता है, जिसके लिए विशिष्ट सिफर सुइट्स की आवश्यकता होती है। EAP-TLS WPA3-Enterprise के साथ पूरी तरह से अनुकूल है और वास्तव में यह अनुशंसित प्रमाणीकरण विधि है। [medium pause] संक्षेप में। EAP-TLS सर्टिफिकेट प्रबंधन सरल नहीं है, लेकिन अगर आप शुरू से ही आर्किटेक्चर को सही रखते हैं तो यह प्रबंधनीय है। थ्री-टियर CA पदानुक्रम। SCEP या MDM के माध्यम से स्वचालित नामांकन। स्वचालित रिन्यूअल के साथ शॉर्ट सर्टिफिकेट लाइफटाइम। OCSP के माध्यम से रीयल-टाइम रिवोकेशन। सब कुछ टेस्ट करें, विशेष रूप से रिवोकेशन। और अपने सर्टिफिकेट लाइफसाइकिल को अपने आइडेंटिटी प्रोवाइडर - Microsoft Entra ID, Okta, या Google Workspace - के साथ एकीकृत करें ताकि खाता बंद होने पर सर्टिफिकेट रिवोकेशन स्वचालित रूप से ट्रिगर हो जाए। [medium pause] यदि आप Purple-लिंक्ड RADIUS सर्वर चला रहे हैं, तो इंटीग्रेशन पॉइंट आपके SCEP सर्वर URL, आपके RADIUS सर्वर सर्टिफिकेट और आपके CRL या OCSP एंडपॉइंट हैं। Purple का हार्डवेयर-अज्ञेयवादी (hardware-agnostic) आर्किटेक्चर का अर्थ है कि यह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और बाकी स्थापित हार्डवेयर सूची में काम करता है - आप किसी एक वेंडर के PKI टूलिंग तक सीमित नहीं हैं। [medium pause] अगले कदम: अपनी वर्तमान सर्टिफिकेट इन्वेंट्री का ऑडिट करें। यदि आप नहीं जानते कि आपके पास कितने सर्टिफिकेट हैं, वे कब समाप्त होते हैं, और उन्हें किसने जारी किया है, तो यह सबसे पहली चीज़ है जिसे ठीक करना है। वहां से, पूर्ण स्वचालन का मार्ग अच्छी तरह से परिभाषित है। सुनने के लिए धन्यवाद।

header_image.png

執行摘要

管理用於 EAP-TLS WiFi 驗證的數位憑證,對企業 IT 團隊而言是一項重大的營運挑戰。隨著企業組織逐步淘汰憑證型驗證(credential-based authentication)以符合零信任規範,營運負擔也從密碼重設轉移到憑證生命週期管理。本指南詳細介紹了在複雜的資產環境中,大規模部署、更新和撤銷用戶端憑證所需的架構模式。

對於技術長(CTO)和網路架構師而言,目標非常明確:實施強健的公開金鑰基礎建設(PKI),並與現有的行動裝置管理(MDM)平台無縫整合。透過簡單憑證註冊協定(SCEP)自動發放憑證,並執行即時撤銷,即可消除人工干預。此方法能確保網路邊界安全,滿足包括 PCI DSS 4.0 在內的合規框架,並確保運行企業硬體的 80,000 多個實體場域持續保持連線。

技術深入探討

EAP-TLS(可延伸驗證協定與傳輸層安全)代表了 802.1X 網路存取控制的最高標準。它強制執行雙向驗證。RADIUS 伺服器出示憑證以向用戶端證明其身分,而用戶端則出示憑證以向網路證明其身分。

三層式 PKI 架構

扁平式的 PKI 層級結構會引入無法接受的風險。推薦的模式是三層式架構:

  1. 根憑證授權單位 (Root CA):最終的信任根源。此伺服器保持離線並與網路隔離(air-gapped)。其唯一功能是簽署中間 CA 憑證。
  2. 中間 CA (發放 CA):此伺服器保持在線,負責日常用戶端與伺服器憑證的簽署工作。如果遭到破解,可由 Root CA 予以撤銷,而無需重建整個信任基礎建設。
  3. 終端實體憑證 (End-Entity Certificates):這些是實際部署到 RADIUS 伺服器和用戶端裝置的憑證。

pki_trust_chain_diagram.png

憑證效期與密碼學標準

業界正強制縮短憑證壽命,以限制金鑰遭破解時的暴露空窗期。雖然公開的 TLS 憑證上限為 398 天,但用於 WiFi 驗證的內部用戶端憑證通常使用 365 天的有效期。

密碼學要求強制使用至少 2048 位元的 RSA 金鑰,或使用 P-256 曲線的橢圓曲線密碼學 (ECC)。WPA3-Enterprise 192 位元模式需要特定的加密套件,而 EAP-TLS 是唯一能完全滿足這些要求的驗證方法。

實作指南

在分散式場域中部署 EAP-TLS 需要您的身分識別提供者、MDM 平台與網路硬體之間進行緊密整合。Purple 的雲端重疊(cloud overlay)可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 整合。

步驟 1:建立信任鏈

在任何裝置進行驗證之前,它必須信任 RADIUS 伺服器。請透過您的 MDM 將根憑證授權機構(Root CA)憑證部署到所有託管裝置。對於非託管裝置,您必須提供一個引導註冊入口網頁(onboarding portal)來安裝信任設定檔。

步驟 2:透過 SCEP 自動化核發

手動產生憑證是行不通的。請實作 SCEP 以將此工作流程自動化:

  1. MDM(例如 Microsoft Intune)將 SCEP 負載推送到裝置。
  2. 裝置在本地端產生私鑰。
  3. 裝置向 SCEP 伺服器提交憑證簽署請求(CSR)。
  4. CA 核發憑證,裝置並將其安裝在硬體備份的金鑰庫中。

步驟 3:設定 RADIUS 原則

將您的 RADIUS 伺服器設定為需要 EAP-TLS。確保伺服器會比對您的身分識別目錄(Microsoft Entra ID、Okta 或 Google Workspace)驗證用戶端憑證的主體別名(SAN),以確認該使用者帳戶仍處於啟用狀態。

certificate_lifecycle_infographic.png

最佳實踐

  • 儘早自動續期:設定 MDM 設定檔,使其在憑證到期前至少 30 天觸發憑證續期。這可以防止整個場域內突然發生驗證失敗。
  • 強制執行硬體金鑰庫:要求私鑰必須在裝置的信賴平台模組(TPM)或安全隔離區(Secure Enclave)中產生並儲存。金鑰必須設定為不可匯出。
  • 實作即時撤銷:依賴靜態憑證撤銷清單(CRL)會產生延遲。請實作線上憑證狀態協定(OCSP),以便 RADIUS 伺服器能在驗證期間即時確認憑證狀態。

疑難排解與風險緩釋

EAP-TLS 部署中最常見的失敗模式與信任和時間有關。

信任錨點失敗

如果用戶端裝置拒絕 RADIUS 伺服器憑證,驗證將會無聲無息地失敗。當裝置的信任庫中遺失根 CA 憑證時,就會發生這種情況。請驗證 MDM 部署記錄,確保信任設定檔在 WiFi 設定檔之前套用。如需連線問題的進一步診斷,請參閱 Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures

到期懸崖

同時核發數千張憑證會造成續期高峰期的懸崖效應。如果 SCEP 伺服器在此期間發生停機,裝置將會斷開網路。請交錯進行初始部署,以分攤續期負載。

OCSP 逾時

如果 RADIUS 伺服器無法連線至 OCSP 回應程式,它必須決定是要預設開放(fail open)還是預設關閉(fail closed)。對於企業網路,預設關閉是標準做法。請確保您的 OCSP 基礎架構具備高可用性且呈地理分佈。

投資報酬率與業務影響

過渡到 EAP-TLS 需要前期投入工程心力,但營運回報非常顯著。一個擁有 5,000 名使用者的組織,通常每月要花費 40 小時來處理因 PEAP 密碼輪替而導致的密碼重設與 RADIUS 鎖定問題。

透過自動化憑證生命週期,您可以消除這些支援工單。此外,您還能滿足 ISO 27001 和 PCI DSS 嚴格的存取控制要求,從而減少稽核開銷。當與 Guest WiFiWiFi Analytics 整合時,Purple 可針對所有使用者類型提供統一的網路存取檢視,簡化分散式場域的合規性報告。

मुख्य परिभाषाएं

EAP-TLS

एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी। एक प्रमाणीकरण ढांचा जिसके लिए क्लाइंट और सर्वर दोनों को डिजिटल प्रमाणपत्रों का उपयोग करके अपनी पहचान साबित करने की आवश्यकता होती है।

कमजोर पासवर्ड पर निर्भर किए बिना उद्यम WiFi नेटवर्क को सुरक्षित करने के लिए उद्योग मानक।

SCEP

सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल। उपकरणों पर डिजिटल प्रमाणपत्रों के अनुरोध और इंस्टॉलेशन को सुरक्षित रूप से स्वचालित करने के लिए MDM प्लेटफॉर्म द्वारा उपयोग किया जाने वाला एक प्रोटोकॉल।

मैन्युअल प्रमाणपत्र हैंडलिंग को हटाकर कुछ दर्जन उपकरणों से आगे EAP-TLS तैनाती को स्केल करने के लिए आवश्यक।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा प्रबंधन प्रदान करता है।

सर्वर घटक जो क्लाइंट प्रमाणपत्र को मान्य करता है और नेटवर्क पहुंच प्रदान करने के लिए एक्सेस पॉइंट को सूचित करता है।

OCSP

ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल। वास्तविक समय में X.509 डिजिटल प्रमाणपत्र की निरस्तीकरण स्थिति प्राप्त करने के लिए उपयोग किया जाने वाला एक इंटरनेट प्रोटोकॉल।

यह सुनिश्चित करने के लिए कि एक निरस्त प्रमाणपत्र तुरंत नेटवर्क से अवरुद्ध हो जाए, स्थिर CRLs को प्रतिस्थापित करता है।

Root CA

रूट सर्टिफिकेट अथॉरिटी। पब्लिक की इन्फ्रास्ट्रक्चर में शीर्ष-स्तरीय क्रिप्टोग्राफिक प्राधिकरण, जिसका उपयोग अधीनस्थ CAs पर हस्ताक्षर करने के लिए किया जाता है।

संगठन की संपूर्ण ट्रस्ट श्रृंखला की सुरक्षा के लिए इसे अत्यधिक सुरक्षित और ऑफ़लाइन रखा जाना चाहिए।

SAN

सब्जेक्ट अल्टरनेटिव नेम। X.509 का एक विस्तार जो सुरक्षा प्रमाणपत्र के साथ विभिन्न मानों को संबद्ध करने की अनुमति देता है, जैसे कि ईमेल पते या UPNs।

पहचान निर्देशिका में प्रमाणपत्र को एक विशिष्ट उपयोगकर्ता खाते से मैप करने के लिए RADIUS सर्वर द्वारा उपयोग किया जाता है।

MDM

Mobile Device Management. IT विभागों द्वारा कर्मचारियों के मोबाइल उपकरणों की निगरानी, प्रबंधन और उन्हें सुरक्षित करने के लिए उपयोग किया जाने वाला सॉफ़्टवेयर।

वितरण तंत्र जो SCEP कॉन्फ़िगरेशन और WiFi प्रोफ़ाइल को अंतिम-उपयोगकर्ता उपकरणों पर पुश करता है।

CRL

Certificate Revocation List. डिजिटल प्रमाणपत्रों की एक सूची जिन्हें जारीकर्ता CA द्वारा उनकी निर्धारित समाप्ति तिथि से पहले रद्द कर दिया गया है।

प्रमाणपत्र की वैधता की जाँच करने की एक पुरानी विधि जो OCSP की तुलना में लेटेंसी की समस्याओं से ग्रस्त है।

हल किए गए उदाहरण

एक 150-संपत्ति वाले होटल समूह को 3,000 उपकरणों पर कर्मचारियों की पहुंच को सुरक्षित करने की आवश्यकता है। वे वर्तमान में त्रैमासिक रूप से बदलने वाले साझा पासवर्ड के साथ PEAP का उपयोग करते हैं, जिससे हेल्पडेस्क पर बहुत अधिक भार पड़ता है। उन्हें EAP-TLS कैसे लागू करना चाहिए?

सभी कॉर्पोरेट उपकरणों को प्रबंधित करने के लिए Microsoft Intune तैनात करें। Intune Certificate Connector के माध्यम से Intune के साथ एकीकृत एक Microsoft ADCS इंटरमीडिएट CA स्थापित करें। Root CA प्रमाणपत्र को सभी उपकरणों पर पुश करें, उसके बाद एक SCEP प्रोफ़ाइल जो 365-दिवसीय वैधता वाले क्लाइंट प्रमाणपत्र का अनुरोध करती है। WiFi प्रोफ़ाइल को EAP-TLS का उपयोग करने और Purple-लिंक्ड RADIUS सर्वर की ओर इंगित करने के लिए कॉन्फ़िगर करें। SCEP प्रोफ़ाइल को 20% शेष जीवन (73 दिन) पर स्वचालित रूप से नवीनीकृत होने के लिए सेट करें।

परीक्षक की टिप्पणी: यह दृष्टिकोण त्रैमासिक पासवर्ड रोटेशन को पूरी तरह से समाप्त कर देता है। एक प्रारंभिक नवीनीकरण ट्रिगर सेट करके, आईटी टीम समाप्ति की समय-सीमा के संकट से बचती है। Intune के साथ सीधे एकीकृत होने से यह सुनिश्चित होता है कि जब कोई कर्मचारी नौकरी छोड़ता है और उसका Entra ID खाता अक्षम कर दिया जाता है, तो MDM प्रमाणपत्र को निरस्त कर देता है और WiFi प्रोफ़ाइल को स्वचालित रूप से मिटा देता है।

एक रिटेल श्रृंखला को 200 स्थानों पर पॉइंट-ऑफ-सेल हैंडहेल्ड के लिए सुरक्षित WiFi की आवश्यकता होती है। ये उपकरण Android पर चलते हैं और अक्सर केंद्रीय प्रबंधन सर्वर से कनेक्टिविटी खो देते हैं। आप प्रमाणपत्र निरस्तीकरण को कैसे संभालते हैं?

RADIUS सर्वर स्तर पर रीयल-टाइम निरस्तीकरण जांच के लिए OCSP लागू करें। प्रत्येक प्रमाणीकरण प्रयास के लिए OCSP रिस्पॉन्डर से क्वेरी करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें। यदि किसी हैंडहेल्ड के खो जाने की सूचना मिलती है, तो सुरक्षा टीम CA में प्रमाणपत्र को निरस्त कर देती है। अगली बार जब उपकरण किसी एक्सेस पॉइंट से जुड़ने का प्रयास करता है, तो RADIUS सर्वर को OCSP से 'निरस्त' प्रतिक्रिया प्राप्त होती है और वह तुरंत पहुंच से इनकार कर देता है।

परीक्षक की टिप्पणी: खोए हुए उपकरण को मिटाने के लिए MDM पर भरोसा करना अपर्याप्त है यदि उपकरण ऑफ़लाइन या परिरक्षित है। OCSP के माध्यम से नेटवर्क एज पर निरस्तीकरण जांच लागू करके, RADIUS सर्वर प्रवर्तन बिंदु के रूप में कार्य करता है, यह सुनिश्चित करता है कि समझौता किए गए प्रमाणपत्र का उपयोग नहीं किया जा सकता है, भले ही उपकरण तक MDM द्वारा स्वयं न पहुँचा जा सके।

अभ्यास प्रश्न

Q1. आप 2,000 कॉर्पोरेट लैपटॉप के लिए EAP-TLS परिनियोजित कर रहे हैं। SCEP इन्फ्रास्ट्रक्चर कॉन्फ़िगर किया गया है, लेकिन टेस्टिंग के दौरान, लैपटॉप WiFi से कनेक्ट होने में विफल रहते हैं। RADIUS लॉग 'Unknown CA' दिखाते हैं। इसका सबसे संभावित कारण क्या है?

संकेत: ट्रस्ट प्रोफ़ाइल बनाम प्रमाणीकरण (authentication) प्रोफ़ाइल को परिनियोजित (deploy) करते समय ऑपरेशन्स के क्रम पर विचार करें।

मॉडल उत्तर देखें

लैपटॉप के ट्रस्टेड रूट स्टोर में Root CA प्रमाणपत्र स्थापित नहीं है। SCEP पेलोड या EAP-TLS WiFi प्रोफ़ाइल को पुश करने से पहले उपकरणों पर Root CA प्रमाणपत्र पेलोड को पुश करने के लिए MDM को कॉन्फ़िगर किया जाना चाहिए। Root CA के बिना, क्लाइंट RADIUS सर्वर के प्रमाणपत्र को अस्वीकार कर देता है।

Q2. एक प्रभावित उपकरण के गुम होने की सूचना मिली है। IT टीम उपकरण को MDM से हटा देती है और CA में प्रमाणपत्र को रद्द कर देती है। हालांकि, टेस्टिंग से पता चलता है कि उपकरण अभी भी 12 घंटे तक नेटवर्क से कनेक्ट हो सकता है। आप इसे कैसे हल करेंगे?

संकेत: देखें कि RADIUS सर्वर प्रमाणपत्र की स्थिति को कैसे सत्यापित करता है।

मॉडल उत्तर देखें

RADIUS सर्वर संभवतः Certificate Revocation List (CRL) पर निर्भर है जो केवल हर 12 से 24 घंटे में प्रकाशित या डाउनलोड की जाती है। इसे हल करने के लिए, Online Certificate Status Protocol (OCSP) लागू करें और प्रत्येक प्रमाणीकरण प्रयास के दौरान रीयल-टाइम सत्यापन के लिए OCSP रिस्पॉन्डर से पूछताछ करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें।

Q3. आप प्रमाणपत्र जीवनचक्र नीति तैयार कर रहे हैं। सुरक्षा टीम जोखिम को कम करने के लिए 30-दिवसीय प्रमाणपत्र जीवनकाल चाहती है, लेकिन नेटवर्क टीम SCEP सर्वर लोड और कनेक्टिविटी ड्रॉप्स को लेकर चिंतित है। अनुशंसित संतुलन क्या है?

संकेत: सार्वजनिक वेब प्रमाणपत्रों और आंतरिक प्रबंधित PKI के बीच अंतर पर विचार करें।

मॉडल उत्तर देखें

समाप्ति से 60 या 90 दिन पहले ट्रिगर होने वाले स्वचालित नवीनीकरण के साथ 365-दिवसीय वैधता अवधि इष्टतम संतुलन प्रदान करती है। WiFi प्रमाणपत्रों के लिए 30-दिवसीय जीवनकाल अत्यधिक परिचालन जोखिम पैदा करता है यदि उपकरण अपने सीमित नवीनीकरण समय के दौरान ऑफ़लाइन रहते हैं। आक्रामक रूप से छोटे जीवनकाल के बजाय मजबूत, रीयल-टाइम OCSP रद्दीकरण के माध्यम से सुरक्षा बनाए रखी जाती है।

इस श्रृंखला में आगे पढ़ें

Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।

गाइड पढ़ें →

Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती (Co-deployment) की तुलना

Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी मार्गदर्शिका। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित गेस्ट नेटवर्क प्रदान करने के लिए सर्वोत्तम अभ्यास शामिल हैं।

गाइड पढ़ें →

Cisco ISE बनाम Purple WiFi: वे कैसे तुलना करते हैं और एक साथ कैसे काम करते हैं

यह मार्गदर्शिका बताती है कि कैसे Cisco ISE और Purple WiFi एंटरप्राइज़ नेटवर्क में अलग लेकिन पूरक भूमिकाएं निभाते हैं। यह विवरण देता है कि सुरक्षित 802.1X कॉर्पोरेट एक्सेस के लिए Cisco ISE का उपयोग कैसे करें, जबकि GDPR-अनुरूप अतिथि WiFi, मार्केटिंग एनालिटिक्स और CRM एकीकरण के लिए Purple का लाभ उठाएं।

गाइड पढ़ें →