मुख्य सामग्री पर जाएं

EAP-TLS WiFi प्रमाणीकरण के लिए डिजिटल प्रमाणपत्रों का प्रबंधन

यह तकनीकी संदर्भ मार्गदर्शिका EAP-TLS WiFi प्रमाणीकरण के लिए डिजिटल प्रमाणपत्रों के जीवनचक्र प्रबंधन का विवरण देती है। यह SCEP और MDM एकीकरण का उपयोग करके उद्यम नेटवर्क पर बड़े पैमाने पर प्रमाणपत्रों को तैनात करने, नवीनीकृत करने और निरस्त करने के लिए व्यावहारिक रणनीतियाँ प्रदान करती है।

📖 4 मिनट का पाठ📝 892 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
एक आत्मविश्वासी, आधिकारिक और संवादात्मक लहजे में बोलें - जैसे कोई वरिष्ठ सलाहकार किसी क्लाइंट को जानकारी दे रहा हो। मापी गई गति, स्पष्ट उच्चारण, गर्मजोशी से भरा लेकिन सीधा। जोर देने के लिए बीच-बीच में स्वाभाविक ठहराव: Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम EAP-TLS प्रमाणपत्र प्रबंधन के बारे में बात कर रहे हैं - विशेष रूप से, बिना पूर्णकालिक परिचालन बोझ बने बड़े पैमाने पर प्रमाणपत्र-आधारित WiFi प्रमाणीकरण कार्यक्रम कैसे चलाया जाए। [medium pause] यदि आप कई स्थानों पर कॉर्पोरेट या कर्मचारियों के WiFi के लिए जिम्मेदार हैं - चाहे वह होटल समूह हो, रिटेल एस्टेट हो, विश्वविद्यालय परिसर हो, या सार्वजनिक क्षेत्र का एस्टेट हो - तो यह ब्रीफिंग आपके लिए है। हम संपूर्ण प्रमाणपत्र जीवनचक्र को कवर करने जा रहे हैं: आपके CA पदानुक्रम को स्थापित करने से लेकर, SCEP और MDM के माध्यम से स्वचालित परिनियोजन, और नवीनीकरण तथा निरस्तीकरण तक। और हम इस बारे में बात करेंगे कि चीजें कहां गलत होती हैं, क्योंकि वे गलत होती हैं, और सबसे आम नुकसानों से कैसे बचा जाए। [medium pause] आइए बुनियादी बातों से शुरू करें। EAP-TLS - यानी ट्रांसपोर्ट लेयर सिक्योरिटी के साथ एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल - 802.1X WiFi प्रमाणीकरण के लिए स्वर्ण मानक (gold standard) है। PEAP के विपरीत, जो उपयोगकर्ता नाम और पासवर्ड पर निर्भर करता है, EAP-TLS पारस्परिक प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करता है। डिवाइस क्लाइंट प्रमाणपत्र के साथ अपनी पहचान साबित करता है। RADIUS सर्वर सर्वर प्रमाणपत्र के साथ अपनी पहचान साबित करता है। दोनों पक्ष एक-दूसरे को सत्यापित करते हैं। फ़िशिंग के लिए कोई पासवर्ड नहीं। चोरी करने के लिए कोई क्रेडेंशियल नहीं। यही कारण है कि PCI-DSS 4.0 और NCSC का ज़ीरो-ट्रस्ट मार्गदर्शन दोनों कर्मचारियों के नेटवर्क के लिए प्रमाणपत्र-आधारित प्रमाणीकरण की ओर इशारा करते हैं। [medium pause] अब, आर्किटेक्चर। EAP-TLS को काम करने के लिए आपको तीन चीजों की आवश्यकता है। पहला, एक पब्लिक की इन्फ्रास्ट्रक्चर - आपका CA पदानुक्रम। दूसरा, डिवाइसों पर प्रमाणपत्र प्राप्त करने का एक तंत्र - यानी SCEP या आपका MDM प्लेटफॉर्म। तीसरा, एक RADIUS सर्वर जो आपके CA पर भरोसा करता है और रीयल-टाइम में क्लाइंट प्रमाणपत्रों को मान्य कर सकता है। [medium pause] CA पदानुक्रम वह जगह है जहां अधिकांश संगठन शुरुआत में ही परेशानी में पड़ जाते हैं। सही पैटर्न तीन-स्तरीय मॉडल है। आपके पास शीर्ष पर एक Root CA होता है - इसे ऑफ़लाइन, एयर-गैप्ड होना चाहिए, और केवल आपके इंटरमीडिएट CA प्रमाणपत्र पर हस्ताक्षर करने के लिए ऑनलाइन लाया जाना चाहिए। इंटरमीडिएट CA - जिसे कभी-कभी जारीकर्ता CA भी कहा जाता है - वह है जो वास्तव में दैनिक प्रमाणपत्रों पर हस्ताक्षर करता है। यह ऑनलाइन है, लेकिन इसकी निजी कुंजी अच्छी तरह से सुरक्षित है। उसके नीचे, आप दो प्रकार के प्रमाणपत्र जारी करते हैं: आपके RADIUS इन्फ्रास्ट्रक्चर के लिए सर्वर प्रमाणपत्र, और आपके डिवाइसों और उपयोगकर्ताओं के लिए क्लाइंट प्रमाणपत्र। [medium pause] यह क्यों मायने रखता है? क्योंकि यदि आपके Root CA के साथ समझौता हो जाता है, तो आपको अपना पूरा PKI नए सिरे से बनाना होगा और हर डिवाइस को फिर से नामांकित करना होगा। इसे ऑफ़ライン रखने से वह जोखिम समाप्त हो जाता है। Root को छुए बिना इंटरमीडिएट CA को बदला जा सकता है। तीन-स्तरीय मॉडल के लिए यह परिचालन लचीलेपन का तर्क है। [medium pause] आइए प्रमाणपत्र वैधता अवधि के बारे में बात करते हैं। यहाँ उद्योग में एक महत्वपूर्ण बदलाव आया है। Apple, Google और Mozilla सभी ने कम से कम अधिकतम प्रमाणपत्र जीवनकाल लागू करने की दिशा में कदम बढ़ाया है। TLS सर्वर प्रमाणपत्रों के लिए, अधिकतम सीमा अब 398 दिन है। उद्यम WiFi में क्लाइंट प्रमाणपत्रों के लिए, आपके पास अधिक लचीलापन है - एक से दो वर्ष सामान्य है - लेकिन रुझान मैन्युअल रूप से प्रबंधित दीर्घकालिक प्रमाणपत्रों के बजाय छोटे जीवनकाल और स्वचालित नवीनीकरण की ओर है। इसका कारण सरल है: छोटा जीवनकाल प्रमाणपत्र के साथ समझौता होने की स्थिति में जोखिम की अवधि को सीमित करता है। [medium pause] यह हमें स्वचालन (automation) पर लाता है। मैन्युअल प्रमाणपत्र प्रबंधन बड़े पैमाने पर काम नहीं करता है। यदि आपके पास 500 डिवाइस हैं, तो आप मैन्युअल रूप से नवीनीकरण प्रबंधित कर सकते हैं। यदि आपके पास 50 स्थानों पर 5,000 डिवाइस हैं, तो आप ऐसा नहीं कर सकते। आपको SCEP - सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल - या इसके आधुनिक उत्तराधिकारी, EST की आवश्यकता है। SCEP सीधे Microsoft Intune, Jamf Pro और VMware Workspace ONE सहित MDM प्लेटफॉर्म के साथ एकीकृत होता है। MDM डिवाइस पर एक SCEP कॉन्फ़िगरेशन प्रोफ़ाइल पुश करता है। डिवाइस एक कुंजी जोड़ी (key pair) जनरेट करता है, आपके SCEP सर्वर पर एक प्रमाणपत्र हस्ताक्षर अनुरोध भेजता है, और एक हस्ताक्षरित प्रमाणपत्र वापस प्राप्त करता है - यह सब बिना किसी उपयोगकर्ता हस्तक्षेप के होता है। [medium pause] Active Directory परिवेश में Windows डिवाइसों के लिए, आपके पास एक विकल्प है: Active Directory प्रमाणपत्र सेवाओं के माध्यम से समूह नीति-संचालित (Group Policy-driven) स्वचालित नामांकन। डिवाइस डोमेन को प्रमाणित करता है, CA स्वचालित रूप से एक प्रमाणपत्र जारी करता है, और प्रमाणपत्र बिना किसी मैन्युअल हस्तक्षेप के समाप्त होने से पहले नवीनीकृत हो जाता है। Windows-प्रधान संपत्तियों के लिए यह सबसे सहज मार्ग है। [medium pause] अब, निरस्तीकरण। यह वह हिस्सा है जिसमें संगठन अक्सर सबसे कम निवेश करते हैं, और यह वह हिस्सा है जो कुछ गलत होने पर सबसे अधिक मायने रखता है। यदि कोई डिवाइस खो जाता है, चोरी हो जाता है, या कोई कर्मचारी नौकरी छोड़ देता है, तो आपको तुरंत उनका प्रमाणपत्र निरस्त करना होगा। इसके दो तंत्र हैं: CRL - प्रमाणपत्र निरस्तीकरण सूचियाँ - और OCSP - ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल। [medium pause] CRL पुराना तंत्र है। आपका CA एक ज्ञात URL पर निरस्त प्रमाणपत्र सीरियल नंबरों की एक सूची प्रकाशित करता. RADIUS सर्वर समय-समय पर इस सूची को डाउनलोड करता है और इसके विरुद्ध जांच करता है। CRL के साथ समस्या विलंबता (latency) की है - यदि आपके CRL की वैधता अवधि 24 घंटे है, तो निरस्त प्रमाणपत्र अभी भी निरस्तीकरण के 24 घंटे बाद तक प्रमाणित हो सकता है। [medium pause] OCSP रीयल-टाइम विकल्प है। RADIUS सर्वर प्रत्येक प्रमाणीकरण प्रयास के लिए OCSP रिस्पॉन्डर को एक क्वेरी भेजता है, और एक लाइव 'अच्छा' या 'निरस्त' प्रतिक्रिया प्राप्त करता है। समझौता यह है कि आपका OCSP रिस्पॉन्डर एक महत्वपूर्ण निर्भरता बन जाता है - यदि यह अनुपलब्ध है, तो आपको यह तय करना होगा कि फेल ओपन (fail open) करना है या फेल क्लोज्ड (fail closed) करना है। उच्च-सुरक्षा परिवेशों के लिए, फेल क्लोज्ड सही उत्तर है। परिचालन परिवेशों के लिए जहां उपलब्धता मायने रखती है, आप एक छोटी OCSP छूट अवधि (grace period) कॉन्फ़िगर कर सकते हैं। [medium pause] इसे वास्तविक बनाने के लिए मुझे आपको दो ठोस परिदृश्य देने दें। [medium pause] पहला: एक 150-संपत्ति वाला होटल समूह। वे कर्मचारियों के WiFi के लिए एक साझा पासवर्ड के साथ PEAP चला रहे थे। पासवर्ड रोटेशन त्रैमासिक था, जिसका अर्थ था कि हर तिमाही में दो सप्ताह की अवधि होती थी जहाँ कर्मचारियों को बाहर कर दिया जाता था या वे पुराने पासवर्ड का उपयोग कर रहे होते थे। वे प्रमाणपत्र परिनियोजन के लिए Microsoft Intune का उपयोग करके EAP-TLS पर चले गए। SCEP प्रोफ़ाइल सभी Windows and iOS डिवाइसों पर पुश की गईं। CA के रूप में Active Directory प्रमाणपत्र सेवाएँ। परिणाम: शून्य पासवर्ड रोटेशन घटनाएं, समाप्ति से 30 दिन पहले स्वचालित रूप से संभाला गया प्रमाणपत्र नवीनीकरण, और जब स्टाफ के किसी सदस्य ने नौकरी छोड़ी, तो Microsoft Entra ID में उनका खाता अक्षम होने के कुछ ही मिनटों के भीतर MDM में उनका प्रमाणपत्र निरस्त कर दिया गया। IT टीम का अनुमान है कि उन्होंने पासवर्ड रीसेट और हेल्पडेस्क टिकटों में प्रति तिमाही लगभग 40 घंटे बचाए। [medium pause] दूसरा: 200 स्टोरों में 3,000 स्टाफ डिवाइसों के साथ एक बहु-स्थान रिटेल चेन। यहाँ चुनौती डिवाइस विविधता थी - Windows लैपटॉप, Android हैंडहेल्ड और iOS डिवाइसों का मिश्रण। उन्होंने Apple डिवाइसों के लिए Jamf Pro और Windows तथा Android के लिए Microsoft Intune का उपयोग किया, दोनों एक ही SCEP सर्वर की ओर इशारा करते थे जो Microsoft ADCS इंटरमीडिएट CA द्वारा समर्थित था। WiFi इन्फ्रास्ट्रक्चर Cisco Meraki था, जिसमें RADIUS प्रमाणीकरण Purple के साथ एकीकृत क्लाउड-होस्टेड RADIUS सेवा द्वारा संभाला जाता था। मुख्य डिज़ाइन निर्णय 12 महीने की वैधता के साथ प्रमाणपत्र जारी करना और समाप्ति से 60 दिन पहले स्वचालित नवीनीकरण कॉन्फ़िगर करना था। इसने परिचालन ओवरहेड पैदा किए बिना एक आरामदायक नवीनीकरण विंडो प्रदान की। [medium pause] अब, कमियाँ। ऐसी चार कमियाँ हैं जिन्हें मैं लगातार देखता हूँ। [medium pause] पहला: निरस्तीकरण का परीक्षण न करना। संगठन अपना PKI स्थापित करते हैं, प्रमाणपत्र तैनात करते हैं, और वास्तव में कभी परीक्षण नहीं करते हैं कि निरस्तीकरण शुरू से अंत तक काम करता है या नहीं। इसका परीक्षण करें। एक परीक्षण प्रमाणपत्र को निरस्त करें, पुष्टि करें कि RADIUS सर्वर आपकी अपेक्षित अवधि के भीतर निरस्तीकरण को पकड़ लेता है, और पुष्टि करें कि डिवाइस को पहुंच से वंचित कर दिया गया है। [medium pause] दूसरा: समाप्ति का कगार (expiry cliff edges)। यदि आप अपने सभी प्रमाणपत्र एक ही समय में समान वैधता अवधि के साथ जारी करते हैं, तो वे सभी एक ही समय में समाप्त हो जाते हैं। अपने जारी करने की प्रक्रिया को चरणबद्ध करें, या कम से कम अपने नवीनीकरण ट्रिगर्स को चरणबद्ध करें। एक साथ 5,000 डिवाइसों में 10% नवीनीकरण विफलता दर एक महत्वपूर्ण घटना है। [medium pause] तीसरा: EAP-TLS तैनात करने से पहले सभी डिवाइसों में Root CA प्रमाणपत्र वितरित न करना। यदि डिवाइस आपके Root CA पर भरोसा नहीं करता है, तो वह RADIUS सर्वर के प्रमाणपत्र को अस्वीकार कर देगा और प्रमाणीकरण विफल हो जाएगा। यह स्पष्ट लगता है, लेकिन यह संगठनों को तब संकट में डालता है जब उनके पास BYOD डिवाइस या ठेकेदार (contractor) के लैपटॉप होते हैं जो MDM में नामांकित नहीं होते हैं। [medium pause] चौथा: OCSP रिस्पॉन्डर की उपलब्धता। यदि आपका OCSP रिस्पॉन्डर डाउन हो जाता है और आपका RADIUS सर्वर OCSP त्रुटियों पर फेल क्लोज्ड (fail closed) होने के लिए कॉन्फ़िगर किया गया है, तो आपका पूरा WiFi एस्टेट काम करना बंद कर देता है। अपने OCSP इन्फ्रास्ट्रक्चर में अतिरेक (redundancy) का निर्माण करें, या उचित निगरानी के साथ एक छोटी छूट अवधि (grace period) कॉन्फ़िगर करें। [medium pause] ठीक है, रैपिड-फायर प्रश्न। [medium pause] क्या मैं EAP-TLS क्लाइंट प्रमाणपत्रों के लिए सार्वजनिक CA का उपयोग कर सकता हूँ? तकनीकी रूप से हाँ, लेकिन व्यावहारिक रूप से नहीं। सार्वजनिक CA मनमाने डिवाइसों के लिए क्लाइंट प्रमाणपत्र जारी नहीं करेंगे। क्लाइंट प्रमाणपत्रों के लिए आपको अपने स्वयं के CA की आवश्यकता है। RADIUS सर्वर प्रमाणपत्र के लिए, एक सार्वजनिक CA ठीक है और विश्वास वितरण को सरल बनाता है। [medium pause] BYOD के बारे में क्या? BYOD एक कठिन मामला है। आप MDM के माध्यम से गैर-प्रबंधित डिवाइसों पर प्रमाणपत्र पुश नहीं कर सकते। विकल्पों में एक नेटवर्क एक्सेस कंट्रोल पोर्टल शामिल है जो उपयोगकर्ता प्रमाणीकरण के बाद अल्पकालिक प्रमाणपत्र जारी करता है, या केवल BYOD को एक अलग प्रमाणीकरण विधि के साथ एक अलग SSID पर रखना शामिल है। [medium pause] यह WPA3 के साथ कैसे इंटरैक्ट करता है? WPA3-Enterprise संवेदनशील परिवेशों के लिए 192-बिट सुरक्षा मोड को अनिवार्य करता है, जिसके लिए विशिष्ट सिफर सुइट्स की आवश्यकता होती है। EAP-TLS, WPA3-Enterprise के साथ पूरी तरह से संगत है और वास्तव में अनुशंसित प्रमाणीकरण विधि है। [medium pause] संक्षेप में। EAP-TLS प्रमाणपत्र प्रबंधन सरल नहीं है, लेकिन यदि आप शुरू से ही आर्किटेक्चर को सही पाते हैं तो यह प्रबंधनीय है। तीन-स्तरीय CA पदानुक्रम। SCEP या MDM के माध्यम से स्वचालित नामांकन। स्वचालित नवीनीकरण के साथ लघु प्रमाणपत्र जीवनकाल। OCSP के माध्यम से रीयल-टाइम निरस्तीकरण। सब कुछ का परीक्षण करें, विशेष रूप से निरस्तीकरण का। और अपने प्रमाणपत्र जीवनचक्र को अपने पहचान प्रदाता - Microsoft Entra ID, Okta, या Google Workspace - के साथ एकीकृत करें ताकि खाता बंद होने पर प्रमाणपत्र निरस्तीकरण स्वचालित रूप से ट्रिगर हो जाए। [medium pause] यदि आप Purple-लिंक्ड RADIUS सर्वर चला रहे हैं, तो एकीकरण बिंदु आपके SCEP सर्वर URL, आपके RADIUS सर्वर प्रमाणपत्र और आपके CRL या OCSP एंडपॉइंट हैं। Purple का हार्डवेयर-अज्ञेयवादी (hardware-agnostic) आर्किटेक्चर का अर्थ है कि यह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और बाकी प्रामाणिक हार्डवेयर सूची में काम करता है - आप किसी एकल विक्रेता के PKI टूलिंग में बंधे नहीं हैं। [medium pause] अगले कदम: अपनी वर्तमान प्रमाणपत्र सूची का ऑडिट करें। यदि आप नहीं जानते कि आपके पास कितने प्रमाणपत्र हैं, वे कब समाप्त होते हैं, और उन्हें किसने जारी किया है, तो सबसे पहले इसे ठीक करना होगा। वहां से, पूर्ण स्वचालन का मार्ग अच्छी तरह से परिभाषित है। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश

EAP-TLS WiFi प्रमाणीकरण के लिए डिजिटल प्रमाणपत्रों का प्रबंधन करना उद्यम IT टीमों के लिए एक महत्वपूर्ण परिचालन चुनौती है। जैसे-जैसे उद्यम संगठन ज़ीरो-ट्रस्ट अनुपालन के लिए क्रेडेंशियल-आधारित प्रमाणीकरण (credential-based authentication) को चरणबद्ध तरीके से समाप्त कर रहे हैं, परिचालन का बोझ पासवर्ड रीसेट से हटकर प्रमाणपत्र जीवनचक्र प्रबंधन पर स्थानांतरित हो गया है। यह मार्गदर्शिका जटिल संपत्ति परिवेशों में बड़े पैमाने पर क्लाइंट प्रमाणपत्रों को तैनात करने, नवीनीकृत करने और निरस्त करने के लिए आवश्यक आर्किटेक्चरल पैटर्न का विवरण देती है।

मुख्य प्रौद्योगिकी अधिकारियों (CTO) और नेटवर्क आर्किटेक्ट्स के लिए, लक्ष्य स्पष्ट है: एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) लागू करना और मौजूदा मोबाइल डिवाइस प्रबंधन (MDM) प्लेटफॉर्म के साथ इसे सहजता से एकीकृत करना। सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) के माध्यम से प्रमाणपत्रों को स्वचालित रूप से जारी करके और रीयल-टाइम निरस्तीकरण लागू करके, मैन्युअल हस्तक्षेप को समाप्त किया जा सकता है। यह दृष्टिकोण नेटवर्क सुरक्षा सुनिश्चित करता है, PCI-DSS 4.0 सहित अनुपालन ढांचों को पूरा करता है, और उद्यम हार्डवेयर चलाने वाले 80,000 से अधिक भौतिक स्थानों के लिए निरंतर कनेक्टिविटी सुनिश्चित करता है।

तकनीकी गहन विश्लेषण

EAP-TLS (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी) 802.1X नेटवर्क एक्सेस कंट्रोल के उच्चतम मानक का प्रतिनिधित्व करता है। यह दोतरफा प्रमाणीकरण लागू करता है। RADIUS सर्वर क्लाइंट को अपनी पहचान साबित करने के लिए एक प्रमाणपत्र प्रस्तुत करता है, जबकि क्लाइंट नेटवर्क को अपनी पहचान साबित करने के लिए एक प्रमाणपत्र प्रस्तुत करता है।

तीन-स्तरीय PKI आर्किटेक्चर

एक सपाट PKI पदानुक्रम अस्वीकार्य जोखिम पैदा करता है। अनुशंसित पैटर्न तीन-स्तरीय आर्किटेक्चर है:

  1. रूट सर्टिफिकेट अथॉरिटी (Root CA): अंतिम विश्वास का स्रोत (root of trust)। यह सर्वर ऑफ़लाइन रहता है और नेटवर्क से अलग (air-gapped) रहता है। इसका एकमात्र कार्य इंटरमीडिएट CA प्रमाणपत्रों पर हस्ताक्षर करना है।
  2. इंटरमीडिएट CA (जारीकर्ता CA): यह सर्वर ऑनलाइन रहता है और दैनिक क्लाइंट और सर्वर प्रमाणपत्रों पर हस्ताक्षर करने के लिए जिम्मेदार होता है। यदि इसके साथ कोई समझौता होता है, तो पूरे विश्वास इन्फ्रास्ट्रक्चर को फिर से बनाए बिना Root CA द्वारा इसे निरस्त किया जा सकता है।
  3. एंड-एंटिटी प्रमाणपत्र (End-Entity Certificates): ये वे प्रमाणपत्र हैं जो वास्तव में RADIUS सर्वर और क्लाइंट डिवाइसों पर तैनात किए जाते हैं।

pki_trust_chain_diagram.png

प्रमाणपत्र वैधता और क्रिप्टोग्राफिक मानक

उद्योग कुंजी के साथ समझौता होने की स्थिति में जोखिम की अवधि को सीमित करने के लिए प्रमाणपत्र के जीवनकाल को छोटा करने पर जोर दे रहा है। हालांकि सार्वजनिक TLS प्रमाणपत्रों की सीमा 398 दिन है, लेकिन WiFi प्रमाणीकरण के लिए उपयोग किए जाने वाले आंतरिक क्लाइंट प्रमाणपत्र आमतौर पर 365 दिनों की वैधता अवधि का उपयोग करते हैं।

क्रिप्टोग्राफिक आवश्यकताओं के तहत कम से कम 2048-बिट RSA कुंजियों या P-256 कर्व का उपयोग करने वाली एलिप्टिक कर्व क्रिप्टोग्राफी (ECC) का उपयोग अनिवार्य है। WPA3-Enterprise 192-बिट मोड के लिए विशिष्ट सिफर सुइट्स की आवश्यकता होती है, और EAP-TLS एकमात्र प्रमाणीकरण विधि है जो इन आवश्यकताओं को पूरी तरह से पूरा कर सकती है।

कार्यान्वयन मार्गदर्शिका

वितरित स्थानों में EAP-TLS को तैनात करने के लिए आपके पहचान प्रदाता, MDM प्लेटफॉर्म और नेटवर्क हार्डवेयर के बीच कड़े एकीकरण की आवश्यकता होती है। Purple का क्लाउड ओवरले (cloud overlay) Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet के साथ एकीकृत होता है।

चरण 1: विश्वास की श्रृंखला स्थापित करना

किसी भी डिवाइस द्वारा प्रमाणित होने से पहले, उसे RADIUS सर्वर पर भरोसा करना चाहिए। कृपया अपने MDM के माध्यम से सभी प्रबंधित डिवाइसों पर रूट सर्टिफिकेट अथॉरिटी (Root CA) प्रमाणपत्र तैनात करें। गैर-प्रबंधित डिवाइसों के लिए, आपको विश्वास प्रोफ़ाइल स्थापित करने के लिए एक ऑनबोर्डिंग पोर्टल (onboarding portal) प्रदान करना होगा।

चरण 2: SCEP के माध्यम से जारी करने की प्रक्रिया को स्वचालित करना

मैन्युअल रूप से प्रमाणपत्र जनरेट करना व्यावहारिक नहीं है। इस वर्कफ़्लो को स्वचालित करने के लिए SCEP लागू करें:

  1. MDM (जैसे Microsoft Intune) डिवाइस पर SCEP पेलोड पुश करता है।
  2. डिवाइस स्थानीय रूप से एक निजी कुंजी (private key) जनरेट करता है।
  3. डिवाइस SCEP सर्वर पर एक प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) सबमिट करता है।
  4. CA प्रमाणपत्र जारी करता है, और डिवाइस इसे अपने हार्डवेयर-समर्थित कीस्टोर (keystore) में इंस्टॉल करता है।

चरण 3: RADIUS नीतियों को कॉन्फ़िगर करना

अपने RADIUS सर्वर को EAP-TLS की आवश्यकता के लिए कॉन्फ़िगर करें। सुनिश्चित करें कि सर्वर यह पुष्टि करने के लिए कि उपयोगकर्ता खाता अभी भी सक्रिय है, आपकी पहचान निर्देशिका (Microsoft Entra ID, Okta या Google Workspace) के साथ क्लाइंट प्रमाणपत्र के सब्जेक्ट अल्टरनेटिव नेम (SAN) का मिलान करता है।

certificate_lifecycle_infographic.png

सर्वोत्तम अभ्यास

  • जल्दी स्वचालित नवीनीकरण: MDM प्रोफ़ाइल को इस तरह कॉन्फ़िगर करें कि प्रमाणपत्र समाप्त होने से कम से कम 30 दिन पहले प्रमाणपत्र नवीनीकरण ट्रिगर हो जाए। यह पूरे नेटवर्क में अचानक प्रमाणीकरण विफलताओं को रोकता है।
  • हार्डवेयर कीस्टोर अनिवार्य करें: यह आवश्यक करें कि निजी कुंजी डिवाइस के ट्रस्टेड प्लेटफॉर्म मॉड्यूल (TPM) या सिक्योर एन्क्लेव (Secure Enclave) में जनरेट और संग्रहीत की जाए। कुंजियों को गैर-निर्यात योग्य (non-exportable) के रूप में कॉन्फ़िगर किया जाना चाहिए।
  • रीयल-टाइम निरस्तीकरण लागू करें: स्थिर प्रमाणपत्र निरस्तीकरण सूचियों (CRL) पर निर्भर रहने से देरी होती है। ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) लागू करें ताकि RADIUS सर्वर प्रमाणीकरण के दौरान रीयल-टाइम में प्रमाणपत्र की स्थिति की पुष्टि कर सके।

समस्या निवारण और जोखिम न्यूनीकरण

EAP-TLS परिनियोजन में सबसे आम विफलता पैटर्न विश्वास और समय से संबंधित हैं।

ट्रस्ट एंकर विफलता

यदि क्लाइंट डिवाइस RADIUS सर्वर प्रमाणपत्र को अस्वीकार करता है, तो प्रमाणीकरण बिना किसी सूचना के विफल हो जाएगा। ऐसा तब होता है जब डिवाइस के ट्रस्ट स्टोर में रूट CA प्रमाणपत्र गायब होता है। यह सुनिश्चित करने के लिए MDM परिनियोजन लॉग सत्यापित करें कि विश्वास प्रोफ़ाइल WiFi प्रोफ़ाइल से पहले लागू की गई है। कनेक्टिविटी समस्याओं के आगे के निदान के लिए, सार्वजनिक WiFi समस्या निवारण: 'कनेक्टेड, कोई इंटरनेट नहीं' और स्प्लैश पेज रीडायरेक्शन विफलताओं को ठीक करना देखें।

समाप्ति का कगार (Expiry Cliffs)

एक ही समय में हजारों प्रमाणपत्र जारी करने से नवीनीकरण के चरम समय के दौरान कगार जैसी स्थिति (cliff effect) पैदा हो सकती है। यदि इस अवधि के दौरान SCEP सर्वर डाउन हो जाता है, तो डिवाइस नेटवर्क से डिस्कनेक्ट हो जाएंगे। नवीनीकरण के बोझ को बांटने के लिए प्रारंभिक परिनियोजन को अलग-अलग चरणों में करें।

OCSP टाइमआउट

यदि RADIUS सर्वर OCSP रिस्पॉन्डर से कनेक्ट नहीं हो पाता है, तो उसे यह तय करना होगा कि डिफ़ॉल्ट रूप से खुला रखना है (fail open) या डिफ़ॉल्ट रूप से बंद करना है (fail closed)। कॉर्पोरेट नेटवर्क के लिए, डिफ़ॉल्ट रूप से बंद करना मानक अभ्यास है। सुनिश्चित करें कि आपका OCSP इन्फ्रास्ट्रक्चर अत्यधिक उपलब्ध और भौगोलिक रूप से वितरित है।

ROI और व्यावसायिक प्रभाव

EAP-TLS पर संक्रमण के लिए शुरुआती इंजीनियरिंग प्रयास की आवश्यकता होती है, लेकिन परिचालन लाभ महत्वपूर्ण हैं। 5,000 उपयोगकर्ताओं वाले एक संगठन को आमतौर पर PEAP पासवर्ड रोटेशन के कारण पासवर्ड रीसेट और RADIUS लॉकआउट समस्याओं को संभालने में प्रति माह 40 घंटे खर्च करने पड़ते हैं।

प्रमाणपत्र जीवनचक्र को स्वचालित करके, आप इन सहायता टिकटों को समाप्त कर सकते हैं। इसके अतिरिक्त, आप ISO 27001 और PCI-DSS की सख्त एक्सेस कंट्रोल आवश्यकताओं को पूरा कर सकते हैं, जिससे ऑडिट का खर्च कम हो जाता है। जब Guest WiFi और WiFi Analytics के साथ एकीकृत किया जाता है, तो Purple सभी उपयोगकर्ता प्रकारों के लिए एक एकीकृत नेटवर्क एक्सेस दृश्य प्रदान करता है, जिससे वितरित स्थानों के लिए अनुपालन रिपोर्टिंग सरल हो जाती है।

मुख्य परिभाषाएं

EAP-TLS

ट्रांसपोर्ट लेयर सिक्योरिटी के साथ एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक प्रमाणीकरण ढांचा जिसके लिए क्लाइंट और सर्वर दोनों को डिजिटल प्रमाणपत्रों का उपयोग करके अपनी पहचान साबित करने की आवश्यकता होती है।

कमजोर पासवर्ड पर निर्भर रहे बिना उद्यम WiFi नेटवर्क को सुरक्षित करने के लिए उद्योग मानक।

SCEP

सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल। डिवाइसों पर डिजिटल प्रमाणपत्रों के अनुरोध और इंस्टॉलेशन को सुरक्षित रूप से स्वचालित करने के लिए MDM प्लेटफॉर्म द्वारा उपयोग किया जाने वाला एक प्रोटोकॉल।

मैन्युअल प्रमाणपत्र प्रबंधन को हटाकर कुछ दर्जन डिवाइसों से आगे EAP-TLS परिनियोजन को बढ़ाने के लिए आवश्यक।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (accounting) प्रबंधन प्रदान करता है।

सर्वर घटक जो क्लाइंट प्रमाणपत्र को मान्य करता है और एक्सेस पॉइंट को नेटवर्क एक्सेस प्रदान करने के लिए कहता है।

OCSP

ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल। रीयल-टाइम में X.509 डिजिटल प्रमाणपत्र की निरस्तीकरण स्थिति प्राप्त करने के लिए उपयोग किया जाने वाला एक इंटरनेट प्रोटोकॉल।

यह सुनिश्चित करने के लिए कि एक निरस्त प्रमाणपत्र को नेटवर्क से तुरंत ब्लॉक कर दिया जाए, स्थिर CRL को प्रतिस्थापित करता है।

Root CA

रूट सर्टिफिकेट अथॉरिटी। पब्लिक की इन्फ्रास्ट्रक्चर में शीर्ष-स्तरीय क्रिप्टोग्राफिक प्राधिकरण, जिसका उपयोग अधीनस्थ CA पर हस्ताक्षर करने के लिए किया जाता है।

संगठन की संपूर्ण विश्वास श्रृंखला की सुरक्षा के लिए इसे अत्यधिक सुरक्षित और ऑफ़लाइन रखा जाना चाहिए।

SAN

सब्जेक्ट अल्टरनेटिव नेम। X.509 का एक विस्तार जो सुरक्षा प्रमाणपत्र के साथ विभिन्न मानों को जोड़ने की अनुमति देता है, जैसे कि ईमेल पते या UPN।

पहचान निर्देशिका में प्रमाणपत्र को एक विशिष्ट उपयोगकर्ता खाते से मैप करने के लिए RADIUS सर्वर द्वारा उपयोग किया जाता है।

MDM

मोबाइल डिवाइस प्रबंधन। कर्मचारियों के मोबाइल डिवाइसों की निगरानी, प्रबंधन और सुरक्षा के लिए IT विभागों द्वारा उपयोग किया जाने वाला सॉफ़्टवेयर।

वितरण तंत्र जो अंतिम-उपयोगकर्ता डिवाइसों पर SCEP कॉन्फ़िगरेशन और WiFi प्रोफ़ाइल पुश करता है।

CRL

प्रमाणपत्र निरस्तीकरण सूची। डिजिटल प्रमाणपत्रों की एक सूची जिन्हें जारीकर्ता CA द्वारा उनकी निर्धारित समाप्ति तिथि से पहले निरस्त कर दिया गया है।

प्रमाणपत्र वैधता की जांच करने की एक विरासत (legacy) विधि जो OCSP की तुलना में विलंबता (latency) की समस्याओं से ग्रस्त है।

हल किए गए उदाहरण

एक 150-संपत्ति वाले होटल समूह को 3,000 डिवाइसों पर कर्मचारियों की पहुंच को सुरक्षित करने की आवश्यकता है। वे वर्तमान में एक साझा पासवर्ड के साथ PEAP का उपयोग करते हैं जो त्रैमासिक रूप से बदलता है, जिससे हेल्पडेस्क पर काम का बोझ काफी बढ़ जाता है। उन्हें EAP-TLS कैसे लागू करना चाहिए?

सभी कॉर्पोरेट डिवाइसों को प्रबंधित करने के लिए Microsoft Intune तैनात करें। Intune प्रमाणपत्र कनेक्टर के माध्यम से Intune के साथ एकीकृत एक Microsoft ADCS इंटरमीडिएट CA स्थापित करें। सभी डिवाइसों पर Root CA प्रमाणपत्र पुश करें, जिसके बाद एक SCEP प्रोफ़ाइल पुश करें जो 365-दिन की वैधता वाले क्लाइंट प्रमाणपत्र का अनुरोध करती है। EAP-TLS का उपयोग करने के लिए WiFi प्रोफ़ाइल को कॉन्फ़िगर करें और इसे Purple-लिंक्ड RADIUS सर्वर पर इंगित करें। SCEP प्रोफ़ाइल को 20% शेष जीवन (73 दिन) पर स्वचालित रूप से नवीनीकृत करने के लिए सेट करें।

परीक्षक की टिप्पणी: यह दृष्टिकोण त्रैमासिक पासवर्ड रोटेशन को पूरी तरह से समाप्त कर देता है। जल्दी नवीनीकरण ट्रिगर सेट करके, IT टीम समाप्ति के कगार (expiry cliff edges) से बचती है। Microsoft Intune के साथ सीधे एकीकृत होने से यह सुनिश्चित होता है कि जब कोई कर्मचारी नौकरी छोड़ता है और उसका Microsoft Entra ID खाता अक्षम कर दिया जाता है, तो MDM प्रमाणपत्र को निरस्त कर देता है और WiFi प्रोफ़ाइल को स्वचालित रूप से हटा देता है।

एक रिटेल चेन को 200 स्थानों पर पॉइंट-ऑफ-सेल हैंडहेल्ड के लिए सुरक्षित WiFi की आवश्यकता है। डिवाइस Android पर चलते हैं और अक्सर केंद्रीय प्रबंधन सर्वर से कनेक्टिविटी खो देते हैं। आप प्रमाणपत्र निरस्तीकरण को कैसे संभालते हैं?

RADIUS सर्वर स्तर पर रीयल-टाइम निरस्तीकरण जांच के लिए OCSP लागू करें। प्रत्येक प्रमाणीकरण प्रयास के लिए OCSP रिस्पॉन्डर से पूछताछ करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें। यदि किसी हैंडहेल्ड के खो जाने की सूचना मिलती है, तो सुरक्षा टीम CA में प्रमाणपत्र को निरस्त कर देती है। अगली बार जब डिवाइस किसी एक्सेस पॉइंट से जुड़ने का प्रयास करता है, तो RADIUS सर्वर को OCSP से 'निरस्त' (revoked) प्रतिक्रिया मिलती है और वह तुरंत पहुंच को अस्वीकार कर देता है।

परीक्षक की टिप्पणी: यदि डिवाइस ऑफ़लाइन है या शील्ड है, तो खोए हुए डिवाइस को वाइप करने के लिए केवल MDM पर निर्भर रहना पर्याप्त नहीं है। OCSP के माध्यम से नेटवर्क एज पर निरस्तीकरण जांच लागू करके, RADIUS सर्वर प्रवर्तन बिंदु (enforcement point) के रूप में कार्य करता है, जिससे यह सुनिश्चित होता है कि समझौता किए गए प्रमाणपत्र का उपयोग नहीं किया जा सकता है, भले ही डिवाइस तक MDM द्वारा नहीं पहुंचा जा सके।

अभ्यास प्रश्न

Q1. आप 2,000 कॉर्पोरेट लैपटॉप के लिए EAP-TLS तैनात कर रहे हैं। SCEP इन्फ्रास्ट्रक्चर कॉन्फ़िगर किया गया है, लेकिन परीक्षण के दौरान, लैपटॉप WiFi से कनेक्ट होने में विफल रहते हैं। RADIUS लॉग 'Unknown CA' दिखाते हैं। इसका सबसे संभावित कारण क्या है?

संकेत: ट्रस्ट प्रोफ़ाइल बनाम प्रमाणीकरण प्रोफ़ाइल तैनात करते समय संचालन के क्रम पर विचार करें।

मॉडल उत्तर देखें

लैपटॉप के विश्वसनीय रूट स्टोर में Root CA प्रमाणपत्र स्थापित नहीं है। MDM को SCEP पेलोड या EAP-TLS WiFi प्रोफ़ाइल पुश करने से पहले डिवाइसों पर Root CA प्रमाणपत्र पेलोड पुश करने के लिए कॉन्फ़िगर किया जाना चाहिए। Root CA के बिना, क्लाइंट RADIUS सर्वर के प्रमाणपत्र को अस्वीकार कर देता है।

Q2. एक समझौता किए गए डिवाइस के खो जाने की सूचना मिली है। IT टीम MDM से डिवाइस को हटा देती है और CA में प्रमाणपत्र को निरस्त कर देती है। हालांकि, परीक्षण से पता चलता है कि डिवाइस अभी भी 12 घंटे तक नेटवर्क से कनेक्ट हो सकता है। आप इसे कैसे हल करेंगे?

संकेत: देखें कि RADIUS सर्वर प्रमाणपत्र की स्थिति को कैसे मान्य करता है।

मॉडल उत्तर देखें

RADIUS सर्वर संभवतः एक प्रमाणपत्र निरस्तीकरण सूची (CRL) पर निर्भर है जो केवल हर 12 से 24 घंटे में प्रकाशित या डाउनलोड की जाती है। इसे हल करने के लिए, ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) लागू करें और प्रत्येक प्रमाणीकरण प्रयास के दौरान रीयल-टाइम सत्यापन के लिए OCSP रिस्पॉन्डर से पूछताछ करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें।

Q3. आप प्रमाणपत्र जीवनचक्र नीति तैयार कर रहे हैं। सुरक्षा टीम जोखिम को कम करने के लिए 30-दिन का प्रमाणपत्र जीवनकाल चाहती है, लेकिन नेटवर्क टीम SCEP सर्वर लोड और कनेक्टिविटी में गिरावट को लेकर चिंतित है। अनुशंसित संतुलन क्या है?

संकेत: सार्वजनिक वेब प्रमाणपत्रों और आंतरिक प्रबंधित PKI के बीच अंतर पर विचार करें।

मॉडल उत्तर देखें

समाप्ति से 60 या 90 दिन पहले ट्रिगर होने वाले स्वचालित नवीनीकरण के साथ 365-दिन की वैधता अवधि इष्टतम संतुलन प्रदान करती है। WiFi प्रमाणपत्रों के लिए 30-दिन का जीवनकाल अत्यधिक परिचालन जोखिम पैदा करता है यदि डिवाइस अपनी संकीर्ण नवीनीकरण विंडो के दौरान ऑफ़लाइन होते हैं। आक्रामक रूप से छोटे जीवनकाल के बजाय मजबूत, रीयल-टाइम OCSP निरस्तीकरण के माध्यम से सुरक्षा बनाए रखी जाती है।

इस श्रृंखला में आगे पढ़ें

अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।

गाइड पढ़ें →

Passpoint और OpenRoaming: संपूर्ण गाइड

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।

गाइड पढ़ें →

उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें

यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।

गाइड पढ़ें →