Vai al contenuto principale
Italiano

Automazione della sicurezza WiFi aziendale: Guida alla distribuzione dei certificati SCEP

Questa guida tecnica spiega come automatizzare la sicurezza del WiFi aziendale utilizzando la distribuzione dei certificati SCEP. Fornisce un progetto architetturale dettagliato e i passaggi di implementazione per distribuire l'autenticazione 802.1X EAP-TLS nelle reti aziendali e guest.

📖 5 minuti di lettura📝 1,248 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti a questo briefing tecnico. Sono qui per guidarvi attraverso la nostra ultima guida: Automazione della sicurezza WiFi aziendale, con un focus specifico sulla distribuzione dei certificati SCEP. Se gestite reti per hotel, catene di negozi o spazi pubblici, sapete già che affidarsi a chiavi pre-condivise o a semplici Captive Portal per l'accesso del personale rappresenta una massiccia vulnerabilità di sicurezza. Oggi parliamo del gold standard: l'autenticazione 802.1X tramite EAP-TLS. Esaminiamo l'architettura. La sfida principale con EAP-TLS non è il protocollo in sé, ma la logistica per far arrivare certificati client univoci su migliaia di dispositivi, che si tratti di laptop Windows, iPad o tablet per i punti vendita. È qui che entrano in gioco le piattaforme di Mobile Device Management, o MDM, come Microsoft Intune o Jamf. Ma come si distribuiscono questi certificati in modo sicuro? In genere si hanno due opzioni: PKCS o SCEP. Vorrei essere assolutamente chiaro su questo punto: per l'autenticazione WiFi, la scelta migliore è SCEP. Si tratta del Simple Certificate Enrollment Protocol. Ecco perché è importante. Con SCEP, l'MDM indica al dispositivo endpoint di generare localmente la propria chiave privata. Tale chiave rimane protetta nell'hardware sicuro del dispositivo. Non viaggia mai sulla rete. Il dispositivo invia semplicemente una Certificate Signing Request alla vostra Autorità di Certificazione tramite un gateway, solitamente un server NDES. A differenza di PKCS, in cui l'Autorità di Certificazione genera la chiave privata centralmente e la invia al dispositivo tramite la rete. Sebbene PKCS abbia una sua utilità, ad esempio per la crittografia delle e-mail in cui è richiesto il deposito delle chiavi, la trasmissione delle chiavi private sulla rete è un rischio che non è necessario correre per l'autenticazione di rete. Mantenete le chiavi sul dispositivo. Utilizzate SCEP. Ora parliamo dell'implementazione. Se c'è una cosa da ricordare da questo briefing, è questa regola empirica: La fiducia prima dell'autenticazione. Non si può semplicemente inviare un profilo WiFi e aspettarsi che funzioni. C'è una sequenza di distribuzione rigorosa in tre passaggi da seguire. Fase uno: distribuire il certificato Trusted Root. Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione emittente. Inviate prima questo profilo. Fase due: configurare e inviare il profilo del certificato SCEP. Questo indica al dispositivo come comunicare con il gateway SCEP, quale formato utilizzare per il subject name e a cosa serve effettivamente il certificato, in questo caso l'autenticazione client. È necessario collegare questo profilo al Trusted Root distribuito nella fase uno. Fase tre: distribuire il profilo WiFi 802.1X. Qui si collega il tutto. Si specifica l'SSID, si seleziona WPA3-Enterprise, si imposta il tipo di EAP su EAP-TLS e lo si indirizza al certificato SCEP per l'autenticazione client. Ecco un errore comune che vediamo continuamente. Un cliente ci chiama e dice: "I certificati sono sul dispositivo, ma il profilo WiFi mostra un errore in Intune". Quasi sempre si tratta di una mancata corrispondenza nel targeting dei gruppi. Se si assegna il profilo SCEP a un gruppo 'Utenti', ma si assegna il profilo WiFi a un gruppo 'Dispositivi', l'MDM non può risolvere la dipendenza. Abbinate esattamente i vostri target in tutti e tre i profili. Consideriamo uno scenario reale. Immaginate un hotel di 200 camere. Hanno 150 dispositivi iOS gestiti per il servizio di pulizia. Attualmente utilizzano una rete standard con password e il personale continua a condividere la password con gli ospiti. È un incubo. Migrando a WPA2-Enterprise con EAP-TLS tramite SCEP, il Direttore IT elimina completamente la password. I dispositivi iOS si autenticano silenziosamente in background utilizzando i loro certificati. Ma cosa succede se un addetto alle pulizie smarrisce un dispositivo o lascia l'azienda? Disabilitare il suo account Active Directory non è sufficiente, perché il certificato su quel dispositivo è ancora crittograficamente valido. Questo ci porta a un controllo di sicurezza fondamentale: un controllo rigoroso della CRL. È necessario configurare il server RADIUS per controllare la Certificate Revocation List. Se un dispositivo viene smarrito, si revoca il certificato presso la CA. Il server RADIUS rileva la revoca sulla CRL e blocca immediatamente l'accesso alla rete. Senza un controllo rigoroso della CRL, la vostra postura di sicurezza è incompleta. Per concludere, il passaggio alla distribuzione automatizzata dei certificati SCEP offre un ROI enorme. Noterete una riduzione dal 70 all'80 percento dei ticket di assistenza relativi al WiFi, perché gli utenti non rimarranno bloccati o non digiteranno le password in modo errato. Cosa ancora più importante, eliminerete il rischio di furto delle credenziali, garantendo la conformità a framework come PCI DSS e GDPR. Automatizzare la sicurezza del WiFi aziendale non significa solo bloccare gli accessi; significa rendere il percorso sicuro il più semplice possibile per i vostri utenti. Grazie per l'ascolto e non dimenticate di consultare la guida scritta completa per tutti i dettagli di configurazione passo dopo passo.

header_image.png

Executive Summary

Per le sedi aziendali nei settori dell'ospitalità, del retail e pubblico, affidarsi a chiavi precondivise o a Captive Portal di base per l'accesso alla rete introduce gravi vulnerabilità di sicurezza. La moderna architettura di rete richiede l'autenticazione 802.1X tramite EAP-TLS, garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete. La sfida per i responsabili IT e gli architetti di rete consiste nel distribuire in modo efficiente certificati client univoci a migliaia di dispositivi Windows, iOS e Android.

Questa guida fornisce un modello architetturale definitivo e una strategia di implementazione dettagliata per la distribuzione automatizzata dei certificati WiFi tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Integrando la piattaforma MDM (Mobile Device Management) con un gateway SCEP e un'Autorità di Certificazione (CA), è possibile inviare in modo invisibile i certificati root e client attendibili agli endpoint gestiti. Esamineremo le differenze critiche tra SCEP e PKCS, descriveremo l'esatta sequenza di distribuzione richiesta per il successo e delineeremo le strategie di mitigazione del rischio nel mondo reale per garantire che le reti WiFi rimangano sicure e performanti.

Ascolta il podcast di approfondimento associato:

Technical Deep-Dive: SCEP Architecture and EAP-TLS

Nella progettazione della strategia di distribuzione dei certificati WiFi aziendali, la decisione architetturale fondamentale riguarda la modalità di distribuzione sicura dei certificati. Lo standard di settore per questo processo è SCEP. SCEP automatizza il processo di registrazione dei certificati, consentendo ai dispositivi di richiedere in modo sicuro i certificati a un'Autorità di Certificazione utilizzando un protocollo standardizzato.

The SCEP Advantage over PKCS

Sebbene le piattaforme come Microsoft Intune supportino sia SCEP che PKCS (Public Key Cryptography Standards), esse operano in modo fondamentalmente diverso. In un flusso di lavoro SCEP, il servizio MDM indica all'endpoint di generare la propria coppia di chiavi privata e pubblica. Il dispositivo crea quindi una richiesta di firma del certificato (CSR) e la invia tramite un server NDES (Network Device Enrollment Service) alla CA. La CA firma la richiesta e restituisce il certificato pubblico al dispositivo.

Il vantaggio critico in termini di sicurezza di SCEP è che la chiave privata non lascia mai il dispositivo. Viene generata localmente e memorizzata nell'enclave sicura del dispositivo. Ciò rende SCEP l'approccio fortemente raccomandato per l'autenticazione 802.1X. Al contrario, con PKCS, la CA genera entrambe le chiavi centralmente e le trasmette sulla rete. PKCS è più adatto per casi d'uso che richiedono il deposito delle chiavi (key escrow), come la crittografia della posta elettronica S/MIME, piuttosto che per l'autenticazione di rete.

scep_vs_pkcs_comparison.png

802.1X and EAP-TLS Authentication

Lo standard IEEE 802.1X fornisce un framework per la gestione centralizzata dell'accesso alla rete. Definisce come trasmettere i pacchetti EAP (Extensible Authentication Protocol) su reti locali (EAPoL) per l'autenticazione tra il client, l'access point e il server di autenticazione (in genere un server RADIUS).

EAP-TLS è il protocollo di autenticazione più sicuro per le reti 802.1X. Richiede un'autenticazione reciproca: il client verifica il certificato del server RADIUS e il server RADIUS verifica il certificato del client. Questo rigoroso processo di convalida garantisce che solo gli utenti autenticati e autorizzati sui dispositivi registrati possano accedere, proteggendo la rete da minacce come gli attacchi Evil Twin.

Implementation Guide: The Deployment Sequence

La corretta configurazione della distribuzione automatizzata dei certificati per 802.1X richiede il rigoroso rispetto di una sequenza specifica. Le dipendenze dei profili impongono che la relazione di attendibilità venga stabilita prima di poter configurare l'autenticazione. Questo vale sia che si utilizzi Microsoft Intune, Jamf o un'altra piattaforma MDM.

Step 1: Deploy the Trusted Root Certificate

Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione emittente.

  1. Esporta il certificato della CA radice (Root CA) e gli eventuali certificati della CA intermedia.
  2. Nella piattaforma MDM, crea un profilo di certificato attendibile.
  3. Carica i file dei certificati e distribuisci questo profilo ai gruppi di dispositivi di destinazione.

Step 2: Configure the SCEP Certificate Profile

Una volta stabilita la relazione di attendibilità, configura il profilo SCEP per indicare ai dispositivi come ottenere il proprio certificato client.

  1. Crea un nuovo profilo di configurazione del certificato SCEP.
  2. Configura il formato del nome del soggetto. Per l'autenticazione basata sull'utente, utilizza lo User Principal Name. Per l'autenticazione del dispositivo, utilizza l'ID del dispositivo.
  3. Imposta l'utilizzo della chiave su firma digitale e cifratura della chiave (key encipherment).
  4. Specifica l'autenticazione client (Client Authentication) per l'utilizzo esteso della chiave.
  5. Collega questo profilo al profilo del certificato Root attendibile creato al passaggio 1.
  6. Fornisci l'URL esterno del gateway SCEP o del server NDES.

Step 3: Deploy the 802.1X WiFi Profile

Il passaggio finale consiste nell'inviare la configurazione WiFi che associa i certificati all'SSID di rete.

  1. Crea un profilo di configurazione WiFi.
  2. Inserisci l'SSID esattamente come trasmesso dai tuoi access point.
  3. Seleziona WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza.
  4. Imposta il tipo di EAP su EAP-TLS.
  5. Seleziona il profilo del certificato SCEP creato al passaggio 2 per l'autenticazione client.
  6. Specifica il certificato Root attendibile per la convalida del server, per garantire che il dispositivo si connetta solo al server RADIUS legittimo.

scep_architecture_overview.png

Best Practice per gli Ambienti Enterprise

Quando si implementa la distribuzione dei certificati SCEP, attenersi a queste best practice indipendenti dal fornitore per garantire conformità e affidabilità.

Proteggere il Gateway SCEP

Il gateway SCEP o il server NDES deve essere accessibile da Internet per consentire ai dispositivi remoti di configurare i certificati prima di arrivare in sede. Tuttavia, esporre direttamente un server interno a Internet rappresenta un rischio significativo per la sicurezza. Pubblicare l'URL utilizzando un proxy applicativo. Questo fornisce un accesso remoto sicuro senza aprire porte in entrata nel firewall e consente di applicare criteri di accesso condizionale al flusso di registrazione.

Imporre un Controllo Rigido della CRL

La distribuzione dei certificati è solo metà dell'equazione di sicurezza; la revoca è altrettanto fondamentale. Se un dipendente viene licenziato, la disattivazione del suo account di directory potrebbe non revocare immediatamente il suo accesso WiFi se il suo certificato client rimane valido. Configurare il server RADIUS per imporre un controllo rigido della Certificate Revocation List (CRL). Assicurarsi che i punti di distribuzione della CRL siano altamente disponibili; se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallirà, causando un'interruzione diffusa del servizio.

Integrazione Hardware

Assicurarsi che l'infrastruttura di rete supporti i protocolli richiesti. Purple si integra perfettamente con l'hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configurare questi sistemi per inoltrare le richieste di autenticazione alla propria infrastruttura RADIUS centralizzata.

Risoluzione dei Problemi e Mitigazione dei Rischi

Anche con una pianificazione meticolosa, la distribuzione dei certificati può riscontrare problemi. Di seguito sono riportati i casi di errore più comuni e le relative strategie di mitigazione.

Errori di Dipendenza

Un problema comune si verifica quando il dispositivo riceve i certificati Trusted Root e SCEP, ma l'applicazione del profilo WiFi non va a buon fine. Questo è quasi sempre causato da una mancata corrispondenza nel targeting dei gruppi all'interno dell'MDM. Se il profilo SCEP è assegnato a un gruppo di utenti, ma il profilo WiFi è assegnato a un gruppo di dispositivi, l'MDM non può risolvere la dipendenza. Verificare le assegnazioni e assicurarsi che tutti i profili correlati siano distribuiti esattamente allo stesso gruppo di directory.

Errori di Registrazione

Se i dispositivi non riescono a recuperare il certificato SCEP e i log del gateway mostrano errori HTTP 403, l'account di servizio potrebbe non disporre delle autorizzazioni necessarie sul modello di certificato, oppure il filtraggio degli URL sul firewall sta bloccando i parametri specifici della stringa di query utilizzati da SCEP. Verificare che l'account del connettore disponga delle autorizzazioni di lettura e registrazione sul modello della CA e controllare i log del firewall per assicurarsi che gli URL SCEP non siano bloccati.

ROI e Impatto sul Business

Il passaggio alla distribuzione automatizzata dei certificati 802.1X offre ritorni misurabili in termini di sicurezza e operatività.

Il WiFi basato su password genera un volume significativo di ticket di supporto a causa di scadenze delle password, blocchi e refusi. L'autenticazione basata su certificati è invisibile all'utente, riducendo in genere il volume di lavoro dell'helpdesk relativo al WiFi dal 70% all'80%.

Inoltre, l'EAP-TLS elimina il rischio di furto delle credenziali e di attacchi Man-in-the-Middle. Questo è fondamentale per la conformità a framework come PCI DSS e GDPR. Per un'operazione di vendita al dettaglio multi-sito o una grande catena alberghiera, l'automazione di questo processo garantisce un'esperienza di provisioning unificata e zero-touch fin dal primo giorno, riducendo significativamente i costi operativi e proteggendo al contempo il perimetro della rete.

Definizioni chiave

SCEP

Simple Certificate Enrollment Protocol. Un protocollo che automatizza il processo di richiesta e installazione di certificati digitali sui dispositivi, in cui la chiave privata viene generata localmente.

Il metodo consigliato per distribuire i certificati di autenticazione WiFi su scala tramite piattaforme MDM.

PKCS

Public Key Cryptography Standards. Un metodo di distribuzione in cui l'Autorità di Certificazione genera sia la chiave pubblica che quella privata e le trasmette all'endpoint.

Spesso utilizzato per la crittografia della posta elettronica S/MIME ma meno ideale per il WiFi a causa della trasmissione in rete della chiave privata.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

La base obbligatoria per la sicurezza del WiFi aziendale, che sostituisce le vulnerabili chiavi pre-condivise.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un protocollo di autenticazione che richiede sia al client che al server di presentare certificati digitali validi.

Considerato il metodo di autenticazione più sicuro per le reti 802.1X, elimina le vulnerabilità basate su password.

NDES

Network Device Enrollment Service. Un ruolo server che funge da gateway, consentendo ai dispositivi senza credenziali di dominio di ottenere certificati tramite SCEP.

Un componente infrastrutturale richiesto quando si implementa la distribuzione dei certificati SCEP con Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità.

Il server che convalida i certificati client rispetto alla directory e concede l'accesso alla rete.

CRL

Certificate Revocation List. Un elenco pubblicato dall'Autorità di Certificazione contenente i numeri di serie dei certificati che sono stati revocati.

I server RADIUS devono controllare la CRL per garantire che un certificato presentato sia ancora valido e non sia stato compromesso.

CSR

Certificate Signing Request. Un blocco di testo codificato fornito a un'Autorità di Certificazione quando si richiede un certificato SSL/TLS.

Generato dal dispositivo durante il processo di registrazione SCEP per richiedere un certificato firmato.

Esempi pratici

Un hotel di 200 camere deve distribuire un WiFi sicuro per il personale a 150 dispositivi iOS gestiti, utilizzati dal servizio di pulizia e manutenzione. Attualmente utilizzano una rete WPA2-PSK, ma il personale continua a condividere la password con gli ospiti. In che modo il Direttore IT dovrebbe implementare una soluzione sicura e automatizzata?

Il Direttore IT dovrebbe migrare il WiFi del personale a WPA2-Enterprise utilizzando l'autenticazione 802.1X EAP-TLS. Deve configurare il proprio MDM (ad es. Jamf) per inviare un payload SCEP ai dispositivi iOS. La sequenza di distribuzione è: 1) Inviare il certificato Root CA in modo che i dispositivi considerino attendibile la rete. 2) Inviare il profilo SCEP, indicando ai dispositivi di richiedere un certificato client alla CA tramite il gateway SCEP. 3) Inviare il profilo WiFi configurato per WPA2-Enterprise ed EAP-TLS, collegandolo al certificato SCEP. Gli access point di rete (ad es. HPE Aruba) sono configurati per autenticare i client tramite un server RADIUS centrale. All'arrivo del personale, i loro dispositivi si autenticano automaticamente utilizzando il certificato, senza richiedere alcuna password.

Commento dell'esaminatore: Questo approccio elimina completamente la vulnerabilità della password condivisa. Utilizzando SCEP ed EAP-TLS, l'hotel garantisce che solo i dispositivi gestiti e autorizzati possano accedere al WiFi del personale. Le chiavi private rimangono protette sui dispositivi iOS e, in caso di smarrimento di un dispositivo o di dimissioni di un dipendente, il certificato può essere revocato centralmente tramite la CRL, interrompendo immediatamente l'accesso alla rete.

Una catena di negozi al dettaglio sta implementando nuovi tablet per i punti vendita (POS) in 50 sedi. Per conformarsi ai requisiti PCI DSS, i tablet devono connettersi a una rete wireless sicura. L'architetto di rete prevede di utilizzare Microsoft Intune per la distribuzione. Quali scelte architetturali garantiscono conformità e sicurezza?

Per soddisfare i requisiti PCI DSS relativi a crittografia e autenticazione forti, l'architetto deve distribuire 802.1X EAP-TLS. Utilizzando Microsoft Intune, deve selezionare SCEP rispetto a PKCS per la distribuzione dei certificati. Ciò garantisce che la chiave privata venga generata sul TPM del tablet POS e mai trasmessa sulla rete. Deve configurare un server NDES pubblicato in modo sicuro tramite Azure AD Application Proxy. Infine, deve configurare il server RADIUS per imporre un controllo rigoroso della CRL, garantendo che, in caso di compromissione di un tablet POS, il suo certificato possa essere revocato e l'accesso alla rete bloccato immediatamente.

Commento dell'esaminatore: La scelta di SCEP rispetto a PKCS è la decisione fondamentale in questo caso per la conformità PCI DSS, poiché impedisce la trasmissione della chiave privata. La pubblicazione del server NDES tramite un proxy applicativo protegge l'infrastruttura di registrazione. Il controllo rigoroso della CRL è obbligatorio; senza di esso, un certificato revocato potrebbe comunque consentire a un dispositivo compromesso di accedere alla rete di pagamento.

Domande di esercitazione

Q1. Stai distribuendo una nuova rete WiFi 802.1X per un campus aziendale utilizzando Microsoft Intune. Hai configurato il profilo Trusted Root, il profilo SCEP e il profilo WiFi. Tuttavia, durante i test, i dispositivi ricevono i certificati ma il profilo WiFi mostra lo stato 'Errore' nella console di Intune. Qual è la causa più probabile?

Suggerimento: Considera come l'MDM risolve le dipendenze tra i profili.

Visualizza risposta modello

La causa più probabile è una mancata corrispondenza nel targeting dei gruppi. Intune richiede che i profili dipendenti siano assegnati esattamente allo stesso gruppo Azure AD. Se il profilo SCEP è assegnato a un gruppo di Utenti e il profilo WiFi è assegnato a un gruppo di Dispositivi, Intune non può risolvere la dipendenza, generando un errore.

Q2. Un'organizzazione di vendita al dettaglio desidera automatizzare la distribuzione dei certificati per i tablet dei direttori di negozio. Sono indecisi se utilizzare SCEP o PKCS. La sicurezza è la loro principale preoccupazione, in particolare la protezione delle chiavi private. Quale protocollo dovrebbero scegliere e perché?

Suggerimento: Pensa a dove viene generata la chiave privata in ciascun protocollo.

Visualizza risposta modello

Dovrebbero scegliere SCEP. In un flusso di lavoro SCEP, la chiave privata viene generata localmente sul tablet e memorizzata nella sua enclave sicura; non lascia mai il dispositivo. Con PKCS, l'Autorità di Certificazione genera la chiave privata e la trasmette in rete al dispositivo, introducendo una potenziale vulnerabilità di sicurezza.

Q3. Un dipendente lascia l'azienda e il suo account Active Directory viene disabilitato. Tuttavia, il team IT nota che il dispositivo del dipendente è ancora connesso alla rete WiFi aziendale. La rete utilizza l'autenticazione EAP-TLS. Quale configurazione manca sul server RADIUS?

Suggerimento: La disattivazione di un account non invalida automaticamente un certificato emesso in precedenza.

Visualizza risposta modello

Sul server RADIUS manca il controllo rigoroso della Certificate Revocation List (CRL). Anche se l'account di directory è disabilitato, il certificato client rimane crittograficamente valido fino alla sua scadenza o finché non viene esplicitamente revocato. Il server RADIUS deve essere configurato per controllare la CRL per garantire che ai certificati revocati venga negato l'accesso alla rete.

Continua a leggere questa serie

Come configurare SCEP per la registrazione automatica dei certificati WiFi aziendali

Questa guida spiega come configurare SCEP (Simple Certificate Enrollment Protocol) per la registrazione automatica dei certificati WiFi aziendali, coprendo l'intera architettura, da PKI e NDES fino alla distribuzione dei profili MDM e alla convalida RADIUS. Si rivolge a responsabili IT, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi, centri congressi e organizzazioni del settore pubblico che hanno l'esigenza di superare le chiavi precondivise e implementare un'autenticazione 802.1X EAP-TLS scalabile e basata sull'identità. La piattaforma cloud overlay di Purple, indipendente dall'hardware, si integra direttamente con questa architettura, fornendo il livello WiFi per ospiti e BYOD che si affianca alla rete del personale autenticata tramite certificato.

Leggi la guida →

La guida enterprise a SCEP: implementare il Simple Certificate Enrollment Protocol per la sicurezza automatizzata del WiFi nei campus

Questa guida di riferimento tecnico fornisce un modello architetturale definitivo e una strategia di implementazione passo-passo per la distribuzione dei certificati WiFi aziendali tramite SCEP. Copre le differenze cruciali tra SCEP e PKCS, l'esatta sequenza di implementazione necessaria per il successo e le strategie reali di mitigazione del rischio per i leader IT.

Leggi la guida →

Come implementare SCEP per l'assegnazione automatizzata dei certificati WiFi

Questa guida spiega come implementare SCEP (Simple Certificate Enrollment Protocol) per l'assegnazione automatizzata dei certificati WiFi nelle sedi aziendali. Copre l'intero schema architetturale - dalla progettazione PKI e integrazione MDM alla sequenza obbligatoria di implementazione in tre passaggi - e mostra ai manager IT e agli architetti di rete come eliminare le credenziali condivise, automatizzare la gestione del ciclo di vita dei certificati e soddisfare i requisiti PCI DSS e GDPR su scala globale.

Leggi la guida →