Automating Enterprise WiFi Security: The SCEP Certificate Deployment Guide
Questa guida tecnica spiega come automatizzare la sicurezza WiFi aziendale utilizzando la distribuzione dei certificati SCEP. Fornisce un progetto architetturale dettagliato e i passaggi di implementazione per implementare l'autenticazione 802.1X EAP-TLS nelle reti aziendali e guest.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Approfondimento Tecnico: Architettura SCEP ed EAP-TLS
- I Vantaggi dello SCEP rispetto a PKCS
- Autenticazione 802.1X ed EAP-TLS
- Guida all'Implementazione: La Sequenza di Distribuzione
- Passaggio 1: Distribuire il Certificato Root Attendibile
- Passaggio 2: Configurare il Profilo del Certificato SCEP
- Passaggio 3: Distribuire il Profilo WiFi 802.1X
- Best practice per ambienti enterprise
- Proteggere il gateway SCEP
- Imporre un controllo rigoroso delle CRL
- Integrazione hardware
- Risoluzione dei problemi e mitigazione dei rischi
- Errori di dipendenza
- Errori di registrazione
- ROI e impatto aziendale

Sintesi Esecutiva
Per le aziende del settore alberghiero, retail e pubblico, affidarsi a chiavi pre-condivise o a un captive portal di base per l'accesso alla rete introduce gravi vulnerabilità di sicurezza. La moderna architettura di rete richiede l'autenticazione 802.1X tramite EAP-TLS, garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete. Per i manager IT e gli architetti di rete, la sfida risiede nel distribuire in modo efficiente certificati client univoci a migliaia di dispositivi Windows, iOS e Android.
Questa guida fornisce il modello architetturale definitivo e la strategia di implementazione passo dopo passo per la distribuzione automatizzata dei certificati WiFi tramite il protocollo SCEP (Simple Certificate Enrolment Protocol). Integrando la tua piattaforma di Mobile Device Management (MDM) con un gateway SCEP e un'Autorità di Certificazione (CA), puoi inviare silenziosamente certificati root e client attendibili agli endpoint gestiti. Esaminiamo le differenze fondamentali tra SCEP e PKCS, dettagliamo la sequenza precisa di passaggi necessari per una distribuzione di successo e delineiamo strategie pratiche di mitigazione del rischio per mantenere la tua rete WiFi sicura e performante.
Ascolta il podcast informativo di accompagnamento:
Approfondimento Tecnico: Architettura SCEP ed EAP-TLS
Nella progettazione di una strategia di distribuzione dei certificati WiFi aziendali, la decisione architetturale fondamentale riguarda la modalità di consegna sicura dei certificati. Lo standard di settore per questo processo è lo SCEP. Lo SCEP automatizza il processo di registrazione dei certificati, consentendo ai dispositivi di richiedere in modo sicuro i certificati a un'Autorità di Certificazione utilizzando un protocollo standardizzato.
I Vantaggi dello SCEP rispetto a PKCS
Sebbene le piattaforme come Microsoft Intune supportino sia SCEP sia i Public Key Cryptography Standards (PKCS), i loro meccanismi di funzionamento sono fondamentalmente diversi. Nel flusso di lavoro SCEP, il servizio MDM indica all'endpoint di generare la propria coppia di chiavi privata e pubblica. Il dispositivo crea quindi una Certificate Signing Request (CSR) e la invia alla CA tramite un server Network Device Enrolment Service (NDES). La CA firma la richiesta e restituisce il certificato della chiave pubblica al dispositivo.
Il principale vantaggio di sicurezza di SCEP è che la chiave privata non lascia mai il dispositivo. Viene generata localmente e memorizzata nell'enclave sicura del dispositivo. Questo rende SCEP il metodo fortemente raccomandato per l'autenticazione 802.1X. Al contrario, con PKCS la CA genera entrambe le chiavi a livello centrale e le trasmette attraverso la rete. PKCS è più adatto a casi d'uso che richiedono il deposito delle chiavi (come la crittografia delle e-mail S/MIME) piuttosto che l'autenticazione di rete.

Autenticazione 802.1X ed EAP-TLS
Lo standard IEEE 802.1X fornisce il framework per la gestione centralizzata dell'accesso alla rete. Definisce come i pacchetti Extensible Authentication Protocol (EAP) vengono trasportati sulla LAN (EAPoL) per consentire l'autenticazione tra il client, l'access point e il server di autenticazione - in genere un server RADIUS.
EAP-TLS è il protocollo di autenticazione più sicuro per le reti 802.1X. Richiede un'autenticazione reciproca: il client convalida il certificato del server RADIUS e il server RADIUS convalida il certificato del client. Questo rigoroso processo di convalida garantisce che solo gli utenti autenticati e autorizzati sui dispositivi registrati possano accedere, proteggendo la rete da minacce come gli attacchi Evil Twin.
Guida all'Implementazione: La Sequenza di Distribuzione
La corretta configurazione della distribuzione automatizzata dei certificati per lo standard 802.1X richiede il rispetto rigoroso di una sequenza specifica. Le dipendenze del profilo impongono che la relazione di attendibilità venga stabilita prima della configurazione dell'autenticazione. Questo vale sia che si utilizzi Microsoft Intune, Jamf o un'altra piattaforma MDM.
Passaggio 1: Distribuire il Certificato Root Attendibile
Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione che emette i certificati.
- Esporta il tuo certificato CA root e gli eventuali certificati CA intermedi.
- Nella tua piattaforma MDM, crea un profilo di certificato attendibile.
- Carica i file del certificato e distribuisci questo profilo ai gruppi di dispositivi di destinazione.
Passaggio 2: Configurare il Profilo del Certificato SCEP
Una volta stabilita la relazione di attendibilità, configura il profilo SCEP per indicare ai dispositivi come ottenere i propri certificati client.
- Crea un nuovo profilo di configurazione del certificato SCEP.
- Configura il formato del nome del soggetto. Per l'autenticazione basata sull'utente, utilizza lo User Principal Name (UPN). Per l'autenticazione del dispositivo, utilizza l'ID del dispositivo.
- Imposta l'uso della chiave su firma digitale e crittografia della chiave.
- Specifica l'autenticazione client per l'utilizzo esteso della chiave.
- Collega questo profilo al profilo del certificato root attendibile creato al Passaggio 1.
- Fornisci l'URL esterno del tuo gateway SCEP o server NDES.
Passaggio 3: Distribuire il Profilo WiFi 802.1X
Il passaggio finale consiste nell'invio della configurazione WiFi che associa il certificato al SSID della rete.
- Creare un profilo di configurazione WiFi.
- Inserire l'SSID esattamente come viene trasmesso dai punti di accesso.
- Selezionare WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza.
- Impostare il tipo di EAP su EAP-TLS.
- Selezionare il profilo del certificato SCEP creato nel Passaggio 2 per l'autenticazione del client.
- Specificare il certificato root attendibile per la convalida del server, garantendo che i dispositivi si connettano solo al server RADIUS legittimo.

Best practice per ambienti enterprise
Quando si implementa la distribuzione dei certificati SCEP, seguire queste best practice indipendenti dal fornitore per garantire conformità e affidabilità.
Proteggere il gateway SCEP
Il gateway SCEP o il server NDES deve essere raggiungibile da internet in modo che i dispositivi remoti possano configurare i certificati prima di arrivare in sede. Tuttavia, esporre direttamente un server interno a internet comporta un rischio di sicurezza significativo. Pubblicare l'URL utilizzando un proxy applicativo. Questo fornisce un accesso remoto sicuro senza aprire porte in entrata sul firewall e consente di applicare criteri di accesso condizionale al flusso di registrazione.
Imporre un controllo rigoroso delle CRL
La distribuzione dei certificati è solo metà dell'equazione di sicurezza; la revoca è altrettanto fondamentale. Se un dipendente lascia l'azienda, disabilitare il suo account di directory potrebbe non revocare immediatamente il suo accesso WiFi se il suo certificato client rimane valido. Configurare il server RADIUS per imporre un controllo rigoroso della Certificate Revocation List (CRL). Assicurarsi che i punti di distribuzione delle CRL siano altamente disponibili; se il server RADIUS non può raggiungere la CRL, l'autenticazione fallirà, causando un'interruzione diffusa del servizio.
Integrazione hardware
Assicurarsi che l'infrastruttura di rete supporti i protocolli richiesti. Purple si integra perfettamente con hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Configurare questi sistemi per inoltrare le richieste di autenticazione alla propria infrastruttura RADIUS centralizzata.
Risoluzione dei problemi e mitigazione dei rischi
Anche con una pianificazione attenta, la distribuzione dei certificati può riscontrare problemi. Di seguito sono riportati i casi di errore più comuni e le relative strategie di mitigazione.
Errori di dipendenza
Un problema comune è che un dispositivo riceve la root attendibile e i certificati SCEP, ma l'applicazione del profilo WiFi non va a buon fine. Questo è quasi sempre causato da una mancata corrispondenza del target di gruppo all'interno dell'MDM. Se il profilo SCEP è assegnato a un gruppo di utenti mentre il profilo WiFi è assegnato a un gruppo di dispositivi, l'MDM non può risolvere la dipendenza. Verificare le assegnazioni e assicurarsi che tutti i profili correlati siano distribuiti esattamente agli stessi gruppi di directory.
Errori di registrazione
Se i dispositivi non riescono a recuperare i certificati SCEP e i log del gateway mostrano errori HTTP 403, il service account potrebbe non disporre delle autorizzazioni necessarie sul modello di certificato, oppure il filtraggio URL sul firewall potrebbe bloccare i parametri specifici della query string utilizzati da SCEP. Verificare che l'account del connettore disponga delle autorizzazioni di lettura e registrazione sul modello della CA e controllare i log del firewall per assicurarsi che l'URL SCEP non sia bloccato.
ROI e impatto aziendale
Il passaggio alla distribuzione automatizzata dei certificati 802.1X offre ritorni misurabili sia in termini di sicurezza che di operazioni.
Il WiFi basato su password genera un volume elevato di ticket di supporto a causa di password scadute, blocchi e refusi di digitazione. L'autenticazione basata su certificati è invisibile per l'utente e in genere riduce il volume dei ticket dell'helpdesk relativi al WiFi del 70% - 80%.
Inoltre, l'EAP-TLS elimina il rischio di furto di credenziali e attacchi man-in-the-middle. Questo è essenziale per la conformità con framework come PCI-DSS e GDPR. Per le operazioni di vendita al dettaglio multi-sito o le grandi catene alberghiere, l'automazione di questo processo garantisce un'esperienza di provisioning zero-touch coerente fin dal primo giorno, proteggendo il perimetro della rete e riducendo significativamente i costi operativi.
Definizioni chiave
SCEP
Simple Certificate Enrolment Protocol. Un protocollo che automatizza il processo di richiesta e installazione di certificati digitali sui dispositivi, in cui la chiave privata viene generata localmente.
Il metodo consigliato per distribuire i certificati di autenticazione WiFi su scala tramite piattaforme MDM.
PKCS
Public Key Cryptography Standards. Un metodo di distribuzione in cui l'Autorità di Certificazione genera sia la chiave pubblica che quella privata e le trasmette all'endpoint.
Spesso utilizzato per la crittografia della posta elettronica S/MIME ma meno ideale per il WiFi a causa della trasmissione in rete della chiave privata.
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.
La base obbligatoria per la sicurezza del WiFi aziendale, che sostituisce le vulnerabili chiavi precondivise.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Un protocollo di autenticazione che richiede sia al client sia al server di presentare certificati digitali validi.
Considerato il metodo di autenticazione più sicuro per le reti 802.1X, in quanto elimina le vulnerabilità basate sulle password.
NDES
Network Device Enrolment Service. Un ruolo server che funge da gateway, consentendo ai dispositivi privi di credenziali di dominio di ottenere certificati tramite SCEP.
Un componente infrastrutturale richiesto quando si implementa la distribuzione dei certificati SCEP con Microsoft Intune.
RADIUS
Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce gestione centralizzata di autenticazione, autorizzazione e contabilità.
Il server che convalida i certificati client rispetto alla directory e concede l'accesso alla rete.
CRL
Certificate Revocation List. Un elenco pubblicato dall'Autorità di Certificazione contenente i numeri di serie dei certificati che sono stati revocati.
I server RADIUS devono controllare la CRL per garantire che un certificato presentato sia ancora valido e non sia stato compromesso.
CSR
Certificate Signing Request. Un blocco di testo codificato fornito a un'Autorità di Certificazione quando si richiede un certificato SSL/TLS.
Generato dal dispositivo durante il processo di registrazione SCEP per richiedere un certificato firmato.
Esempi pratici
Un hotel di 200 camere deve distribuire una rete WiFi Staff sicura a 150 dispositivi iOS gestiti e utilizzati dal personale di pulizia e manutenzione. Attualmente utilizzano una rete WPA2-PSK, ma il personale continua a condividere la password con gli ospiti. In che modo il Direttore IT dovrebbe implementare una soluzione sicura e automatizzata?
Il Direttore IT dovrebbe migrare la rete WiFi Staff a WPA2-Enterprise utilizzando l'autenticazione 802.1X EAP-TLS. Deve configurare il proprio MDM (ad esempio, Jamf) per inviare un payload SCEP ai dispositivi iOS. La sequenza di distribuzione è: 1) Inviare il certificato Root CA in modo che i dispositivi si fidinino della rete. 2) Inviare il profilo SCEP, istruendo i dispositivi a richiedere un certificato client alla CA tramite il gateway SCEP. 3) Inviare il profilo WiFi configurato per WPA2-Enterprise ed EAP-TLS, collegandolo al certificato SCEP. I punti di accesso della rete (ad esempio, HPE Aruba) sono configurati per autenticare i client rispetto a un server RADIUS centrale. Quando il personale arriva, i loro dispositivi si autenticano automaticamente utilizzando il certificato, senza richiedere alcuna password.
Una catena di negozi al dettaglio sta implementando nuovi tablet per punti vendita (POS) in 50 sedi. Per conformarsi ai requisiti PCI-DSS, i tablet devono connettersi a una rete wireless sicura. L'architetto di rete prevede di utilizzare Microsoft Intune per la distribuzione. Quali scelte architetturali garantiscono la conformità e la sicurezza?
Per soddisfare i requisiti PCI-DSS relativi a crittografia e autenticazione forti, l'architetto deve implementare 802.1X EAP-TLS. Utilizzando Microsoft Intune, deve selezionare SCEP rispetto a PKCS per la distribuzione dei certificati. Ciò garantisce che la chiave privata venga generata sul TPM del tablet POS e non venga mai trasmessa sulla rete. Deve configurare un server NDES pubblicato in modo sicuro tramite Azure AD Application Proxy. Infine, deve configurare il server RADIUS per imporre un controllo rigoroso della CRL, garantendo che, in caso di compromissione di un tablet POS, il suo certificato possa essere revocato e l'accesso alla rete bloccato immediatamente.
Domande di esercitazione
Q1. Stai distribuendo una nuova rete WiFi 802.1X per un campus aziendale utilizzando Microsoft Intune. Hai configurato il profilo Trusted Root, il profilo SCEP e il profilo WiFi. Tuttavia, durante i test, i dispositivi ricevono i certificati ma il profilo WiFi mostra lo stato "Errore" nella console Intune. Qual è la causa più probabile?
Suggerimento: Considera come l'MDM risolve le dipendenze tra i profili.
Visualizza risposta modello
La causa più probabile è una mancata corrispondenza nel target dei gruppi. Intune richiede che i profili dipendenti siano assegnati esattamente allo stesso gruppo Azure AD. Se il profilo SCEP è assegnato a un gruppo Utenti e il profilo WiFi è assegnato a un gruppo Dispositivi, Intune non può risolvere la dipendenza, generando un errore.
Q2. Un'azienda di vendita al dettaglio desidera automatizzare la distribuzione dei certificati per i tablet dei direttori di negozio. È indecisa tra l'uso di SCEP o PKCS. La sicurezza è la loro priorità assoluta, in particolare la protezione delle chiavi private. Quale protocollo dovrebbero scegliere e perché?
Suggerimento: Pensa a dove viene generata la chiave privata in ciascun protocollo.
Visualizza risposta modello
Dovrebbero scegliere SCEP. In un flusso di lavoro SCEP, la chiave privata viene generata localmente sul tablet e memorizzata nella sua enclave sicura; non lascia mai il dispositivo. Con PKCS, l'Autorità di Certificazione genera la chiave privata e la trasmette al dispositivo tramite la rete, introducendo una potenziale vulnerabilità di sicurezza.
Q3. Un dipendente lascia l'azienda e il suo account Active Directory viene disabilitato. Tuttavia, il team IT nota che il dispositivo del dipendente è ancora connesso alla rete WiFi aziendale. La rete utilizza l'autenticazione EAP-TLS. Quale configurazione manca sul server RADIUS?
Suggerimento: La disattivazione di un account non invalida automaticamente un certificato emesso in precedenza.
Visualizza risposta modello
Sul server RADIUS manca il controllo rigoroso della Certificate Revocation List (CRL). Anche se l'account di directory è disabilitato, il certificato client rimane crittograficamente valido fino alla scadenza o alla revoca esplicita. Il server RADIUS deve essere configurato per controllare la CRL per garantire che ai certificati revocati venga negato l'accesso alla rete.
Continua a leggere questa serie
Come segregare in sicurezza le reti WiFi del personale e degli ospiti
Questa guida tecnica autorevole fornisce ai leader IT strategie pratiche per segregare in sicurezza le reti WiFi del personale, degli ospiti e dei dispositivi IoT utilizzando VLAN e 802.1X. Descrive dettagliatamente come proteggere l'infrastruttura aziendale, mantenere la conformità PCI DSS e sfruttare i captive portal per raccogliere dati di prima parte.
Il miglior filtro DNS: una guida completa per le aziende
Questa guida tecnica di riferimento spiega in che modo il filtraggio DNS aziendale protegge le reti pubbliche bloccando i domini dannosi a livello di risoluzione - prima ancora che venga stabilita una connessione. Fornisce ai direttori IT, agli architetti di rete e ai team operativi delle sedi l'architettura di implementazione, la configurazione del firewall e il contesto di conformità necessari per proteggere il WiFi per gli ospiti in ambienti alberghieri, retail e del settore pubblico. Purple Shield blocca malware, botnet e contenuti inappropriati a livello DNS in oltre 80.000 sedi attive.
Comprensione di Cisco SUDI: Identità ancorata all'hardware nel controllo degli accessi di rete sicuro
Questa guida spiega come Cisco SUDI fornisca un'identità crittograficamente sicura e ancorata all'hardware per l'infrastruttura di rete aziendale. Scopri come sostituire gli indirizzi MAC facilmente falsificabili con certificati 802.1AR immutabili per proteggere il controllo degli accessi alla rete della tua struttura.