Automazione della sicurezza WiFi aziendale: Guida alla distribuzione dei certificati SCEP

Questa guida tecnica spiega come automatizzare la sicurezza del WiFi aziendale utilizzando la distribuzione dei certificati SCEP. Fornisce un progetto architetturale dettagliato e i passaggi di implementazione per distribuire l'autenticazione 802.1X EAP-TLS nelle reti aziendali e guest.

📖 5 minuti di lettura📝 1,248 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti a questo briefing tecnico. Sono qui per guidarvi attraverso la nostra ultima guida: Automazione della sicurezza WiFi aziendale, con un focus specifico sulla distribuzione dei certificati SCEP. Se gestite reti per hotel, catene di negozi o spazi pubblici, sapete già che affidarsi a chiavi pre-condivise o a semplici Captive Portal per l'accesso del personale rappresenta una massiccia vulnerabilità di sicurezza. Oggi parliamo del gold standard: l'autenticazione 802.1X tramite EAP-TLS. 

Esaminiamo l'architettura. La sfida principale con EAP-TLS non è il protocollo in sé, ma la logistica per far arrivare certificati client univoci su migliaia di dispositivi, che si tratti di laptop Windows, iPad o tablet per i punti vendita. È qui che entrano in gioco le piattaforme di Mobile Device Management, o MDM, come Microsoft Intune o Jamf. Ma come si distribuiscono questi certificati in modo sicuro?

In genere si hanno due opzioni: PKCS o SCEP. Vorrei essere assolutamente chiaro su questo punto: per l'autenticazione WiFi, la scelta migliore è SCEP. Si tratta del Simple Certificate Enrollment Protocol. Ecco perché è importante. Con SCEP, l'MDM indica al dispositivo endpoint di generare localmente la propria chiave privata. Tale chiave rimane protetta nell'hardware sicuro del dispositivo. Non viaggia mai sulla rete. Il dispositivo invia semplicemente una Certificate Signing Request alla vostra Autorità di Certificazione tramite un gateway, solitamente un server NDES. 

A differenza di PKCS, in cui l'Autorità di Certificazione genera la chiave privata centralmente e la invia al dispositivo tramite la rete. Sebbene PKCS abbia una sua utilità, ad esempio per la crittografia delle e-mail in cui è richiesto il deposito delle chiavi, la trasmissione delle chiavi private sulla rete è un rischio che non è necessario correre per l'autenticazione di rete. Mantenete le chiavi sul dispositivo. Utilizzate SCEP.

Ora parliamo dell'implementazione. Se c'è una cosa da ricordare da questo briefing, è questa regola empirica: La fiducia prima dell'autenticazione. Non si può semplicemente inviare un profilo WiFi e aspettarsi che funzioni. C'è una sequenza di distribuzione rigorosa in tre passaggi da seguire.

Fase uno: distribuire il certificato Trusted Root. Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione emittente. Inviate prima questo profilo.

Fase due: configurare e inviare il profilo del certificato SCEP. Questo indica al dispositivo come comunicare con il gateway SCEP, quale formato utilizzare per il subject name e a cosa serve effettivamente il certificato, in questo caso l'autenticazione client. È necessario collegare questo profilo al Trusted Root distribuito nella fase uno.

Fase tre: distribuire il profilo WiFi 802.1X. Qui si collega il tutto. Si specifica l'SSID, si seleziona WPA3-Enterprise, si imposta il tipo di EAP su EAP-TLS e lo si indirizza al certificato SCEP per l'autenticazione client.

Ecco un errore comune che vediamo continuamente. Un cliente ci chiama e dice: "I certificati sono sul dispositivo, ma il profilo WiFi mostra un errore in Intune". Quasi sempre si tratta di una mancata corrispondenza nel targeting dei gruppi. Se si assegna il profilo SCEP a un gruppo 'Utenti', ma si assegna il profilo WiFi a un gruppo 'Dispositivi', l'MDM non può risolvere la dipendenza. Abbinate esattamente i vostri target in tutti e tre i profili.

Consideriamo uno scenario reale. Immaginate un hotel di 200 camere. Hanno 150 dispositivi iOS gestiti per il servizio di pulizia. Attualmente utilizzano una rete standard con password e il personale continua a condividere la password con gli ospiti. È un incubo. Migrando a WPA2-Enterprise con EAP-TLS tramite SCEP, il Direttore IT elimina completamente la password. I dispositivi iOS si autenticano silenziosamente in background utilizzando i loro certificati. 

Ma cosa succede se un addetto alle pulizie smarrisce un dispositivo o lascia l'azienda? Disabilitare il suo account Active Directory non è sufficiente, perché il certificato su quel dispositivo è ancora crittograficamente valido. Questo ci porta a un controllo di sicurezza fondamentale: un controllo rigoroso della CRL. È necessario configurare il server RADIUS per controllare la Certificate Revocation List. Se un dispositivo viene smarrito, si revoca il certificato presso la CA. Il server RADIUS rileva la revoca sulla CRL e blocca immediatamente l'accesso alla rete. Senza un controllo rigoroso della CRL, la vostra postura di sicurezza è incompleta.

Per concludere, il passaggio alla distribuzione automatizzata dei certificati SCEP offre un ROI enorme. Noterete una riduzione dal 70 all'80 percento dei ticket di assistenza relativi al WiFi, perché gli utenti non rimarranno bloccati o non digiteranno le password in modo errato. Cosa ancora più importante, eliminerete il rischio di furto delle credenziali, garantendo la conformità a framework come PCI DSS e GDPR. 

Automatizzare la sicurezza del WiFi aziendale non significa solo bloccare gli accessi; significa rendere il percorso sicuro il più semplice possibile per i vostri utenti. Grazie per l'ascolto e non dimenticate di consultare la guida scritta completa per tutti i dettagli di configurazione passo dopo passo.

Punti chiave

✓802.1X EAP-TLS è lo standard per il WiFi aziendale sicuro e richiede certificati client su tutti i dispositivi.
✓Le piattaforme MDM automatizzano la distribuzione dei certificati su scala utilizzando profili SCEP o PKCS.
✓SCEP è fortemente consigliato per l'autenticazione WiFi perché la chiave privata viene generata localmente e non lascia mai il dispositivo.
✓La distribuzione richiede una sequenza rigorosa: Trusted Root, poi Profilo SCEP, infine Profilo Wi-Fi.
✓Il targeting dei gruppi deve essere identico in tutti i profili correlati per evitare errori di dipendenza.
✓I server NDES devono essere pubblicati in modo sicuro tramite proxy applicativi per consentire il provisioning remoto dei certificati.
✓Il controllo rigoroso della CRL sul server RADIUS è obbligatorio per garantire che i certificati revocati non possano accedere alla rete.

执行摘要

对于酒店、零售和公共部门的企事业单位而言，依靠预共享密钥或基础 Captive Portal 进行网络访问会引入严重的安全漏洞。现代网络架构要求使用 EAP-TLS 进行 802.1X 认证，以确保每个设备在访问网络之前都经过密码学验证。对于 IT 经理和网络架构师来说，挑战在于如何高效地向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书。

本指南为使用简单证书注册协议 (SCEP) 进行自动化 WiFi 证书部署提供了权威的架构蓝图和分步实施策略。通过将您的移动设备管理 (MDM) 平台与 SCEP 网关和证书颁发机构 (CA) 集成，您可以将受信任的根证书和客户端证书静默推送到受管终端。我们将探讨 SCEP 与 PKCS 之间的关键区别，详细介绍成功部署所需的精确步骤顺序，并概述实际的风险缓解策略，以确保您的 WiFi 网络保持安全和高效。

收听配套播客简报：

技术深度解析：SCEP 架构与 EAP-TLS

在设计企业 WiFi 证书部署策略时，核心架构决策是如何安全地交付证书。该过程的行业标准是 SCEP。SCEP 自动执行证书注册过程，允许设备使用标准化协议安全地向证书颁发机构请求证书。

SCEP 相比 PKCS 的优势

虽然 Microsoft Intune 等平台同时支持 SCEP 和公钥加密标准 (PKCS)，但它们的运行机制根本不同。在 SCEP 工作流中，MDM 服务指示终端生成自己的私钥和公钥对。然后，设备创建证书签名请求 (CSR)，并通过网络设备注册服务 (NDES) 服务器将其发送到您的 CA。CA 对请求进行签名并将公钥证书返回给设备。

SCEP 的关键安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的安全隔离区中。这使得 SCEP 成为 802.1X 认证的强烈推荐方法。相反，使用 PKCS 时，CA 会集中生成两个密钥并通过网络传输。PKCS 更适合需要密钥托管的用例（例如 S/MIME 邮件加密），而不是网络认证。

802.1X 与 EAP-TLS 认证

IEEE 802.1X 标准为集中式网络访问管理提供了框架。它定义了如何在局域网 (EAPoL) 上传输可扩展身份验证协议 (EAP) 数据包，以便在客户端、接入点和认证服务器（通常是 RADIUS 服务器）之间进行认证。

EAP-TLS 是 802.1X 网络中最安全的认证协议。它需要双向认证：客户端验证 RADIUS 服务器的证书，RADIUS 服务器验证客户端的证书。这种严格的验证过程确保只有已注册设备上经过身份验证和授权的用户才能获得访问权限，从而保护网络免受双面恶魔 (Evil Twin) 攻击等威胁。

实施指南：部署顺序

成功配置 802.1X 的自动化证书部署需要严格遵守特定顺序。配置文件依赖关系决定了在配置认证之前必须先建立信任。无论您使用 Microsoft Intune、Jamf 还是其他 MDM 平台，这都适用。

步骤 1：部署受信任的根证书

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前，它必须信任颁发证书的证书颁发机构。

导出您的根 CA 证书和任何中间 CA 证书。
在您的 MDM 平台中，创建一个受信任的证书配置文件。
上传证书文件并将此配置文件部署到您的目标设备组。

步骤 2：配置 SCEP 证书配置文件

建立信任后，配置 SCEP 配置文件以指示设备如何获取其客户端证书。

创建一个新的 SCEP 证书配置配置文件。
配置使用者名称格式。对于用户驱动的认证，使用用户主体名称 (UPN)。对于设备认证，使用设备 ID。
将密钥用法设置为数字签名和密钥加密。
为增强型密钥用法指定客户端认证。
将此配置文件链接到步骤 1 中创建的受信任根证书配置文件。
提供您的 SCEP 网关或 NDES 服务器的外部 URL。

步骤 3：部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。

创建一个 WiFi 配置配置文件。
输入与您的接入点广播完全一致的 SSID。
选择 WPA2-Enterprise 或 WPA3-Enterprise 作为安全类型。
将 EAP 类型设置为 EAP-TLS。
选择步骤 2 中创建的 SCEP 证书配置文件进行客户端认证。
指定用于服务器验证的受信任根证书，以确保设备仅连接到您合法的 RADIUS 服务器。

企业环境最佳实践

在实施 SCEP 证书部署时，请遵循以下与厂商无关的最佳实践，以确保合规性和可靠性。

保护 SCEP 网关安全

SCEP 网关或 NDES 服务器必须能够从互联网访问，以便远程设备在到达现场之前能够配置证书。然而，将内部服务器直接暴露给互联网会带来重大的安全风险。请使用应用代理发布该 URL。这可以在不打开入站防火墙端口的情况下提供安全的远程访问，并允许您对注册流程应用条件访问策略。

强制执行严格的 CRL 检查

证书部署只是安全方程式的一半，吊销同样至关重要。如果员工离职，禁用其目录帐户可能无法立即撤销其 WiFi 访问权限（如果其客户端证书仍然有效）。请配置您的 RADIUS 服务器以强制执行严格的证书吊销列表 (CRL) 检查。确保您的 CRL 分发点高度可用；如果 RADIUS 服务器无法访问 CRL，身份验证将失败，从而导致大范围的服务中断。

硬件集成

确保您的网络基础设施支持所需的协议。Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件无缝集成。配置这些系统以将身份验证请求转发到您的集中式 RADIUS 基础设施。

故障排除与风险缓解

即使经过精心规划，证书部署也可能会遇到问题。以下是常见的失败模式和缓解策略。

依赖关系失败

一个常见问题是设备接收到了受信任的根证书和 SCEP 证书，但 WiFi 配置文件应用失败。这几乎总是由于 MDM 内的组目标不匹配引起的。如果 SCEP 配置文件分配给用户组，而 WiFi 配置文件分配给设备组，则 MDM 无法解析该依赖关系。请审核您的分配，并确保所有相关配置文件都部署到完全相同的目录组。

注册错误

如果设备无法检索 SCEP 证书且网关日志显示 HTTP 403 错误，则服务帐户可能在证书模板上缺乏必要的权限，或者防火墙上的 URL 过滤阻止了 SCEP 使用的特定查询字符串参数。请验证连接器帐户在 CA 模板上是否具有读取和注册权限，并检查防火墙日志以确保 SCEP URL 未被阻止。

投资回报率与业务影响

过渡到自动化的 802.1X 证书部署可在安全和运营方面带来可衡量的回报。

基于密码的 WiFi 由于密码过期、锁定和拼写错误，会产生大量的支持工单。基于证书的身份验证对用户是无感的，通常可减少 70% 至 80% 与 WiFi 相关的服务台工单量。

此外，EAP-TLS 消除了凭据窃取和中间人攻击的风险。这对于符合 PCI DSS 和 GDPR 等框架至关重要。对于多分支机构的零售业务或大型连锁酒店，自动化此流程可确保从第一天起就获得统一、零接触的配置体验，在保障网络边界安全的同时，显著降低运营开销。

Definizioni chiave

SCEP

Simple Certificate Enrollment Protocol. Un protocollo che automatizza il processo di richiesta e installazione di certificati digitali sui dispositivi, in cui la chiave privata viene generata localmente.

Il metodo consigliato per distribuire i certificati di autenticazione WiFi su scala tramite piattaforme MDM.

PKCS

Public Key Cryptography Standards. Un metodo di distribuzione in cui l'Autorità di Certificazione genera sia la chiave pubblica che quella privata e le trasmette all'endpoint.

Spesso utilizzato per la crittografia della posta elettronica S/MIME ma meno ideale per il WiFi a causa della trasmissione in rete della chiave privata.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

La base obbligatoria per la sicurezza del WiFi aziendale, che sostituisce le vulnerabili chiavi pre-condivise.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un protocollo di autenticazione che richiede sia al client che al server di presentare certificati digitali validi.

Considerato il metodo di autenticazione più sicuro per le reti 802.1X, elimina le vulnerabilità basate su password.

NDES

Network Device Enrollment Service. Un ruolo server che funge da gateway, consentendo ai dispositivi senza credenziali di dominio di ottenere certificati tramite SCEP.

Un componente infrastrutturale richiesto quando si implementa la distribuzione dei certificati SCEP con Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità.

Il server che convalida i certificati client rispetto alla directory e concede l'accesso alla rete.

CRL

Certificate Revocation List. Un elenco pubblicato dall'Autorità di Certificazione contenente i numeri di serie dei certificati che sono stati revocati.

I server RADIUS devono controllare la CRL per garantire che un certificato presentato sia ancora valido e non sia stato compromesso.

CSR

Certificate Signing Request. Un blocco di testo codificato fornito a un'Autorità di Certificazione quando si richiede un certificato SSL/TLS.

Generato dal dispositivo durante il processo di registrazione SCEP per richiedere un certificato firmato.

Esempi pratici

Un hotel di 200 camere deve distribuire un WiFi sicuro per il personale a 150 dispositivi iOS gestiti, utilizzati dal servizio di pulizia e manutenzione. Attualmente utilizzano una rete WPA2-PSK, ma il personale continua a condividere la password con gli ospiti. In che modo il Direttore IT dovrebbe implementare una soluzione sicura e automatizzata?

Il Direttore IT dovrebbe migrare il WiFi del personale a WPA2-Enterprise utilizzando l'autenticazione 802.1X EAP-TLS. Deve configurare il proprio MDM (ad es. Jamf) per inviare un payload SCEP ai dispositivi iOS. La sequenza di distribuzione è: 1) Inviare il certificato Root CA in modo che i dispositivi considerino attendibile la rete. 2) Inviare il profilo SCEP, indicando ai dispositivi di richiedere un certificato client alla CA tramite il gateway SCEP. 3) Inviare il profilo WiFi configurato per WPA2-Enterprise ed EAP-TLS, collegandolo al certificato SCEP. Gli access point di rete (ad es. HPE Aruba) sono configurati per autenticare i client tramite un server RADIUS centrale. All'arrivo del personale, i loro dispositivi si autenticano automaticamente utilizzando il certificato, senza richiedere alcuna password.

Commento dell'esaminatore: Questo approccio elimina completamente la vulnerabilità della password condivisa. Utilizzando SCEP ed EAP-TLS, l'hotel garantisce che solo i dispositivi gestiti e autorizzati possano accedere al WiFi del personale. Le chiavi private rimangono protette sui dispositivi iOS e, in caso di smarrimento di un dispositivo o di dimissioni di un dipendente, il certificato può essere revocato centralmente tramite la CRL, interrompendo immediatamente l'accesso alla rete.

Una catena di negozi al dettaglio sta implementando nuovi tablet per i punti vendita (POS) in 50 sedi. Per conformarsi ai requisiti PCI DSS, i tablet devono connettersi a una rete wireless sicura. L'architetto di rete prevede di utilizzare Microsoft Intune per la distribuzione. Quali scelte architetturali garantiscono conformità e sicurezza?

Per soddisfare i requisiti PCI DSS relativi a crittografia e autenticazione forti, l'architetto deve distribuire 802.1X EAP-TLS. Utilizzando Microsoft Intune, deve selezionare SCEP rispetto a PKCS per la distribuzione dei certificati. Ciò garantisce che la chiave privata venga generata sul TPM del tablet POS e mai trasmessa sulla rete. Deve configurare un server NDES pubblicato in modo sicuro tramite Azure AD Application Proxy. Infine, deve configurare il server RADIUS per imporre un controllo rigoroso della CRL, garantendo che, in caso di compromissione di un tablet POS, il suo certificato possa essere revocato e l'accesso alla rete bloccato immediatamente.

Commento dell'esaminatore: La scelta di SCEP rispetto a PKCS è la decisione fondamentale in questo caso per la conformità PCI DSS, poiché impedisce la trasmissione della chiave privata. La pubblicazione del server NDES tramite un proxy applicativo protegge l'infrastruttura di registrazione. Il controllo rigoroso della CRL è obbligatorio; senza di esso, un certificato revocato potrebbe comunque consentire a un dispositivo compromesso di accedere alla rete di pagamento.

Domande di esercitazione

Q1. Stai distribuendo una nuova rete WiFi 802.1X per un campus aziendale utilizzando Microsoft Intune. Hai configurato il profilo Trusted Root, il profilo SCEP e il profilo WiFi. Tuttavia, durante i test, i dispositivi ricevono i certificati ma il profilo WiFi mostra lo stato 'Errore' nella console di Intune. Qual è la causa più probabile?

Suggerimento: Considera come l'MDM risolve le dipendenze tra i profili.

Visualizza risposta modello

La causa più probabile è una mancata corrispondenza nel targeting dei gruppi. Intune richiede che i profili dipendenti siano assegnati esattamente allo stesso gruppo Azure AD. Se il profilo SCEP è assegnato a un gruppo di Utenti e il profilo WiFi è assegnato a un gruppo di Dispositivi, Intune non può risolvere la dipendenza, generando un errore.

Q2. Un'organizzazione di vendita al dettaglio desidera automatizzare la distribuzione dei certificati per i tablet dei direttori di negozio. Sono indecisi se utilizzare SCEP o PKCS. La sicurezza è la loro principale preoccupazione, in particolare la protezione delle chiavi private. Quale protocollo dovrebbero scegliere e perché?

Suggerimento: Pensa a dove viene generata la chiave privata in ciascun protocollo.

Visualizza risposta modello

Dovrebbero scegliere SCEP. In un flusso di lavoro SCEP, la chiave privata viene generata localmente sul tablet e memorizzata nella sua enclave sicura; non lascia mai il dispositivo. Con PKCS, l'Autorità di Certificazione genera la chiave privata e la trasmette in rete al dispositivo, introducendo una potenziale vulnerabilità di sicurezza.

Q3. Un dipendente lascia l'azienda e il suo account Active Directory viene disabilitato. Tuttavia, il team IT nota che il dispositivo del dipendente è ancora connesso alla rete WiFi aziendale. La rete utilizza l'autenticazione EAP-TLS. Quale configurazione manca sul server RADIUS?

Suggerimento: La disattivazione di un account non invalida automaticamente un certificato emesso in precedenza.

Visualizza risposta modello

Sul server RADIUS manca il controllo rigoroso della Certificate Revocation List (CRL). Anche se l'account di directory è disabilitato, il certificato client rimane crittograficamente valido fino alla sua scadenza o finché non viene esplicitamente revocato. Il server RADIUS deve essere configurato per controllare la CRL per garantire che ai certificati revocati venga negato l'accesso alla rete.

Continua a leggere questa serie

Come segregare in sicurezza le reti WiFi del personale e degli ospiti

Questa guida tecnica autorevole fornisce ai leader IT strategie pratiche per segregare in sicurezza le reti WiFi del personale, degli ospiti e dei dispositivi IoT utilizzando VLAN e 802.1X. Descrive dettagliatamente come proteggere l'infrastruttura aziendale, mantenere la conformità PCI DSS e sfruttare i captive portal per raccogliere dati di prima parte.

Il miglior filtro DNS: una guida completa per le aziende

Questa guida tecnica di riferimento spiega in che modo il filtraggio DNS aziendale protegge le reti pubbliche bloccando i domini dannosi a livello di risoluzione - prima ancora che venga stabilita una connessione. Fornisce ai direttori IT, agli architetti di rete e ai team operativi delle sedi l'architettura di implementazione, la configurazione del firewall e il contesto di conformità necessari per proteggere il WiFi per gli ospiti in ambienti alberghieri, retail e del settore pubblico. Purple Shield blocca malware, botnet e contenuti inappropriati a livello DNS in oltre 80.000 sedi attive.

Comprensione di Cisco SUDI: Identità ancorata all'hardware nel controllo degli accessi di rete sicuro

Questa guida spiega come Cisco SUDI fornisca un'identità crittograficamente sicura e ancorata all'hardware per l'infrastruttura di rete aziendale. Scopri come sostituire gli indirizzi MAC facilmente falsificabili con certificati 802.1AR immutabili per proteggere il controllo degli accessi alla rete della tua struttura.