Vai al contenuto principale
Italiano

Come configurare il WiFi Enterprise su iOS e macOS con 802.1X

Questa guida autorevole offre ai leader IT senior passaggi pratici per l'implementazione del WiFi enterprise 802.1X sui dispositivi iOS e macOS. Copre l'autenticazione basata su certificati (EAP-TLS), i profili di configurazione MDM e l'integrazione dell'architettura per proteggere le reti aziendali supportando al contempo le iniziative BYOD.

📖 4 minuti di lettura📝 920 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

header_image.png

Executive Summary

Per i CTO e i network architect che gestiscono strutture su larga scala—dall' Hospitality e dal Retail ai nodi di Transport —la sicurezza dell'edge wireless aziendale è fondamentale. Affidarsi a chiavi precondivise (PSK) o a Captive Portal legacy per l'accesso dei dipendenti e dei dispositivi aziendali espone la rete al furto di credenziali e a violazioni di conformità.

Questo riferimento tecnico descrive in dettaglio l'implementazione di 802.1X tramite EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) per dispositivi Apple (iOS e macOS). Imponendo l'autenticazione basata su certificati, le organizzazioni eliminano le vulnerabilità legate alle password, snelliscono l'onboarding dei dispositivi tramite piattaforme di Mobile Device Management (MDM) come Jamf e Intune e garantiscono una solida segregazione di rete. Mentre le soluzioni di Guest WiFi gestiscono l'accesso pubblico e l'acquisizione dei dati, un deployment 802.1X correttamente progettato protegge le risorse interne, garantendo la conformità ai mandati PCI DSS e GDPR.

Ascolta il nostro podcast di briefing tecnico di 10 minuti qui sotto per una panoramica rapida dell'architettura e degli errori comuni.

how_to_set_up_enterprise_wifi_on_ios_and_macos_with_802_1x_podcast.wav

Technical Deep-Dive

L'Architettura 802.1X

Lo standard IEEE 802.1X definisce il Network Access Control basato su porta (PNAC). In un contesto wireless, impedisce a un client (il supplicant) di far transitare il traffico attraverso l'Access Point (l'authenticator) finché il server RADIUS (l'authentication server) non ne verifica l'identità.

architecture_overview.png

In caso di deployment per ecosistemi Apple, EAP-TLS rappresenta lo standard di settore. A differenza di PEAP o TTLS, che si basano su credenziali utente potenzialmente vulnerabili, EAP-TLS richiede che sia il server RADIUS sia il dispositivo client presentino certificati digitali. Questo processo di autenticazione reciproca garantisce che il dispositivo sia autorizzato e che la rete a cui si connette sia legittima, sventando gli attacchi da AP malevoli.

I Profili di Configurazione Apple

I dispositivi Apple non supportano nativamente la registrazione automatica dei certificati senza una gestione esterna. Per distribuire EAP-TLS su scala, i team IT devono utilizzare i Profili di Configurazione (file .mobileconfig). Questi file XML contengono payload specifici:

  1. WiFi Payload: Definisce l'SSID, il tipo di sicurezza (WPA3-Enterprise) e i tipi EAP supportati.
  2. Certificate Payloads: Fornisce la Root CA e le eventuali CA intermedie necessarie per considerare attendibile il server RADIUS.
  3. Payload SCEP/ACME: Configura il protocollo utilizzato per richiedere un certificato client unico alla Certificate Authority (CA).

Per ulteriori approfondimenti sulla sicurezza della tua infrastruttura AP, consulta la nostra guida su Access Point Security: Your 2026 Enterprise Guide .

Guida all'implementazione

Passaggio 1: Preparazione di PKI e RADIUS

Prima di configurare un MDM, la Public Key Infrastructure (PKI) e i server RADIUS (ad es. Cisco ISE, Aruba ClearPass o FreeRADIUS) devono essere configurati per emettere e convalidare i certificati. Assicurati che il certificato del tuo server RADIUS sia firmato da una CA interna affidabile o da una CA pubblica e che il SAN (Subject Alternative Name) corrisponda al FQDN del server.

Passaggio 2: Configurazione del Payload MDM (Jamf / Intune)

La distribuzione tramite MDM è obbligatoria per implementazioni aziendali scalabili.

mdm_deployment_comparison.png

Creazione del Profilo:

  • Impostazioni di attendibilità: Questo passaggio è fondamentale. Nel payload WiFi, devi selezionare esplicitamente il certificato della Root CA (distribuito in un payload separato all'interno dello stesso profilo) come ancora attendibile per il server RADIUS. Inoltre, specifica l'esatto Common Name (CN) o SAN del server RADIUS nel campo "Trusted Server Certificate Names". In caso contrario, iOS/macOS chiederà all'utente di considerare attendibile manualmente il certificato, interrompendo il modello di distribuzione zero-touch.
  • Certificato di identità: Collega il payload WiFi al payload SCEP o ACME in modo che il dispositivo sappia quale certificato presentare durante l'handshake EAP-TLS.

Passaggio 3: Segregazione della rete

I dispositivi aziendali che eseguono l'autenticazione tramite 802.1X devono essere posizionati su una VLAN dedicata, completamente isolata dalle reti di accesso pubblico. Per le location che utilizzano la piattaforma di WiFi Analytics di Purple, gli SSID ospiti funzionano in parallelo, garantendo che il traffico aziendale e i dati analitici degli ospiti non si incrocino mai.

Per ambienti con flotte di dispositivi miste, potrebbe essere necessario consultare anche How to Set Up Enterprise WiFi on Android Devices with EAP-TLS .

Best Practice

  • Imponi WPA3-Enterprise: Imponi WPA3 per tutte le nuove distribuzioni per sfruttare una crittografia a 192 bit. Garantisci la compatibilità con i dispositivi legacy solo se strettamente necessario per le attività aziendali.
  • Automatizza il rinnovo del certificato: Configura i payload SCEP per rinnovare automaticamente i certificati client almeno 14 giorni prima della scadenza.
  • Disabilita la randomizzazione MAC: Per gli SSID aziendali distribuiti tramite MDM, disabilita l'opzione "Indirizzo Wi-Fi privato" (iOS) per garantire un monitoraggio coerente e l'applicazione delle policy all'interno dei tuoi strumenti di gestione della rete.
  • Sfrutta la Sicurezza DNS: Combina l'802.1X con un filtraggio DNS robusto per impedire ai dispositivi aziendali compromessi di raggiungere i server di comando e controllo. Consulta Proteggi la tua rete con una sicurezza e un DNS solidi per i dettagli sull'implementazione.

Risoluzione dei problemi e mitigazione dei rischi

Lo scenario del "Silent Failure" (Errore silenzioso)

Il problema più comune nelle distribuzioni iOS/macOS 802.1X è un errore silenzioso in cui il dispositivo si rifiuta di connettersi senza chiedere l'intervento dell'utente. Questo indica quasi sempre un problema nella catena di attendibilità. Se il certificato del server RADIUS viene rinnovato e le nuove CA Root/Intermediate non vengono distribuite ai dispositivi prima del passaggio, i dispositivi Apple interromperanno l'handshake EAP per proteggersi dagli attacchi man-in-the-middle.

Mitigazione: Implementa un rigoroso processo di gestione del cambiamento per i certificati RADIUS. Distribuisci sempre le nuove catene di CA tramite MDM almeno una settimana prima di aggiornare il server RADIUS.

Timeout di registrazione SCEP

Se i dispositivi non riescono a ricevere il certificato client, verifica la password di verifica SCEP e assicurati che il server MDM possa comunicare con il server NDES/CA tramite le porte richieste.

ROI e impatto sul business

La distribuzione di 802.1X con EAP-TLS richiede un investimento iniziale nell'architettura PKI e MDM, ma il ROI si realizza attraverso la mitigazione dei rischi e l'efficienza operativa. Eliminando i ripristini delle password e automatizzando l'onboarding dei dispositivi, i ticket dell'helpdesk IT relativi all'accesso WiFi in genere si riducono del 60-80%. Inoltre, l'ottenimento di una rigorosa segmentazione della rete è spesso un requisito obbligatorio per le polizze di cyber assicurazione e la conformità PCI DSS, proteggendo l'organizzazione da sanzioni finanziarie catastrofiche in caso di violazione.

Definizioni chiave

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un framework di autenticazione che richiede certificati digitali sia sul client che sul server di autenticazione.

Considerato il metodo 802.1X più sicuro, in quanto elimina la necessità di password e protegge dal furto di credenziali.

Supplicant

Il dispositivo dell'utente finale (ad es. iPhone, MacBook) che richiede l'accesso alla rete.

Il supplicant deve essere configurato tramite MDM per presentare il certificato corretto e considerare attendibile il server corretto durante l'handshake 802.1X.

Authenticator

Il dispositivo di rete, in genere un Access Point WiFi o uno switch, che blocca il traffico fino a quando il supplicant non viene autenticato.

L'AP funge da intermediario, trasmettendo i messaggi EAP tra il supplicant e il RADIUS Server.

RADIUS Server

Remote Authentication Dial-In User Service. Il server che verifica le credenziali del supplicant (certificati) e autorizza l'accesso.

Il motore decisionale principale per l'accesso alla rete aziendale, spesso integrato con Active Directory e PKI.

MDM Configuration Profile

Un file XML (.mobileconfig) inviato ai dispositivi Apple per applicare le impostazioni, distribuire i certificati e configurare l'accesso alla rete.

Il meccanismo di distribuzione essenziale per ottenere implementazioni 802.1X zero-touch su iOS e macOS.

SCEP

Simple Certificate Enrollment Protocol. Un protocollo utilizzato dai sistemi MDM per richiedere e installare automaticamente i certificati sui dispositivi.

Cruciale per automatizzare il ciclo di vita dei certificati client richiesti per EAP-TLS.

SAN (Subject Alternative Name)

Un'estensione di un certificato X.509 che consente di associare più valori (come FQDN o indirizzi IP) al certificato.

I dispositivi Apple controllano rigorosamente il SAN del certificato del RADIUS Server rispetto ai nomi attendibili definiti nel loro profilo di configurazione.

WPA3-Enterprise

L'ultima certificazione di sicurezza Wi-Fi che richiede una forza crittografica a 192 bit e Protected Management Frames (PMF) obbligatori.

Lo standard di sicurezza consigliato per le nuove implementazioni aziendali, che offre una protezione significativa contro le intercettazioni.

Esempi pratici

Una catena retail globale sta distribuendo iPad aziendali a 500 store manager. Attualmente utilizzano un SSID nascosto con una PSK, che è stata trapelata. Devono proteggere la rete utilizzando Microsoft Intune senza richiedere ai manager di inserire manualmente le credenziali.

  1. Implementare una CA Enterprise e configurare l'integrazione NDES/SCEP con Intune.
  2. Creare un profilo di certificato attendibile (Trusted Certificate) in Intune contenente la Root CA per il server RADIUS.
  3. Creare un profilo di certificato SCEP destinato agli iPad per emettere certificati client univoci.
  4. Creare un profilo Wi-Fi in Intune. Impostare il tipo di sicurezza su WPA2/WPA3-Enterprise, il tipo EAP su EAP-TLS. Collegare il profilo SCEP come certificato client e il profilo Trusted Certificate per la convalida del server. Specificare i nomi dei server RADIUS.
  5. Inviare (push) i profili a un gruppo di test, verificare la connettività, quindi distribuirli a tutti i 500 dispositivi.
Commento dell'esaminatore: Questo approccio elimina completamente la vulnerabilità della PSK. Utilizzando Intune per inviare l'intera catena di certificati e il payload WiFi, gli iPad si autenticano in modo trasparente. La specifica dei nomi dei server RADIUS impedisce agli AP canaglia di indurre gli iPad a connettersi.

Un'università sta aggiornando la propria infrastruttura di rete e deve garantire che i MacBook dei docenti gestiti da Jamf Pro passino senza problemi a un nuovo cluster di server RADIUS.

  1. Esportare i certificati Root e Intermediate del nuovo cluster di server RADIUS.
  2. In Jamf Pro, aggiornare il profilo di configurazione esistente (o creare un profilo di transizione) per includere i nuovi certificati CA insieme a quelli vecchi.
  3. Aggiornare i "Trusted Server Certificate Names" nel payload WiFi per includere i FQDN dei nuovi server RADIUS.
  4. Inviare (push) il profilo aggiornato a tutti i MacBook.
  5. Una volta confermata l'installazione del profilo su tutta la flotta, effettuare il passaggio dell'infrastruttura di rete ai nuovi server RADIUS.
Commento dell'esaminatore: Questa è una migrazione da manuale a zero tempi di inattività. Predisponendo i trust anchor sui MacBook prima della modifica dell'infrastruttura, i dispositivi considereranno attendibili i nuovi server RADIUS in modo trasparente durante l'handshake EAP-TLS, prevenendo interruzioni di connettività diffuse e chiamate all'helpdesk.

Domande di esercitazione

Q1. La tua organizzazione sta distribuendo WPA3-Enterprise a tutti i MacBook aziendali. Durante i test, gli utenti segnalano che i loro dispositivi richiedono ripetutamente di "Verificare il certificato" per il server RADIUS, anche se il profilo è stato distribuito tramite Jamf. Qual è l'errore di configurazione più probabile?

Suggerimento: Considera quali informazioni specifiche sono necessarie al dispositivo Apple per considerare attendibile il server in modo invisibile all'utente.

Visualizza risposta modello

Nel Profilo di Configurazione manca la mappatura di attendibilità esplicita. Sebbene la CA radice possa essere installata sul dispositivo, il payload WiFi deve elencare esplicitamente l'FQDN del server RADIUS nel campo "Nomi dei certificati del server attendibili" e la CA radice deve essere selezionata come ancora di attendibilità per quella specifica rete WiFi. Senza questo passaggio, macOS richiederà all'utente di verificare e considerare attendibile il certificato manualmente.

Q2. Una catena alberghiera desidera proteggere le proprie operazioni di back-of-house (iPad del personale) utilizzando lo standard 802.1X, continuando al contempo a offrire l'accesso pubblico tramite un Captive Portal. Come dovrebbe essere progettata l'architettura di rete per supportare in modo sicuro entrambi i requisiti?

Suggerimento: Pensa alla separazione logica a livello di access point e di switch.

Visualizza risposta modello

L'architettura dovrebbe utilizzare due diversi SSID trasmessi dagli stessi Access Point. L'SSID per il back-of-house sarà configurato per WPA3-Enterprise (802.1X), autenticando gli iPad del personale tramite EAP-TLS e inserendoli in una VLAN interna sicura. L'SSID pubblico sarà aperto, reindirizzando gli utenti al Captive Portal Purple Guest WiFi e inserendo gli ospiti autenticati in una VLAN fortemente limitata, con solo accesso a Internet. Ciò garantisce la completa segregazione del traffico aziendale e degli ospiti.

Q3. Stai migrando la tua infrastruttura RADIUS da un'installazione Cisco ISE on-premise a un provider RADIUS basato su cloud. Il nuovo provider utilizza una diversa Autorità di Certificazione pubblica. Qual è il primo passo fondamentale prima di modificare la configurazione RADIUS sugli Access Point?

Suggerimento: Considera l'ordine delle operazioni per evitare una perdita completa di connettività per i dispositivi client.

Visualizza risposta modello

Il primo passo fondamentale è distribuire un Profilo di Configurazione MDM aggiornato a tutti i dispositivi Apple che includa i certificati Root e Intermediate della nuova CA pubblica utilizzata dal provider RADIUS cloud. Questa catena di attendibilità deve essere stabilita sui supplicant prima che venga effettuato il passaggio degli AP ai nuovi server RADIUS; in caso contrario, i dispositivi rifiuteranno i nuovi certificati del server e non riusciranno a connettersi.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →