Vai al contenuto principale
Italiano

Come configurare il WiFi Enterprise sui dispositivi Android con EAP-TLS

Questa guida di riferimento tecnico fornisce ai leader IT senior un modello completo per l'implementazione dell'autenticazione 802.1X EAP-TLS su dispositivi Android. Copre i meccanismi architetturali, le strategie di implementazione manuali e basate su MDM, e le metodologie di risoluzione dei problemi necessarie per proteggere le reti wireless aziendali.

📖 5 minuti di lettura📝 1,161 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come configurare il Wi-Fi aziendale sui dispositivi Android con EAP-TLS Una guida tecnica Purple — Circa 10 minuti --- INTRODUZIONE E CONTESTO — circa 1 minuto Benvenuti alla serie di guide tecniche Purple. Sono il vostro presentatore e oggi entreremo nei dettagli dell'implementazione dell'autenticazione 802.1X EAP-TLS sui dispositivi Android, sia che gestiate un patrimonio alberghiero, una catena di negozi, uno stadio o un campus del settore pubblico. Se siete responsabili di una rete che deve autenticare dispositivi Android aziendali o BYOD senza fare affidamento su password condivise, questa puntata fa al caso vostro. EAP-TLS è il gold standard per la sicurezza Wi-Fi aziendale: utilizza l'autenticazione reciproca basata su certificati, il che significa che non ci sono credenziali da carpire tramite phishing, nessuna password da ruotare e una postura di conformità che soddisfa i requisiti GDPR, PCI DSS, ISO 27001 e la maggior parte dei framework di sicurezza del settore pubblico. Al termine di questa sessione, capirete esattamente come funziona EAP-TLS su Android, quali sono le opzioni di distribuzione e i tre errori più comuni che causano il fallimento dei rollout. Cominciamo. --- APPROFONDIMENTO TECNICO — circa 5 minuti Iniziamo con l'architettura. 802.1X è lo standard IEEE che disciplina il controllo dell'accesso alla rete basato su porte. Quando un dispositivo Android si connette a una rete Wi-Fi aziendale — configurata come WPA2-Enterprise o WPA3-Enterprise — l'access point funge da autenticatore. Non prende direttamente la decisione di autenticazione, ma passa la conversazione tra il dispositivo e un server RADIUS, che è il server di autenticazione vero e proprio. EAP-TLS — ovvero Extensible Authentication Protocol con Transport Layer Security — è il metodo di autenticazione che viene eseguito all'interno del framework 802.1X. Ciò che lo differenzia da EAP-PEAP o EAP-TTLS, che utilizzano nome utente e password all'interno di un tunnel TLS, è che EAP-TLS utilizza certificati X.509 su entrambi i lati. Il server RADIUS presenta un certificato server al dispositivo e il dispositivo presenta un certificato client al server RADIUS. Entrambe le parti si convalidano a vicenda. Questa è l'autenticazione reciproca, ed è ciò che rende EAP-TLS l'opzione più sicura disponibile. Ora, specificamente su Android, ci sono alcune cose da comprendere. Android 11 e versioni successive hanno introdotto requisiti di convalida dei certificati più severi. Se state effettuando la distribuzione su Android 11 o versioni successive — che a questo punto rappresentano la stragrande maggioranza dei vostri dispositivi — il dispositivo rifiuterà di connettersi a meno che il certificato del server RADIUS non sia esplicitamente attendibile. Non potete fare affidamento solo sul trust store di sistema; dovete inviare il certificato CA radice al dispositivo o configurare il profilo Wi-Fi in modo che vi faccia esplicitamente riferimento.Parliamo della catena di certificati. Sono necessari tre componenti prima che un singolo dispositivo Android possa autenticarsi tramite EAP-TLS. Primo, un'Autorità di Certificazione (CA) — la tua PKI interna, Microsoft Active Directory Certificate Services o una PKI cloud come SCEP tramite Intune. Secondo, un certificato server emesso per il tuo server RADIUS, firmato da quella CA. Terzo, un certificato client univoco emesso per ciascun dispositivo o utente, anch'esso firmato dalla stessa CA. Il dispositivo presenta il proprio certificato client durante l'handshake TLS e il server RADIUS lo convalida rispetto all'elenco di revoca dei certificati della CA (CRL) o tramite OCSP (Online Certificate Status Protocol). Per Android, il certificato client e la chiave privata sono in genere confezionati come file PKCS12 — ovvero un file .P12 o .PFX — che contiene sia il certificato sia la chiave privata crittografata. Su un dispositivo configurato manualmente, l'utente importa questo file tramite Impostazioni, poi Sicurezza, quindi Installa un certificato. Su un dispositivo gestito tramite MDM, il certificato viene inviato in modo automatico e invisibile al keystore gestito del dispositivo — senza richiedere alcuna interazione da parte dell'utente. Ora parliamo del profilo WiFi stesso. Quando si configura una connessione WiFi aziendale su Android, è necessario specificare: l'SSID, il tipo di sicurezza — WPA2-Enterprise o WPA3-Enterprise — il metodo EAP — che è TLS — il certificato CA per la convalida del server, il certificato client per l'autenticazione del dispositivo e la stringa d'identità, che in genere è il Common Name del dispositivo o l'UPN dell'utente. Su Android 11 e versioni successive, è inoltre necessario specificare la corrispondenza del suffisso del dominio o il soggetto del certificato del server per prevenire attacchi man-in-the-middle. Per le distribuzioni MDM — ed è qui che entra in gioco la vera scalabilità — si invia tutto questo come profilo di configurazione strutturato. In Microsoft Intune, si crea un profilo di certificato SCEP che richiede e installa automaticamente un certificato client univoco su ciascun dispositivo Android registrato. Successivamente, si crea un profilo di configurazione WiFi che fa riferimento a quel profilo di certificato. Quando il dispositivo si connette per il check-in, riceve sia il certificato sia il profilo WiFi e si connette automaticamente alla rete 802.1X. Nessuna interazione da parte dell'utente, nessuna chiamata al supporto tecnico. Se si utilizza Intune per questo scopo, la nostra guida complementare su come utilizzare Microsoft Intune per inviare certificati WiFi ai dispositivi illustra i passaggi esatti di configurazione — si consiglia di leggerla insieme a questa panoramica. Per VMware Workspace ONE e Jamf Connect, il processo è identico dal punto di vista dell'architettura — profilo di certificato SCEP o PKCS, seguito da un profilo WiFi che vi fa riferimento. L'interfaccia utente specifica varia, ma i requisiti della catena di certificati e della configurazione RADIUS sono gli stessi. Un aspetto importante da segnalare sul lato RADIUS: se si utilizza FreeRADIUS, Microsoft NPS o Cisco ISE, assicurarsi che il certificato del server includa gli attributi corretti di Extended Key Usage (EKU) — nello specifico, Autenticazione Server, OID 1.3.6.1.5.5.7.3.1. Android è molto rigido su questo aspetto. Un certificato che funziona perfettamente con i client Windows potrebbe non funzionare su Android se l'EKU manca o è configurato in modo errato. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI — circa 2 minuti Bene, parliamo di ciò che va effettivamente storto sul campo, perché è qui che la maggior parte delle implementazioni incontra difficoltà. Il primo e più comune errore riguarda l'affidabilità del certificato. Android 11 e versioni successive non si connetteranno se la catena di certificati del server RADIUS non può essere convalidata. La soluzione è semplice: distribuire il certificato della CA radice nell'archivio dei certificati utente del dispositivo tramite MDM e farvi riferimento esplicitamente nel campo del certificato CA del profilo WiFi. Non lasciare questa opzione su "Non convalidare" — rappresenta una falla di sicurezza e fallirà comunque su alcune versioni di Android. La seconda trappola è la scadenza del certificato. I certificati client hanno in genere un periodo di validità da uno a due anni. Se non si dispone di un rinnovo automatico tramite SCEP o NDES, ci si sveglierà una mattina scoprendo che metà della flotta di dispositivi ha perso l'accesso al WiFi contemporaneamente. Integrate l'automazione del rinnovo dei certificati nel flusso di lavoro MDM fin dal primo giorno, non come ripensamento. Il terzo problema è la capacità del server RADIUS. Gli handshake EAP-TLS sono computazionalmente più onerosi rispetto agli handshake PEAP a causa del completo scambio reciproco di certificati. In uno stadio o in un centro congressi con migliaia di autenticazioni simultanee, un server RADIUS sottodimensionato diventerà un collo di bottiglia. Dimensionate l'infrastruttura RADIUS per i picchi di autenticazioni simultanee, non per il carico medio. Infine, sul lato Android, tenete presente che diversi produttori — Samsung, Google, Xiaomi — presentano implementazioni leggermente diverse dell'API di configurazione WiFi. Testate i profili distribuiti tramite MDM su dispositivi rappresentativi di ciascun produttore della vostra flotta prima di procedere con la distribuzione su larga scala. I dispositivi Samsung, in particolare, storicamente richiedono che il campo dell'identità sia impostato esplicitamente, anche quando può essere dedotto dal certificato. --- DOMANDE E RISPOSTE RAPIDE — circa 1 minuto Alcune domande rapide che mi vengono poste regolarmente. Posso usare EAP-TLS per i dispositivi BYOD? Sì, ma richiede che l'utente installi un certificato client sul proprio dispositivo personale. Per il BYOD su larga scala, valutate se EAP-TTLS con PAP o PEAP-MSCHAPv2 rappresenti un compromesso più pratico, riservando EAP-TLS ai dispositivi aziendali. EAP-TLS funziona con WPA3-Enterprise? Sì, e WPA3-Enterprise con modalità a 192 bit richiede obbligatoriamente EAP-TLS. Se state distribuendo WPA3-Enterprise in ambienti ad alta sicurezza, EAP-TLS è l'unica opzione conforme. Qual è la versione minima di Android che dovrei considerare come target? Android 8 e versioni successive supportano EAP-TLS in modo nativo. Per Android 11 e versioni successive, applica la convalida esplicita del certificato CA. Per Android 13 e versioni successive, puoi sfruttare le API di gestione dei certificati migliorate per un controllo più granulare. La piattaforma di Purple può integrarsi con le reti EAP-TLS? La piattaforma guest WiFi e analytics di Purple opera su un SSID separato rispetto alla tua rete aziendale 802.1X. I tuoi dispositivi aziendali si autenticano tramite EAP-TLS sull'SSID sicuro, mentre i dispositivi guest utilizzano il captive portal di Purple sull'SSID guest. I due coesistono sulla stessa infrastruttura di access point, con la separazione VLAN che funge da confine di sicurezza. --- RIEPILOGO E PROSSIMI PASSI — circa 1 minuto Per riassumere: l'EAP-TLS su Android è il metodo di autenticazione WiFi aziendale più sicuro disponibile e, con i moderni strumenti MDM, è assolutamente pratico da distribuire su larga scala. I tre aspetti fondamentali da definire correttamente sono: una PKI configurata correttamente con rinnovo automatico dei certificati, un trust esplicito dei certificati CA su Android 11 e versioni successive e un'infrastruttura RADIUS dimensionata per i carichi di picco. Se stai implementando la soluzione in una sede con traffico misto aziendale e guest, la piattaforma di Purple ti offre il layer di analytics e di engagement sulla rete guest, mentre la tua infrastruttura EAP-TLS protegge il lato aziendale. Le due soluzioni si completano a vicenda perfettamente. Per i prossimi passi: esamina il nostro diagramma di architettura nella guida completa, segui la procedura guidata di distribuzione di Intune ed esegui un pilot su un sottoinsieme di dispositivi prima di estendere la distribuzione a tutta l'azienda. Inizia con un gruppo controllato di cinquanta dispositivi, valida la consegna dei certificati e la connettività WiFi, quindi scala con sicurezza. Grazie per aver ascoltato il Purple Technical Briefing. Troverai la guida scritta completa, i diagrammi e i riferimenti di configurazione su purple.ai. Alla prossima.

header_image.png

Sintesi Esecutiva

La protezione delle reti wireless aziendali dal furto di credenziali e dall'accesso non autorizzato richiede il superamento delle password condivise. Per le flotte di dispositivi Android in ambienti aziendali, lo standard 802.1X EAP-TLS (Extensible Authentication Protocol con Transport Layer Security) rappresenta lo standard di sicurezza definitivo. Sfruttando l'autenticazione reciproca basata su certificati, EAP-TLS elimina i rischi associati alla stanchezza da password, al phishing e alle credenziali deboli.

Questa guida di riferimento tecnico fornisce ad architetti di rete, responsabili IT e CTO strategie pratiche per l'implementazione di EAP-TLS sui dispositivi Android. Che si tratti di gestire terminali point-of-sale nel settore Retail , dispositivi clinici nel settore Healthcare o operazioni di back-of-house nel settore Hospitality , la padronanza di questa distribuzione garantisce una solida conformità di sicurezza (PCI DSS, GDPR, ISO 27001) offrendo al contempo un'esperienza di connessione fluida per gli utenti finali. Copriamo sia la configurazione manuale per gli ambienti BYOD sia il provisioning MDM zero-touch per le flotte aziendali.

Ascolta il Briefing

Approfondimento Tecnico

L'Architettura 802.1X e i Meccanismi EAP-TLS

Fondamentalmente, 802.1X è uno standard IEEE per il controllo dell'accesso alla rete basato su porta. In un contesto wireless, l'access point funge da Autenticatore, facilitando la comunicazione tra il dispositivo Android (il Supplicant) e il server RADIUS (l'Authentication Server).

A differenza di PEAP o TTLS che incapsulano la legacy autenticazione tramite password all'interno di un tunnel TLS, EAP-TLS si affida interamente ai certificati X.509. Questo crea un paradigma di autenticazione reciproca:

  1. Il server RADIUS presenta il proprio certificato al dispositivo Android per dimostrare che la rete è legittima.
  2. Il dispositivo Android presenta il proprio certificato client univoco al server RADIUS per dimostrare di essere un endpoint autorizzato.

eap_tls_architecture_overview.png

Requisiti dei Certificati Specifici per Android

La distribuzione su Android introduce vincoli specifici, in particolare a partire da Android 11 in poi. Google ha rimosso l'opzione "Non convalidare" per i certificati server per mitigare gli attacchi man-in-the-middle (MitM). Di conseguenza, il dispositivo Android deve possedere il certificato Root CA che ha firmato il certificato del server RADIUS.

Inoltre, il certificato del server RADIUS deve contenere gli attributi Extended Key Usage (EKU) corretti, in particolare Server Authentication (OID 1.3.6.1.5.5.7.3.1). Senza di questo, il supplicant Android interromperà silenziosamente l'handshake TLS.

Per il lato client, Android richiede che la chiave privata e il certificato siano raggruppati, tipicamente in formato PKCS#12 (.p12 o .pfx).

Integrazione con l'ecosistema di Purple

Mentre l'EAP-TLS protegge i dispositivi aziendali e l'infrastruttura operativa, i gestori delle sedi devono gestire anche l'accesso dei visitatori. È qui che una strategia a doppio SSID diventa fondamentale. Il tuo SSID aziendale utilizza 802.1X EAP-TLS, mentre il tuo SSID pubblico sfrutta la piattaforma Guest WiFi di Purple. Questa separazione garantisce la sicurezza operativa consentendo al team di marketing di sfruttare WiFi Analytics sulla rete guest. Per una panoramica più ampia sulla sicurezza dell'infrastruttura fisica, consulta la nostra guida Access Point Security: Your 2026 Enterprise Guide .

Guida all'implementazione

La distribuzione di EAP-TLS su Android può essere gestita manualmente per piccole distribuzioni BYOD o tramite Mobile Device Management (MDM) per contesti aziendali su larga scala.

mdm_deployment_comparison.png

Metodo 1: Configurazione manuale (BYOD / Piccola scala)

Questo metodo richiede un elevato livello di assistenza ed è consigliato solo per rilasci limitati o test.

  1. Consegna del certificato: Invia in modo sicuro il certificato client .p12 e il file della CA radice .cer al dispositivo Android (ad esempio, tramite un portale sicuro o un'e-mail crittografata).
  2. Installazione:
    • Vai su Impostazioni > Sicurezza > Crittografia e credenziali > Installa un certificato.
    • Installa la CA radice come "Certificato Wi-Fi".
    • Installa il file .p12, inserendo la password di estrazione quando richiesto.
  3. Configurazione di rete:
    • Vai su Impostazioni > Rete e Internet > Wi-Fi e seleziona "Aggiungi rete".
    • Inserisci lo SSID.
    • Imposta la Sicurezza su WPA/WPA2/WPA3-Enterprise.
    • Imposta il metodo EAP su TLS.
    • Imposta il certificato CA sulla CA radice installata.
    • Imposta lo stato del certificato online su Richiedi stato certificato.
    • Imposta il Dominio in modo che corrisponda al Subject Alternative Name (SAN) del certificato del server RADIUS.
    • Seleziona il certificato Client installato.
    • Inserisci l'Identità (solitamente l'UPN dell'utente o il MAC del dispositivo).

Metodo 2: Profilo distribuito tramite MDM (Scala aziendale)

Per grandi infrastrutture, come un campus universitario o un hub logistico nel settore Transport , l'uso di un MDM è obbligatorio. Questo garantisce un provisioning zero-touch e la gestione del ciclo di vita.

  1. Integrazione PKI: Connetti il tuo MDM (Intune, Workspace ONE, Jamf) alla tua Autorità di certificazione (CA) utilizzando SCEP o NDES.
  2. Profilo certificato: Crea un profilo di configurazione per distribuire la Root CA nel trust store del dispositivo. Crea un secondo profilo (SCEP) per richiedere e installare automaticamente il certificato client univoco.
  3. Profilo WiFi: Crea un profilo di configurazione Wi-Fi che colleghi i certificati distribuiti.
    • Tipo di sicurezza: WPA2/WPA3 Enterprise
    • Tipo EAP: EAP-TLS
    • Metodo di autenticazione: Certificato
    • Attendibilità server: Specifica la Root CA e il nome di dominio esatto del server.

Per istruzioni dettagliate specifiche per Microsoft, consulta la nostra guida: Come utilizzare Microsoft Intune per distribuire certificati WiFi ai dispositivi .

Best Practice

  1. Forza WPA3-Enterprise: Laddove l'hardware lo supporti, rendi obbligatorio l'uso di WPA3-Enterprise. La suite di sicurezza a 192 bit richiede esplicitamente EAP-TLS, garantendo i più elevati standard crittografici.
  2. Automatizza il ciclo di vita dei certificati: I certificati client scadono. Se ti affidi ai rinnovi manuali, andrai incontro a enormi interruzioni del servizio. Implementa SCEP/NDES per rinnovare automaticamente i certificati 30 giorni prima della scadenza.
  3. Implementa un DNS robusto: I controlli della Certificate Revocation List (CRL) e l'OCSP richiedono una risoluzione DNS affidabile dall'edge. Leggi di più in Proteggi la tua rete con un DNS forte e la sicurezza .
  4. Segmentazione VLAN: Mappa le sessioni autenticate EAP-TLS su VLAN specifiche in base agli attributi del certificato (ad es. separando i terminali POS dai tablet dei manager) utilizzando attributi RADIUS come Tunnel-Private-Group-Id.

Risoluzione dei problemi e mitigazione dei rischi

Quando i dispositivi Android non riescono a connettersi tramite EAP-TLS, il problema risiede quasi sempre nella catena di certificati o nella configurazione RADIUS.

  • Sintomo: I dispositivi Android 11+ si disconnettono immediatamente o mostrano "Errore di autenticazione" senza richiedere alcuna azione all'utente.
    • Causa principale: Il dispositivo non considera attendibile il certificato del server RADIUS. Il campo "Dominio" nel profilo WiFi deve corrispondere esattamente al SAN del certificato del server e la Root CA deve essere installata.
  • Sintomo: Timeout della connessione durante l'handshake TLS.
    • Causa principale: Il server RADIUS non riesce a raggiungere il punto di distribuzione della CRL per verificare lo stato di revoca del certificato client. Assicurati che il tuo server RADIUS abbia accesso HTTP in uscita verso gli endpoint CRL della tua PKI.
  • Sintomo: I dispositivi Windows si connettono, ma i dispositivi Android non riescono.
    • Causa principale: EKU Server Authentication mancante sul certificato RADIUS o il supplicant Android sta tentando di utilizzare una suite di cifratura non supportata. Controlla i log RADIUS per individuare eventuali errori di negoziazione TLS.

ROI e impatto aziendale

La transizione a EAP-TLS richiede un investimento iniziale nell'infrastruttura PKI e MDM, ma il ritorno sull'investimento è sostanziale per i leader IT senior.

  • Riduzione dei costi dell'Helpdesk: I ripristini delle password rappresentano il 20-30% dei ticket dell'helpdesk IT. L'autenticazione basata su certificati elimina le policy di rotazione delle password per l'accesso alla rete, riducendo drasticamente i costi di gestione del supporto.
  • Mitigazione del rischio: EAP-TLS garantisce l'immunità contro il furto di credenziali e gli attacchi a dizionario offline. Il costo di una singola violazione in un settore regolamentato come la Sanità supera di gran lunga i costi di implementazione di una PKI.
  • Continuità operativa: Il provisioning automatizzato dei certificati garantisce che i dispositivi operativi critici — dagli scanner di magazzino ai sistemi POS dei punti vendita — non si disconnettano mai dalla rete a causa di credenziali scadute. Mentre Purple continua a espandere la sua presenza, come evidenziato da recenti mosse strategiche come Purple annuncia le sue ambizioni per l'istruzione superiore con la nomina del VP Education Tim Peers , una connettività di base robusta diventa l'elemento abilitante per l'analisi avanzata e l'engagement.

Definizioni chiave

802.1X

Uno standard IEEE per il Network Access Control (PNAC) basato su porta che fornisce un meccanismo di autenticazione per i dispositivi che desiderano connettersi a una LAN o WLAN.

Il framework fondamentale che impedisce ai dispositivi non autorizzati di accedere alla rete aziendale a livello di edge.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un framework di autenticazione che utilizza certificati X.509 per l'autenticazione reciproca tra il client e il server.

Considerato il tipo di EAP più sicuro, elimina la dipendenza dalle password, rendendolo essenziale per gli ambienti ad alta sicurezza.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorization, and Accounting (AAA).

Il componente server (ad es. Cisco ISE, Microsoft NPS) che convalida il certificato del dispositivo Android rispetto alla PKI.

Supplicant

Il dispositivo client (in questo caso, lo smartphone o il tablet Android) che richiede l'accesso alla rete.

Comprendere i vincoli specifici del sistema operativo del supplicant (come la validazione rigorosa di Android 11) è fondamentale per una distribuzione di successo.

Authenticator

Il dispositivo di rete (l'Access Point WiFi) che facilita il processo di autenticazione tra il Supplicant e il server RADIUS.

L'AP non prende la decisione; si limita ad applicare il controllo della porta in base alla risposta del server RADIUS.

PKI

Public Key Infrastructure. Un insieme di ruoli, policy, hardware, software e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali.

La spina dorsale di EAP-TLS. Senza una PKI robusta, l'autenticazione basata su certificati è impossibile.

SCEP

Simple Certificate Enrollment Protocol. Un protocollo progettato per rendere il rilascio e la revoca dei certificati digitali il più scalabile possibile.

Utilizzato dalle piattaforme MDM per distribuire automaticamente i certificati client ai dispositivi Android senza l'intervento dell'utente.

SAN

Subject Alternative Name. Un'estensione di X.509 che consente di associare vari valori a un certificato di sicurezza.

Android 11+ richiede che il campo 'Domain' nel profilo WiFi corrisponda alla SAN del certificato del server RADIUS.

Esempi pratici

Una catena retail nazionale deve distribuire 5.000 tablet per punti vendita (POS) basati su Android. Il team di sicurezza impone che questi dispositivi non utilizzino password condivise e siano immuni al phishing delle credenziali. In che modo il team infrastruttura dovrebbe affrontare questa distribuzione?

Il team deve implementare una soluzione di Mobile Device Management (MDM) integrata con la propria Public Key Infrastructure (PKI) interna tramite SCEP. L'MDM invierà un profilo di configurazione contenente il certificato della CA radice, richiederà automaticamente un certificato client univoco per ciascun tablet POS e configurerà il profilo WiFi WPA3-Enterprise per l'uso di EAP-TLS. Il server RADIUS sarà configurato per assegnare questi dispositivi a una VLAN POS isolata in base alla corretta convalida del certificato.

Commento dell'esaminatore: Questo è l'approccio enterprise ottimale. Tentare la configurazione manuale per 5.000 dispositivi è operativamente impraticabile. Utilizzando MDM e SCEP, l'organizzazione ottiene un provisioning zero-touch e il rinnovo automatico dei certificati, soddisfacendo il mandato di sicurezza e riducendo al minimo l'attrito di distribuzione.

Un IT manager ospedaliero sta aggiornando la rete wireless. A seguito dell'aggiornamento, i dispositivi Android 9 più vecchi si connettono correttamente alla rete EAP-TLS, ma i dispositivi Android 12 appena acquistati non riescono a eseguire l'autenticazione, segnalando un errore di attendibilità.

L'IT manager deve aggiornare il profilo di configurazione WiFi inviato ai dispositivi. Android 11+ impone una rigida convalida del certificato del server. Il profilo deve essere aggiornato per definire esplicitamente il certificato della CA radice da considerare attendibile e specificare il "Dominio" esatto (corrispondente alla SAN del server RADIUS) per prevenire attacchi MitM.

Commento dell'esaminatore: Questo evidenzia un cambiamento critico a livello di sistema operativo nel comportamento del supplicant di Android. Le configurazioni legacy "Non convalidare" rappresentano un rischio significativo per la sicurezza e sono fortemente sconsigliate nelle versioni moderne di Android. La soluzione identifica correttamente la necessità di una configurazione esplicita dell'attendibilità.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da PEAP-MSCHAPv2 a EAP-TLS. Durante la fase pilota, diversi dispositivi Android 13 non riescono a connettersi. I log RADIUS mostrano che l'handshake TLS viene avviato ma interrotto dal client prima che venga inviato il certificato client. Qual è l'errore di configurazione più probabile?

Suggerimento: Considera i rigidi requisiti di convalida introdotti nelle recenti versioni di Android relativi all'identità del server.

Visualizza risposta modello

L'errore più probabile è che il profilo WiFi inviato ai dispositivi Android 13 non specifichi correttamente la corrispondenza del suffisso 'Domain', oppure che la Root CA non sia configurata correttamente nel profilo. Android interrompe la connessione per prevenire un attacco Man-in-the-Middle poiché non può convalidare il certificato del server RADIUS.

Q2. Stai progettando l'architettura per un'installazione in un grande stadio. Il cliente desidera utilizzare EAP-TLS per tutti i dispositivi del personale. Quale componente infrastrutturale specifico deve essere potenziato rispetto a una rete standard WPA2-PSK e perché?

Suggerimento: EAP-TLS comporta complesse operazioni crittografiche durante la fase di connessione.

Visualizza risposta modello

L'infrastruttura del server RADIUS deve essere notevolmente potenziata. EAP-TLS richiede una convalida reciproca completa del certificato (crittografia asimmetrica), che è computazionalmente costosa. In un ambiente come uno stadio, con migliaia di dispositivi che potenzialmente effettuano il roaming o l'autenticazione simultaneamente, un deployment RADIUS sottodimensionato causerà timeout di autenticazione e fallimenti di connessione.

Q3. Un certificato client viene compromesso su un tablet Android smarrito. Qual è l'esatto meccanismo con cui la rete impedisce a questo dispositivo di connettersi tramite EAP-TLS?

Suggerimento: In che modo il server RADIUS sa che il certificato non è più valido prima della sua data di scadenza?

Visualizza risposta modello

L'amministratore IT revoca il certificato client nella PKI. La PKI aggiorna la propria Certificate Revocation List (CRL) o il risponditore OCSP. Quando il tablet smarrito tenta di connettersi, il server RADIUS verifica il certificato client rispetto alla CRL/OCSP. Rilevando che è stato revocato, il server RADIUS rifiuta la richiesta di autenticazione.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →