Vai al contenuto principale

Come configurare il WiFi Enterprise su iOS e macOS con 802.1X

Questa guida autorevole fornisce ai leader IT senior passaggi pratici per distribuire il WiFi enterprise 802.1X sui dispositivi iOS e macOS. Copre l'autenticazione basata su certificati (EAP-TLS), i profili di configurazione MDM e l'integrazione dell'architettura per proteggere le reti aziendali supportando al contempo le iniziative BYOD.

📖 4 minuti di lettura📝 920 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

header_image.png

Executive Summary

Per i CTO e gli architetti di rete che gestiscono grandi spazi - dal settore dell'ho.re.ca. hospitality e retail ai nodi di trasporto - la sicurezza del perimetro wireless aziendale è fondamentale. Affidarsi a chiavi precondivise (PSK) o a vecchi Captive Portal per l'accesso del personale e dei dispositivi aziendali espone la rete al furto di credenziali e a violazioni di conformità.

Questa guida tecnica di riferimento descrive in dettaglio l'implementazione dello standard 802.1X tramite EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) per dispositivi Apple (iOS e macOS). Imponendo l'autenticazione basata su certificati, le aziende possono eliminare le vulnerabilità di sicurezza legate alle password, semplificare l'onboarding dei dispositivi tramite piattaforme di Mobile Device Management (MDM) come Jamf e Intune e garantire una solida segregazione della rete. Mentre le soluzioni di Guest WiFi gestiscono l'accesso pubblico e l'acquisizione dei dati, un'architettura 802.1X ben progettata protegge le risorse interne, garantendo la conformità ai requisiti PCI-DSS e GDPR.

Ascolta il podcast del briefing tecnico di 10 minuti qui sotto per una rapida panoramica dell'architettura e degli errori più comuni.

how_to_set_up_enterprise_wifi_on_ios_and_macos_with_802_1x_podcast.wav

Approfondimento Tecnico

L'Architettura 802.1X

Lo standard IEEE 802.1X definisce il Port-Based Network Access Control (PNAC). In un contesto wireless, impedisce al client (supplicant) di trasmettere traffico attraverso l'access point wireless (authenticator) finché un server RADIUS (authentication server) non ne ha verificato l'identità.

architecture_overview.png

Per le implementazioni all'interno dell'ecosistema Apple, EAP-TLS rappresenta lo standard di settore. A differenza di PEAP o TTLS, che si affidano a credenziali utente vulnerabili a minacce di sicurezza, EAP-TLS richiede sia al server RADIUS sia al dispositivo client di presentare certificati digitali. Questo processo di autenticazione reciproca assicura che il dispositivo sia autorizzato e che la rete a cui si connette sia legittima, proteggendo dagli attacchi di tipo rogue AP.

Profili di Configurazione Apple

I dispositivi Apple non supportano nativamente l'iscrizione automatica dei certificati senza una gestione esterna. Per distribuire EAP-TLS su scala, i team IT devono utilizzare i Profili di Configurazione (file .mobileconfig). Questi file XML contengono payload specifici:

  1. Payload WiFi: definisce l'SSID, il tipo di sicurezza (WPA3-Enterprise) e i tipi di EAP supportati.
  2. Payload del certificato: Fornisce la CA radice e tutte le CA intermedie necessarie per considerare attendibile il server RADIUS.
  3. Payload SCEP/ACME: Configura il protocollo utilizzato per richiedere un certificato client univoco all'Autorità di certificazione (CA).

Per un'analisi più approfondita sulla sicurezza della tua infrastruttura AP, consulta la nostra guida: Sicurezza degli Access Point: La tua guida Enterprise 2026 .

Guida all'implementazione

Passaggio 1: Preparazione di PKI e RADIUS

Prima di iniziare la configurazione MDM, la tua Public Key Infrastructure (PKI) e il server RADIUS (come Cisco ISE, Aruba ClearPass o FreeRADIUS) devono essere configurati per emettere e convalidare i certificati. Assicurati che il certificato del tuo server RADIUS sia firmato da una CA interna o pubblica attendibile e che il Subject Alternative Name (SAN) corrisponda all'FQDN del server.

Passaggio 2: Configurazione del payload MDM (Jamf / Intune)

Per distribuzioni enterprise scalabili, la distribuzione basata su MDM è obbligatoria.

mdm_deployment_comparison.png

Creazione del profilo:

  • Impostazioni di attendibilità: Questo passaggio è fondamentale. Nel payload WiFi, devi selezionare esplicitamente il certificato della CA radice (distribuito come payload separato all'interno dello stesso profilo) come ancora di attendibilità per il server RADIUS. Inoltre, specifica il Common Name (CN) o il SAN esatto del server RADIUS nel campo "Nomi certificati server attendibili". La mancata esecuzione di questa operazione farà sì che iOS/macOS chiedano all'utente di considerare attendibile il certificato manualmente, interrompendo il modello di distribuzione zero-touch.
  • Certificato di identità: Collega il payload WiFi al payload SCEP o ACME in modo che il dispositivo sappia quale certificato presentare durante l'handshake EAP-TLS.

Passaggio 3: Segregazione della rete

I dispositivi aziendali autenticati tramite 802.1X devono essere collocati su VLAN dedicate, completamente isolate dalle reti di accesso pubblico. Per le sedi che utilizzano le funzionalità di WiFi Analytics di Purple, l'SSID guest opera in parallelo, garantendo che il traffico aziendale e i dati analitici degli ospiti non si incrocino mai.

Per ambienti con flotte di dispositivi miste, potresti voler consultare anche Come configurare il WiFi Enterprise sui dispositivi Android con EAP-TLS .

Best Practice

  • Imponi WPA3-Enterprise: Richiedi WPA3 per tutte le nuove distribuzioni per sfruttare una forza crittografica a 192 bit. Garantisci la compatibilità con i dispositivi legacy solo dove è assolutamente necessario per le attività aziendali.
  • Automatizza il rinnovo dei certificati: Configura il payload SCEP per rinnovare automaticamente i certificati client almeno 14 giorni prima della scadenza.
  • Disabilita la randomizzazione dei MAC: Per gli SSID aziendali inviati tramite MDM, disabilita "Indirizzo Wi-Fi privato" (iOS) per garantire un monitoraggio coerente e l'applicazione delle policy negli strumenti di gestione della rete.* Sfrutta la sicurezza DNS: Combina l'802.1X con un filtraggio DNS robusto per impedire ai dispositivi aziendali compromessi di connettersi ai server di comando e controllo. Per i dettagli sull'implementazione, consulta Proteggere la tua rete attraverso un DNS solido e la sicurezza .

Risoluzione dei problemi e mitigazione dei rischi

Lo scenario del "fallimento silenzioso"

Il problema più comune nelle distribuzioni 802.1X su iOS/macOS è il fallimento silenzioso, in cui il dispositivo rifiuta di connettersi senza chiedere nulla all'utente. Questo indica quasi sempre un problema legato alla catena di attendibilità. Se il certificato del server RADIUS è stato rinnovato e la nuova Autorità di Certificazione (CA) radice/intermedia non è stata distribuita ai dispositivi prima del passaggio, i dispositivi Apple interromperanno l'handshake EAP per proteggersi da attacchi man-in-the-middle.

Mitigazione: Implementa un processo rigoroso di gestione del cambiamento per i certificati RADIUS. Distribuisci sempre la nuova catena di CA tramite MDM almeno una settimana prima di aggiornare il server RADIUS.

Timeout di registrazione SCEP

Se i dispositivi non riescono a ricevere i propri certificati client, verifica la password di verifica SCEP e assicurati che il server MDM possa comunicare con il server NDES/CA tramite le porte richieste.

ROI e impatto aziendale

La distribuzione di 802.1X con EAP-TLS richiede un investimento iniziale nell'architettura PKI e MDM, ma il ROI si realizza attraverso la mitigazione dei rischi e l'efficienza operativa. Eliminando i ripristini delle password e automatizzando l'onboarding dei dispositivi, i ticket del supporto IT relativi all'accesso al WiFi registrano in genere un calo del 60 - 80%. Inoltre, l'ottenimento di una rigorosa segmentazione della rete è spesso un requisito obbligatorio per le polizze assicurative di sicurezza informatica e la conformità PCI-DSS, proteggendo l'organizzazione da catastrofiche sanzioni finanziarie derivanti da violazioni della sicurezza.

Definizioni chiave

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un framework di autenticazione che richiede certificati digitali sia sul client che sul server di autenticazione.

Considerato il metodo 802.1X più sicuro, elimina la necessità di password e protegge dal furto di credenziali.

Supplicant

Il dispositivo dell'utente finale (ad esempio, iPhone, MacBook) che richiede l'accesso alla rete.

Il supplicant deve essere configurato tramite MDM per presentare il certificato corretto e considerare attendibile il server corretto durante l'handshake 802.1X.

Authenticatore

Il dispositivo di rete, solitamente un Access Point WiFi o uno switch, che blocca il traffico fino a quando il supplicant non viene autenticato.

L'AP funge da intermediario, trasmettendo i messaggi EAP tra il supplicant e il server RADIUS.

Server RADIUS

Remote Authentication Dial-In User Service. Il server che verifica le credenziali (certificati) del supplicant e autorizza l'accesso.

Il motore decisionale principale per l'accesso alla rete aziendale, spesso integrato con Active Directory e PKI.

Profilo di configurazione MDM

Un file XML (.mobileconfig) inviato ai dispositivi Apple per applicare impostazioni, distribuire certificati e configurare l'accesso alla rete.

Il meccanismo di distribuzione essenziale per ottenere implementazioni 802.1X zero-touch su iOS e macOS.

SCEP

Simple Certificate Enrolment Protocol. Un protocollo utilizzato dai sistemi MDM per richiedere e installare automaticamente i certificati sui dispositivi.

Fondamentale per automatizzare il ciclo di vita dei certificati client richiesti per EAP-TLS.

SAN (Subject Alternative Name)

Un'estensione di un certificato X.509 che consente di associare al certificato più valori (come FQDN o indirizzi IP).

I dispositivi Apple controllano rigorosamente il SAN del certificato del server RADIUS rispetto ai nomi attendibili definiti nel loro profilo di configurazione.

WPA3-Enterprise

L'ultima certificazione di sicurezza WiFi che richiede una crittografia a 192 bit e Protected Management Frames (PMF) obbligatori.

Lo standard di sicurezza consigliato per le nuove distribuzioni aziendali, che offre una protezione significativa contro le intercettazioni.

Esempi pratici

Una catena retail globale sta distribuendo iPad aziendali a 500 store manager. Attualmente utilizzano un SSID nascosto con una PSK, che è stata compromessa. Devono proteggere la rete utilizzando Microsoft Intune senza richiedere ai manager di inserire manualmente le credenziali.

  1. Distribuire una CA Enterprise e configurare l'integrazione NDES/SCEP con Intune.
  2. Creare un profilo di certificato attendibile in Intune contenente la Root CA per il server RADIUS.
  3. Creare un profilo di certificato SCEP destinato agli iPad per emettere certificati client univoci.
  4. Creare un profilo Wi-Fi in Intune. Impostare il tipo di sicurezza su WPA2/WPA3-Enterprise, il tipo di EAP su EAP-TLS. Collegare il profilo SCEP come certificato client e il profilo del certificato attendibile per la convalida del server. Specificare i nomi dei server RADIUS.
  5. Distribuire i profili a un gruppo di test, verificare la connettività, quindi procedere con il roll-out su tutti i 500 dispositivi.
Commento dell'esaminatore: Questo approccio elimina completamente la vulnerabilità della PSK. Utilizzando Intune per inviare l'intera catena di certificati e il payload WiFi, gli iPad si autenticano in modo invisibile. La specifica dei nomi dei server RADIUS impedisce agli AP non autorizzati di ingannare gli iPad per indurli a connettersi.

Un'università sta aggiornando la propria infrastruttura di rete e deve garantire che i MacBook dei docenti gestiti da Jamf Pro passino senza problemi a un nuovo cluster di server RADIUS.

  1. Esportare i certificati Root e Intermediate del nuovo cluster di server RADIUS.
  2. In Jamf Pro, aggiornare il profilo di configurazione esistente (o creare un profilo di transizione) per includere i nuovi certificati CA insieme a quelli vecchi.
  3. Aggiornare i "Nomi dei certificati del server attendibili" nel payload WiFi per includere i FQDN dei nuovi server RADIUS.
  4. Inviare il profilo aggiornato a tutti i MacBook.
  5. Una volta confermata l'installazione del profilo su tutta la flotta, migrare l'infrastruttura di rete sui nuovi server RADIUS.
Commento dell'esaminatore: Questa è una migrazione da manuale a zero tempi di inattività. Predisponendo i trust anchor sui MacBook prima della modifica dell'infrastruttura, i dispositivi considereranno attendibili i nuovi server RADIUS durante l'handshake EAP-TLS, evitando interruzioni di connettività diffuse e chiamate all'assistenza.

Domande di esercitazione

Q1. La tua organizzazione sta distribuendo WPA3-Enterprise su tutti i MacBook aziendali. Durante i test, gli utenti segnalano che i loro dispositivi richiedono ripetutamente di "Verificare il certificato" per il server RADIUS, anche se il profilo è stato distribuito tramite Jamf. Qual è l'errore di configurazione più probabile?

Suggerimento: Considera quali informazioni specifiche sono necessarie al dispositivo Apple per considerare attendibile il server in modo silenzioso.

Visualizza risposta modello

Nel profilo di configurazione manca l'associazione esplicita di attendibilità. Sebbene la CA radice possa essere installata sul dispositivo, il payload WiFi deve elencare esplicitamente l'FQDN del server RADIUS nel campo "Nomi certificato server attendibili" e la CA radice deve essere selezionata come ancora di attendibilità per quella specifica rete WiFi. Senza questo, macOS richiederà all'utente di verificare e considerare attendibile il certificato manualmente.

Q2. Una catena alberghiera desidera proteggere le proprie attività interne (iPad del personale) utilizzando 802.1X, continuando al contempo a offrire l'accesso pubblico tramite un captive portal. Come dovrebbe essere progettata l'architettura di rete per supportare entrambi i requisiti in modo sicuro?

Suggerimento: Pensa alla separazione logica a livello di access point e switch.

Visualizza risposta modello

L'architettura dovrebbe utilizzare due SSID distinti trasmessi dagli stessi Access Point. L'SSID per le attività interne sarà configurato per WPA3-Enterprise (802.1X), autenticando gli iPad del personale tramite EAP-TLS e inserendoli in una VLAN interna sicura. L'SSID pubblico sarà aperto, reindirizzando gli utenti al captive portal di Purple Guest WiFi e inserendo gli ospiti autenticati in una VLAN fortemente limitata, con solo accesso a Internet. Ciò garantisce la completa segregazione del traffico aziendale e degli ospiti.

Q3. Stai migrando la tua infrastruttura RADIUS da una distribuzione Cisco ISE on-premise a un provider RADIUS basato su cloud. Il nuovo provider utilizza una Certificate Authority pubblica diversa. Qual è il primo passaggio fondamentale da compiere prima di modificare la configurazione RADIUS sugli Access Point?

Suggerimento: Considera l'ordine delle operazioni per prevenire una perdita completa di connettività per i dispositivi client.

Visualizza risposta modello

Il primo passaggio fondamentale consiste nel distribuire un profilo di configurazione MDM aggiornato a tutti i dispositivi Apple che includa i certificati Root e Intermediate della nuova CA pubblica utilizzata dal provider RADIUS cloud. Questa catena di attendibilità deve essere stabilita sui supplicant prima che gli AP vengano trasferiti sui nuovi server RADIUS; in caso contrario, i dispositivi rifiuteranno i nuovi certificati del server e non riusciranno a connettersi.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →