Vai al contenuto principale

Come configurare SCEP per il WiFi aziendale sicuro e il provisioning BYOD

Questa guida tecnica spiega come configurare il Simple Certificate Enrolment Protocol (SCEP) per automatizzare l'autenticazione WiFi aziendale sicura 802.1X e il provisioning BYOD. Fornisce ad architetti di rete e responsabili IT una sequenza di implementazione definitiva, scenari di implementazione reali nei settori dell'ospitalità e del retail, e strategie di mitigazione del rischio per eliminare le chiavi pre-condivise vulnerabili e il MAC Authentication Bypass dalle reti aziendali.

📖 8 minuti di lettura📝 1,754 parole🔧 2 esempi pratici4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto in questo briefing tecnico di Purple. Sono il tuo host e oggi approfondiremo la configurazione di SCEP per il provisioning sicuro del WiFi aziendale e del BYOD. Per i responsabili IT, gli architetti di rete e i CTO che operano nei settori dell'ospitalità, del retail e della pubblica amministrazione, la gestione dell'accesso alla rete è un costante gioco di equilibrio tra sicurezza ed efficienza operativa. Vi trovate a gestire centinaia, a volte migliaia di dispositivi che si connettono alla vostra rete ogni giorno. Smartphone del personale, laptop di collaboratori esterni, tablet per i punti vendita. E i vecchi metodi per gestire tutto questo semplicemente non sono più all'altezza. Affidarsi a chiavi precondivise, o PSK, per il WiFi del personale e dei dispositivi BYOD rappresenta una vulnerabilità di sicurezza pronta per essere sfruttata. Una password condivisa, una volta compromessa, consente a chiunque di accedere alla rete. E il MAC Authentication Bypass, o MAB, non è da meno. I moderni smartphone utilizzano di default indirizzi MAC casuali, il che compromette completamente il funzionamento del MAB, e gli indirizzi MAC possono essere contraffatti in pochi secondi. La moderna architettura di rete richiede l'autenticazione 802.1X tramite EAP-TLS. Questo garantisce che ogni dispositivo venga verificato crittograficamente prima di accedere alla rete. Ma la sfida è questa: come distribuire certificati client unici a migliaia di dispositivi non gestiti senza sovraccaricare l'helpdesk? La risposta è il Simple Certificate Enrolment Protocol, o SCEP. Iniziamo con l'architettura. Lo SCEP è lo standard di settore per la registrazione dei dispositivi aziendali, definito nella specifica RFC 8894. Esiste dal 1999, originariamente creato da VeriSign, ed è sopravvissuto alla prova del tempo perché risolve in modo elegante un problema oggettivamente complesso. In un flusso di lavoro SCEP, il dispositivo genera localmente la propria coppia di chiavi privata e pubblica. Crea una richiesta di firma del certificato, o CSR, e la invia tramite un Network Device Enrolment Service, noto come NDES, alla tua Certificate Authority, o CA. La CA convalida la richiesta e restituisce il certificato pubblico firmato al dispositivo. Il vantaggio cruciale in termini di sicurezza è che la chiave privata non lascia mai il dispositivo. Viene generata localmente e memorizzata nell'enclave sicura dell'hardware del dispositivo. Su un laptop Windows, si tratta del Trusted Platform Module, o TPM. Su un iPhone, è il Secure Enclave. La chiave privata non viene mai trasmessa in rete. Questo è ciò che rende lo SCEP estremamente superiore ad alternative come il PKCS per l'autenticazione di rete, in cui la CA genera la coppia di chiavi centralmente e la trasmette al dispositivo. Ora parliamo di BYOD. È qui che le cose si fanno davvero interessanti da un punto di vista operativo. Desideri che il personale sia in grado di utilizzare i propri dispositivi personali per accedere agli strumenti interni, ma non vuoi costringerli a registrarsi nel tuo MDM aziendale. Si tratta di un problema di privacy che incontra una forte resistenza da parte del personale.La soluzione è un portale di onboarding self-service. Ecco come funziona. L'utente connette il proprio dispositivo personale a un SSID di provisioning dedicato. Questa rete è una "walled garden", che limita l'accesso a tutto tranne che al portale di onboarding e al provider di identità. L'utente si autentica utilizzando le proprie credenziali aziendali, solitamente tramite integrazione SAML con Microsoft Entra ID, Okta o Google Workspace. Una volta completata l'autenticazione, il sistema genera un certificato client unico e specifico per il dispositivo tramite SCEP. Al dispositivo viene inviato un profilo di configurazione contenente il certificato, il certificato CA root e le impostazioni di rete. Il dispositivo si connette quindi automaticamente al SSID aziendale sicuro utilizzando EAP-TLS. Il processo è fluido per l'utente e sicuro per l'azienda. Gli utenti non devono sapere nulla di certificati o 802.1X. Devono solo accedere una volta e sono connessi. Ora, esaminiamo l'implementazione in dettaglio. La sequenza di distribuzione è fondamentale e l'errore in questa fase è la causa più comune di fallimento. Fase uno: distribuire il Certificato Root Attendibile. Prima che qualsiasi dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione emittente. Esporta il certificato CA Root come file .cer e distribuiscilo ai gruppi di dispositivi di destinazione. Questa fase non è negoziabile. Senza di essa, l'intera catena fallisce. Fase due: configurare il Profilo del Certificato SCEP. Questo indica ai dispositivi come ottenere il loro certificato client. È necessario configurare il formato del nome del soggetto. Per l'autenticazione guidata dall'utente, lo standard è CN uguale a UserPrincipalName. Per l'autenticazione del dispositivo, usa CN uguale all'ID dispositivo Azure AD. Imposta l'utilizzo della chiave su firma digitale e crittografia della chiave. In utilizzo esteso della chiave, specifica Autenticazione Client con l'OID 1.3.6.1.5.5.7.3.2. Collega questo profilo al profilo del certificato Root Attendibile della fase uno. E fornisci l'URL esterno del tuo server NDES. Fase tre: distribuire il Profilo WiFi 802.1X. Questo collega i certificati al SSID di rete. Inserisci il nome della rete esattamente come trasmesso dai tuoi punti di accesso. Imposta il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise. Imposta il tipo EAP su EAP-TLS. Seleziona il profilo del certificato SCEP come certificato di autenticazione client. E specifica il certificato Root Attendibile per la convalida del server. Questa sequenza è la cosa più importante da ricordare di tutta questa sessione. Trust, poi certificato, poi WiFi. In questo ordine, ogni volta. Ora ti illustrerò alcune best practice che ti eviteranno notevoli problemi in produzione. In primo luogo, pubblica il tuo server NDES tramite Azure AD Application Proxy. Il server NDES deve essere accessibile da Internet per consentire ai dispositivi remoti di configurare i certificati prima del loro arrivo in sede. Tuttavia, esporre direttamente un server interno a Internet rappresenta un rischio significativo per la sicurezza. Application Proxy offre un accesso remoto sicuro senza aprire porte firewall in entrata. In secondo luogo, implementa certificati a breve termine per i dispositivi BYOD. Invece di un certificato valido per tre anni, emetti certificati validi per 90 giorni. Alla scadenza del certificato, l'utente deve autenticarsi nuovamente tramite il portale di onboarding. Questo elimina naturalmente i dispositivi inattivi dalla rete. Un dispositivo che non è stato utilizzato per 90 giorni viene semplicemente rimosso. Nessuna pulizia manuale richiesta. In terzo luogo, e questo è assolutamente fondamentale, configura il tuo server RADIUS per applicare un controllo rigoroso della Certificate Revocation List. Quando un dipendente lascia l'organizzazione, la disattivazione del suo account Active Directory potrebbe non revocare immediatamente il suo accesso alla WiFi se il suo certificato client rimane valido. Il tuo server RADIUS deve controllare la CRL prima di concedere l'accesso. Assicurati che i tuoi CRL Distribution Points siano altamente disponibili. Se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallisce per tutti. Si tratterebbe di un disservizio diffuso. Esaminiamo ora alcune delle modalità di guasto più comuni e come evitarle. Il problema più frequente è la mancata applicazione del profilo WiFi. Il dispositivo riceve i certificati Trusted Root e SCEP, ma il profilo WiFi viene visualizzato come Errore nella console MDM. Nove volte su dieci, ciò è dovuto a un errore di corrispondenza nel targeting dei gruppi. Se il profilo SCEP è assegnato a un Gruppo Utenti, ma il profilo WiFi è assegnato a un Gruppo Dispositivi, l'MDM non può risolvere la dipendenza. Controlla le tue assegnazioni. Assicurati che tutti e tre i profili abbiano come target lo stesso identico gruppo. Il secondo problema comune sono gli errori NDES 403 Forbidden. I dispositivi non riescono a recuperare il certificato SCEP e i log IIS di NDES mostrano errori HTTP 403. Questo è solitamente causato dal fatto che l'account del servizio connettore non dispone delle autorizzazioni necessarie sul modello di certificato, o da un firewall che blocca i parametri specifici della stringa di query utilizzati da SCEP. Verifica che l'account del connettore disponga delle autorizzazioni di Lettura e Registrazione sul modello CA. Controlla i log del firewall per assicurarti che gli URL contenenti il parametro operation equals GetCACaps non vengano bloccati. Permettimi di presentarti due scenari reali per illustrare come funziona in pratica. Scenario uno: un hotel di 200 camere con 50 addetti alle pulizie che utilizzano smartphone personali per accedere all'applicazione di pianificazione. Il responsabile IT vuole evitare la registrazione MDM completa per rispettare la privacy del personale. La soluzione è un portale self-service integrato con Microsoft Entra ID. Il personale si connette all'SSID di provisioning, effettua l'accesso con le proprie credenziali Microsoft Entra ID e scarica un profilo SCEP. Il server SCEP emette un certificato client di 30 giorni direttamente sul dispositivo. Il dispositivo si connette all'SSID della WiFi del personale utilizzando EAP-TLS. Il server RADIUS assegna questi dispositivi a una VLAN limitata che consente solo l'accesso all'applicazione di pianificazione. Quando un membro del personale si dimette, il suo account Microsoft Entra ID viene disattivato e il server RADIUS nega istantaneamente l'accesso alla rete. Scenario due: una catena retail nazionale con 500 negozi che implementa un WiFi sicuro per i tablet dei punti vendita di proprietà aziendale. L'architetto di rete deve garantire che, anche in caso di furto di un tablet, le credenziali non possano essere estratte. La soluzione è Microsoft Intune che distribuisce i certificati tramite SCEP. Intune distribuisce il certificato Trusted Root, seguito da un profilo SCEP che indica al tablet di generare la propria chiave privata nel suo enclave sicuro hardware. Il tablet invia un CSR al server NDES, riceve il certificato client e si connette al SSID Retail POS utilizzando EAP-TLS. Poiché la chiave privata viene generata localmente e mai trasmessa, le credenziali di un tablet rubato non possono essere utilizzate altrove. Questo soddisfa i requisiti di conformità PCI-DSS. Ora parliamo del caso aziendale. La transizione alla distribuzione dei certificati SCEP 802.1X offre ritorni misurabili in termini di sicurezza e operazioni. Il WiFi basato su password genera un volume significativo di ticket di helpdesk - scadenze delle password, blocchi, errori di battitura. L'autenticazione basata su certificati è invisibile all'utente. I dispositivi si connettono automaticamente. Ciò riduce tipicamente il volume dell'helpdesk relativo al WiFi del 70%. Si tratta di una riduzione materiale dei costi operativi. EAP-TLS elimina il rischio di raccolta delle credenziali e di attacchi Man-in-the-Middle. Questo è fondamentale per la conformità con PCI-DSS negli ambienti retail e GDPR in tutti i settori. Il costo di una violazione dei dati supera di gran lunga il costo dell'implementazione di un'adeguata infrastruttura PKI. E per le organizzazioni che già utilizzano la piattaforma di Guest WiFi e analytics di Purple, l'estensione dell'onboarding sicuro ai dispositivi BYOD del personale offre una strategia di gestione della rete unificata. L'overlay cloud indipendente dall'hardware di Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet, in modo da non essere vincolati a un singolo fornitore di hardware. Purple opera in 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024, possedendo le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. Permettetemi di concludere con un rapido riepilogo delle decisioni chiave che dovete prendere. Dovreste usare SCEP o PKCS? Utilizzate SCEP per l'autenticazione WiFi. La chiave privata rimane sul dispositivo. Utilizzate PKCS solo per la crittografia delle e-mail in cui è richiesto il deposito delle chiavi. Quanto tempo devono essere validi i certificati? 90 giorni per i BYOD. Da uno a due anni per i dispositivi gestiti dall'azienda. Dovreste utilizzare il targeting per utente o per dispositivo nel vostro MDM? Utilizzate il targeting per dispositivo per i dispositivi aziendali che devono connettersi prima del login dell'utente. Utilizzate il targeting per utente per i BYOD in cui il certificato deve essere legato al singolo individuo. Come gestite la frammentazione di Android? Utilizzate Passpoint, noto anche come Hotspot 2.0, ove possibile. Offre un'esperienza di connessione coerente tra i vari produttori di Android. E infine, qual è l'unica cosa più importante da fare bene? Il controllo CRL sul vostro server RADIUS. Senza di esso, un certificato revocato può comunque garantire l'accesso alla rete. Con questo si conclude il briefing di oggi. Se desideri approfondire uno di questi argomenti, le guide tecniche di Purple sulla sicurezza WiFi aziendale e sull'autenticazione tramite certificati EAP-TLS sono disponibili sul sito web di Purple all'indirizzo purple.ai. Grazie per l'ascolto.

header_image.png

Sintesi Esecutiva

Per le strutture aziendali che operano nel settore dell'ospitalità, del retail e nel settore pubblico, affidarsi a chiavi precondivise (PSK) o al MAC Authentication Bypass (MAB) per fornire l'accesso WiFi al personale e ai dispositivi personali (BYOD) rappresenta un rischio per la sicurezza. Le moderne architetture di rete richiedono l'autenticazione 802.1X tramite EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete. La sfida operativa risiede nel distribuire certificati client univoci a migliaia di dispositivi non gestiti senza sovraccaricare l'helpdesk IT con ticket di supporto.

Il Simple Certificate Enrolment Protocol (SCEP), definito nella RFC 8894, risolve questo problema di distribuzione attraverso la gestione automatizzata del ciclo di vita dei certificati. Sfruttando SCEP, i team IT possono distribuire certificati root attendibili e certificati client agli endpoint, garantendo che la chiave privata non lasci mai il dispositivo. Questa guida fornisce il progetto architetturale definitivo e la strategia di implementazione passo dopo passo per la distribuzione dei certificati WiFi tramite SCEP. Tratteremo la sequenza di implementazione critica richiesta per il successo, scenari reali del settore ospitalità e retail, e strategie di mitigazione del rischio per mantenere protetti e performanti il vostro Guest WiFi e le reti aziendali.

Approfondimento Tecnico: Architettura SCEP

SCEP è lo standard di settore per la registrazione dei dispositivi aziendali, creato da VeriSign e pubblicato come bozza internet IETF nel 1999. Automatizza il rilascio di certificati X.509 all'interno di un ambiente di Public Key Infrastructure (PKI), eliminando la necessità di gestire manualmente i certificati su larga scala.

scep_architecture_overview.png

In un flusso di lavoro SCEP, il dispositivo genera localmente la propria coppia di chiavi privata e pubblica. Crea una Certificate Signing Request (CSR) e la invia tramite un server NDES (Network Device Enrolment Service) alla Certificate Authority (CA). La CA convalida la richiesta utilizzando un segreto condiviso e restituisce il certificato pubblico firmato al dispositivo. Il vantaggio fondamentale in termini di sicurezza è che la chiave privata non lascia mai il dispositivo. Viene generata localmente e memorizzata nell'enclave sicura dell'hardware del dispositivo - il Trusted Platform Module (TPM) su Windows, o il Secure Enclave su iOS. Questo rende SCEP il metodo fortemente raccomandato per l'autenticazione 802.1X, a differenza di PKCS (Public Key Cryptography Standards), in cui la CA genera la coppia di chiavi centralmente e la trasmette attraverso la rete.

I quattro passaggi della registrazione del certificato SCEP sono i seguenti. Primo, il dispositivo si connette all'URL dell'endpoint SCEP ospitato dal server NDES. Secondo, il dispositivo presenta il segreto condiviso SCEP (una password statica o una verifica dinamica generata dalla piattaforma MDM) per convalidare la richiesta di registrazione. Terzo, il dispositivo genera una CSR contenente la sua chiave pubblica e le informazioni identificative. Quarto, la CA convalida la CSR ed emette un certificato X.509 firmato, che viene restituito al dispositivo.

SCEP vs PKCS: Scegliere il Meccanismo Adeguato

Durante la progettazione della strategia di implementazione dei certificati, la scelta tra SCEP e PKCS influisce direttamente sulla sicurezza. La tabella seguente riassume le differenze chiave.

Attributo SCEP PKCS
Generazione della chiave privata Sul dispositivo (enclave sicura) Sul server della CA
Trasmissione della chiave privata Mai trasmessa Trasmessa attraverso la rete
Requisiti infrastrutturali Richiede un server NDES Nessun NDES richiesto
Più adatto per Autenticazione WiFi e VPN Crittografia e-mail S/MIME
Livello di sicurezza per 802.1X Consigliato Non consigliato

Per il WiFi aziendale con SCEP, scegli sempre SCEP. Il mantenimento della chiave privata sul dispositivo è la proprietà di sicurezza fondamentale che rende l'autenticazione 802.1X basata su certificati superiore a qualsiasi metodo di autenticazione basato su credenziali.

Il Flusso di Onboarding Fai-da-Te per i Dispositivi BYOD

La base per un onboarding BYOD sicuro è la transizione dall'autenticazione legacy a EAP-TLS senza richiedere la registrazione completa a un Mobile Device Management (MDM). Costringere il personale a registrare gli smartphone personali nell'MDM aziendale solleva legittimi dubbi sulla privacy e incontra una forte resistenza. Un portale di onboarding self-service risolve questo problema.

Gli utenti connettono il proprio dispositivo personale a un SSID di provisioning dedicato, che funge da walled garden limitando l'accesso solo al portale di onboarding e all'identity provider. Gli utenti si autenticano tramite l'integrazione SAML o OAuth con Microsoft Entra ID, Okta o Google Workspace. Una volta completata l'autenticazione con successo, il sistema genera un certificato client unico e specifico per il dispositivo tramite SCEP. Un profilo di configurazione (un file .mobileconfig per Apple o un profilo Passpoint Android) viene inviato al dispositivo. Il dispositivo si connette quindi automaticamente all'SSID aziendale sicuro utilizzando EAP-TLS. L'utente non deve comprendere in alcun modo il funzionamento dei certificati o del protocollo 802.1X.

Guida all'Implementazione: La Sequenza di Distribuzione

La corretta configurazione di SCEP per 802.1X richiede il rigoroso rispetto di una sequenza di distribuzione specifica. La relazione di attendibilità deve essere stabilita prima di poter configurare l'autenticazione. La deviazione da questa sequenza rappresenta la causa più comune di fallimento delle distribuzioni.

Passo 1: Distribuire il Certificato Root Attendibile. Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve prima considerare attendibile l'autorità di certificazione (CA) emittente. Esporta il certificato della CA root (e gli eventuali certificati CA intermedi) come file .cer. Distribuisci questo profilo ai gruppi di dispositivi di destinazione tramite la tua piattaforma MDM. Questo passaggio non è negoziabile.

Passo 2: Configurare il Profilo del Certificato SCEP. Questo passaggio indica ai dispositivi come ottenere il proprio certificato client. Configura il formato del nome del soggetto - per l'autenticazione basata sull'utente lo standard è CN={{UserPrincipalName}}; per l'autenticazione del dispositivo utilizza CN={{AAD_Device_ID}}. Imposta l'utilizzo della chiave su Digital signature e Key encipherment. Sotto l'utilizzo esteso della chiave, specifica Client Authentication (OID: 1.3.6.1.5.5.7.3.2). Collega questo profilo al profilo del certificato root attendibile del Passo 1. Fornisci l'URL esterno del tuo server NDES.

Passo 3: Distribuire il Profilo WiFi 802.1X. Invia la configurazione WiFi che associa il certificato all'SSID di rete. Inserisci il nome della rete esattamente come trasmesso dai tuoi access point (AP). Imposta il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise. Imposta il tipo di EAP su EAP-TLS. Seleziona il profilo del certificato SCEP come certificato di autenticazione client. Specifica il certificato root attendibile per la convalida del server, garantendo che i dispositivi si connettano solo al tuo server RADIUS legittimo.

Questa sequenza si applica a tutte le piattaforme hardware supportate: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. L'overlay cloud agnostico rispetto all'hardware di Purple si integra con tutte queste piattaforme, il che significa che la tua infrastruttura di certificati non è vincolata a un singolo fornitore di hardware.

Best Practice

Pubblica NDES tramite Azure AD Application Proxy. Il server NDES deve essere raggiungibile da internet in modo che i dispositivi remoti possano effettuare il provisioning dei certificati prima di arrivare in sede. Esporre direttamente un server interno a internet presenta un rischio di sicurezza significativo. La pubblicazione tramite Azure AD Application Proxy fornisce un accesso remoto sicuro senza aprire porte in ingresso nel firewall, e consente di applicare i criteri di Conditional Access al flusso di registrazione.

Emetti certificati a breve durata per il BYOD. Poiché i dispositivi BYOD non sono gestiti, il rischio che un dispositivo compromesso rimanga sulla rete è maggiore. Emetti certificati validi per 90 giorni anziché per anni. Alla scadenza del certificato, l'utente dovrà autenticarsi nuovamente tramite il portale di onboarding. Questo elimina naturalmente i dispositivi obsoleti dalla rete senza alcun intervento manuale da parte dell'IT.

Applica un controllo rigoroso della CRL sul server RADIUS. L'implementazione del certificato è solo metà dell'equazione della sicurezza. Se un dipendente lascia l'azienda, la disattivazione del suo account Active Directory potrebbe non revocare immediatamente il suo accesso al WiFi se il certificato client rimane valido. Configura il tuo server RADIUS per imporre un controllo rigoroso della Certificate Revocation List (CRL). Assicurati che il tuo CRL Distribution Point (CDP) sia altamente disponibile. Se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallirà per tutti gli utenti, causando un'interruzione del servizio su larga scala.

Segmenta il BYOD su una VLAN dedicata. I dispositivi BYOD non sono gestiti. Non hai alcun controllo sugli aggiornamenti del loro sistema operativo, sullo stato dell'antivirus o sulle applicazioni installate. Posiziona i dispositivi BYOD su una VLAN dedicata che fornisca esclusivamente l'accesso a internet, limitato alle specifiche applicazioni interne necessarie per il ruolo del dipendente. Non posizionare mai i dispositivi BYOD sulla stessa VLAN dei server aziendali o dei dispositivi gestiti.

byod_vs_psk_comparison.png

Risoluzione dei problemi e mitigazione dei rischi

Impossibile applicare il profilo WiFi. Il dispositivo ha ricevuto il certificato root attendibile e il certificato SCEP, ma il profilo WiFi risulta in stato "Errore" nella console MDM. Questo è quasi sempre causato da una mancata corrispondenza del target di gruppo. Se il profilo SCEP è assegnato a un "gruppo di utenti" mentre il profilo WiFi è assegnato a un "gruppo di dispositivi", l'MDM non può risolvere la dipendenza. Verifica le tue assegnazioni e assicurati che i profili del root attendibile, SCEP e WiFi abbiano tutti come target lo stesso identico gruppo di Azure AD.

Errori NDES 403 Forbidden. I dispositivi non riescono a recuperare i certificati SCEP e i log IIS di NDES mostrano errori HTTP 403. Questo accade molto probabilmente perché l'account di servizio del connettore non ha le autorizzazioni necessarie sul modello di certificato, o perché il firewall sta bloccando i parametri della query string specifici utilizzati da SCEP. Verificare che l'account del connettore disponga delle autorizzazioni di "Lettura" e "Registrazione" sul modello CA. Controllare i log del firewall per assicurarsi che gli URL contenenti ?operation=GetCACaps non vengano bloccati.

Frammentazione Android. I dispositivi Apple iOS gestiscono i profili .mobileconfig in modo molto coerente. Android, tuttavia, è altamente frammentato - diversi produttori e versioni del sistema operativo gestiscono i profili WiFi e l'installazione dei certificati in modi diversi. Fornire istruzioni chiare e specifiche per ciascun sistema operativo sul portale di onboarding. L'uso di Passpoint (Hotspot 2.0) offre un flusso di connessione coerente tra i vari produttori, migliorando significativamente l'esperienza su Android.

Ritardi nella revoca dei certificati. Quando un dipendente lascia l'azienda, il suo accesso deve essere revocato immediatamente. Disabilitare il suo account IdP è il primo passo, ma il server RADIUS deve anche convalidare lo stato del certificato. Configurare il server RADIUS per utilizzare l'Online Certificate Status Protocol (OCSP) in aggiunta al controllo CRL. L'OCSP fornisce lo stato di revoca in tempo reale anziché affidarsi a un elenco aggiornato periodicamente.

ROI e Impatto Aziendale

Il passaggio alla distribuzione dei certificati SCEP 802.1X offre ritorni misurabili sia in termini di sicurezza che di operazioni. Il WiFi basato su password genera un volume elevato di ticket di assistenza a causa di password scadute, blocchi e errori di digitazione. L'autenticazione basata su certificati è invisibile per l'utente - i dispositivi si connettono automaticamente. Questo riduce tipicamente il carico di lavoro del servizio di assistenza relativo al WiFi del 70%, liberando il personale IT per concentrarsi su attività strategiche.

EAP-TLS elimina il rischio di furto delle credenziali e di attacchi man-in-the-middle (MitM). Questo è fondamentale per la conformità PCI-DSS negli ambienti retail e per la conformità GDPR in tutti i settori. Nel settore dell' hospitality , dove il personale gestisce dati di pagamento e informazioni personali degli ospiti, il costo di una violazione dei dati supera di gran lunga il costo della distribuzione di un'infrastruttura PKI ben progettata. Gli stessi fattori di conformità si applicano agli operatori del settore trasporti e alle strutture sanitarie .

Per i locali che già utilizzano le piattaforme Guest WiFi e WiFi Analytics di Purple, l'estensione dell'onboarding sicuro ai dispositivi BYOD del personale offre una strategia di gestione della rete unificata e robusta. Purple opera in oltre 80.000 sedi fisiche in tutto il mondo, ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple) e possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. I nostri componenti aggiuntivi di sicurezza SecurePass e Shield si integrano direttamente con l'architettura di autenticazione basata su certificati descritta in questa guida.

Per una prospettiva più ampia sulla sicurezza delle reti aziendali, consulta la nostra guida Sicurezza WiFi aziendale: la guida completa 2026 . Per considerazioni sulla conformità GDPR specifiche per gli amministratori di rete, consulta La guida dell'amministratore di rete alla conformità GDPR e alla privacy dei dati degli ospiti .

Definizioni chiave

SCEP (Simple Certificate Enrolment Protocol)

Un protocollo definito nella RFC 8894 che automatizza il rilascio di certificati digitali X.509 ai dispositivi all'interno di un ambiente PKI. Il dispositivo genera la propria chiave privata localmente, la quale non lascia mai il dispositivo.

Utilizzato per distribuire certificati di autenticazione WiFi a dispositivi aziendali e BYOD su larga scala senza l'intervento manuale dell'IT. Lo standard di settore per il provisioning dei certificati 802.1X.

802.1X

Uno standard IEEE (IEEE Std 802.1X-2020) per il controllo dell'accesso alla rete basato su porte. Fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN prima che venga concesso loro l'accesso alle risorse di rete.

Le fondamenta di un WiFi aziendale sicuro, che sostituisce le vulnerabili chiavi pre-condivise. Richiede un server RADIUS, un supplicant sul dispositivo client e un autenticatore sull'access point.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un framework di autenticazione che richiede sia al server sia al client di presentare certificati digitali validi. Fornisce un'autenticazione reciproca, garantendo che il dispositivo si fidi della rete e che la rete si fidi del dispositivo.

Il metodo più sicuro per l'autenticazione 802.1X. Elimina il furto di credenziali e gli attacchi Man-in-the-Middle. Il protocollo di autenticazione di destinazione che l'implementazione del certificato SCEP è progettata per abilitare.

NDES (Network Device Enrolment Service)

Un ruolo di Microsoft Windows Server che funge da ponte, consentendo ai dispositivi senza credenziali di dominio di ottenere certificati da una CA di Active Directory Certificate Services tramite SCEP.

Un componente infrastrutturale richiesto quando si implementa SCEP con Microsoft Intune. Dovrebbe essere pubblicato tramite Azure AD Application Proxy per consentire il provisioning remoto e sicuro dei certificati.

BYOD (Bring Your Own Device)

La pratica di consentire ai dipendenti di utilizzare i propri smartphone, tablet o laptop personali per accedere alle reti e alle applicazioni aziendali.

Richiede un'attenta segmentazione della rete e un onboarding sicuro per evitare che i dispositivi non gestiti compromettano la rete aziendale. La registrazione MDM completa è spesso impraticabile per i dispositivi personali a causa di problemi di privacy.

CRL (Certificate Revocation List)

Un elenco pubblicato dall'Autorità di Certificazione contenente i numeri di serie dei certificati che sono stati revocati prima della loro data di scadenza.

Deve essere verificata dal server RADIUS durante ogni tentativo di autenticazione per garantire che i dipendenti licenziati o i dispositivi compromessi non possano accedere alla rete. I punti di distribuzione CRL devono essere altamente disponibili.

CSR (Certificate Signing Request)

Un messaggio generato da un dispositivo e inviato a un'Autorità di Certificazione per richiedere un certificato di identità digitale. Contiene la chiave pubblica del dispositivo e le informazioni di identità.

Generato dal dispositivo durante il processo SCEP. La chiave privata utilizzata per firmare la CSR rimane sul dispositivo e non viene mai trasmessa.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti e i dispositivi che si connettono a una rete.

Il server che convalida il certificato del client durante l'autenticazione 802.1X e concede o nega l'accesso alla rete. Deve essere configurato per applicare una rigida verifica CRL o OCSP.

PKCS (Public Key Cryptography Standards)

Un insieme di standard in cui sia la chiave pubblica che quella privata vengono generate dall'Autorità di Certificazione e poi consegnate in modo sicuro all'endpoint.

Meno adatto rispetto a SCEP per l'autenticazione WiFi perché la chiave privata viene trasmessa sulla rete. Più adatto per la crittografia delle e-mail S/MIME in cui è richiesto il deposito della chiave.

OCSP (Online Certificate Status Protocol)

Un protocollo che fornisce lo stato di revoca del certificato in tempo reale, in alternativa alla CRL aggiornata periodicamente.

Preferito alla CRL per gli ambienti ad alta sicurezza perché fornisce lo stato di revoca istantaneo anziché fare affidamento su un elenco che potrebbe essere aggiornato a distanza di ore.

Esempi pratici

Un hotel di 200 camere deve fornire un accesso WiFi sicuro a 50 addetti alle pulizie che utilizzano i propri smartphone personali (BYOD) per accedere all'app di pianificazione dei turni. Il responsabile IT desidera evitare la registrazione completa all'MDM per rispettare la privacy del personale, ma deve garantire che l'accesso venga revocato immediatamente in caso di dimissioni di un dipendente.

L'hotel implementa un portale di onboarding self-service integrato con Microsoft Entra ID. Il personale si connette a un SSID di provisioning aperto, si autentica con le proprie credenziali di Entra ID e scarica un profilo SCEP. Il server SCEP emette un certificato client di 30 giorni direttamente sul dispositivo, con la chiave privata generata e memorizzata localmente nell'enclave sicura dello smartphone. Il dispositivo si connette automaticamente all'SSID "Staff_WiFi" utilizzando EAP-TLS. Il server RADIUS assegna questi dispositivi a una VLAN limitata che consente l'accesso solo all'app di pianificazione e a Internet. Quando un dipendente si dimette, il suo account Entra ID viene disattivato. Il server RADIUS, configurato per un controllo rigoroso della CRL, nega l'accesso alla rete al successivo tentativo di autenticazione. La validità di 30 giorni del certificato garantisce che, anche in caso di ritardo nel controllo della CRL, l'accesso scada entro un mese.

Commento dell'esaminatore: Questo approccio bilancia la sicurezza con la privacy del personale. Utilizzando SCEP tramite un Captive Portal anziché la registrazione completa all'MDM, l'hotel evita di installare un profilo di gestione sui dispositivi personali. La validità del certificato di 30 giorni e il controllo rigoroso della CRL forniscono un controllo degli accessi stratificato. La segmentazione della VLAN garantisce che anche un dispositivo BYOD compromesso non possa raggiungere i server aziendali o i sistemi di pagamento.

Una catena di vendita al dettaglio nazionale con 500 negozi deve implementare un WiFi sicuro per i tablet POS (Point of Sale) di proprietà aziendale con sistema operativo Windows. L'architetto di rete deve garantire che, anche in caso di furto di un tablet, le credenziali di rete non possano essere estratte e utilizzate per accedere alla rete aziendale da un altro dispositivo. La conformità a PCI-DSS è obbligatoria.

L'architetto di rete configura Microsoft Intune per distribuire i certificati tramite SCEP. Intune invia il certificato Trusted Root al gruppo "Dispositivi POS", seguito da un profilo SCEP che indica a ciascun tablet di generare la propria chiave privata nel TPM di Windows. Il tablet invia una CSR al server NDES, riceve il certificato client e si connette all'SSID "Retail_POS" utilizzando WPA3-Enterprise e EAP-TLS. Il server RADIUS autentica il certificato e inserisce il dispositivo nella VLAN isolata del POS, che consente il traffico solo verso il processore di pagamento e il sistema di gestione dell'inventario. Tutti e tre i profili Intune - Trusted Root, SCEP e WiFi - sono assegnati allo stesso gruppo di dispositivi "Dispositivi POS" per evitare errori di dipendenza. NDES è pubblicato tramite Azure AD Application Proxy per consentire il rinnovo del certificato senza richiedere che il tablet sia in loco.

Commento dell'esaminatore: Questa è l'architettura ottimale per i dispositivi aziendali in un ambiente PCI-DSS. Poiché SCEP garantisce che la chiave privata venga generata localmente nel TPM e mai trasmessa, le credenziali di un tablet rubato non possono essere estratte e riutilizzate da un altro dispositivo. Lo standard WPA3-Enterprise fornisce la forward secrecy, garantendo che il traffico catturato non possa essere decifrato retroattivamente. L'isolamento della VLAN limita l'area di impatto di qualsiasi dispositivo compromesso al solo segmento di rete del POS.

Domande di esercitazione

Q1. Stai distribuendo un profilo SCEP tramite Intune su una flotta di laptop Windows. I dispositivi ricevono correttamente il certificato Trusted Root, ma l'applicazione del profilo WiFi non riesce e mostra lo stato 'Errore' nella console di Intune. Il profilo SCEP è assegnato al gruppo Azure AD 'All Users', mentre il profilo WiFi è assegnato al gruppo di dispositivi 'Corporate Laptops'. Qual è la causa del problema e come lo risolvi?

Suggerimento: Considera le dipendenze tra i profili e il modo in cui Intune risolve il targeting dei gruppi quando un profilo dipende da un altro.

Visualizza risposta modello

L'errore è causato da una mancata corrispondenza nel target dei gruppi. Intune non può risolvere la dipendenza tra il profilo SCEP e il profilo WiFi perché si rivolgono a tipi di gruppi diversi: uno si rivolge agli utenti e l'altro ai dispositivi. Per risolvere questo problema, verifica le assegnazioni di tutti e tre i profili e assicura che i profili Trusted Root, SCEP e WiFi siano tutti distribuiti esattamente allo stesso gruppo Azure AD. Scegli in modo coerente il target utente o il target dispositivo per tutti i profili.

Q2. Un punto vendita retail desidera proteggere i propri tablet POS. Il direttore IT suggerisce di utilizzare PKCS invece di SCEP perché semplifica l'infrastruttura eliminando la necessità di un server NDES. In qualità di network architect, perché dovresti raccomandare SCEP per l'autenticazione WiFi 802.1X, e in quali circostanze PKCS sarebbe la scelta corretta?

Suggerimento: Pensa a dove viene generata e memorizzata la chiave privata in entrambi i protocolli e considera le implicazioni di sicurezza per l'autenticazione di rete rispetto alla crittografia delle email.

Visualizza risposta modello

Raccomanda SCEP per l'autenticazione WiFi 802.1X poiché la chiave privata viene generata localmente sul dispositivo e memorizzata nel suo secure enclave hardware. La chiave privata non lascia mai il dispositivo e non viene mai trasmessa sulla rete. Se un tablet viene rubato, le credenziali non possono essere estratte e utilizzate da un altro dispositivo. Con PKCS, la CA genera la coppia di chiavi centralmente e la trasmette al dispositivo, introducendo un rischio di trasmissione inaccettabile per l'autenticazione di rete. PKCS è la scelta corretta solo per la crittografia delle email S/MIME, dove è richiesto il key escrow per consentire la decrittografia delle email crittografate in caso di smarrimento del dispositivo originale.

Q3. Stai progettando un portale di onboarding BYOD per un ospedale da 500 posti letto. Il personale clinico utilizzerà i propri smartphone personali per accedere ad app interne non critiche, come i turni del personale e la messaggistica interna. È necessario ridurre al minimo il rischio che i dispositivi obsoleti rimangano sulla rete dopo la partenza del personale, senza richiedere l'intervento manuale dell'IT per ogni uscita. Quale specifica configurazione del certificato dovresti implementare?

Suggerimento: Considera il ciclo di vita del certificato e come puoi forzare i dispositivi a riautenticarsi periodicamente senza richiedere all'IT di revocare manualmente ciascun certificato.

Visualizza risposta modello

Implementa certificati a breve scadenza con un periodo di validità da 30 a 90 giorni. Alla scadenza del certificato, il dispositivo BYOD è costretto a riautenticarsi attraverso il Captive Portal utilizzando le credenziali IdP aziendali del membro del personale. Se il dipendente ha lasciato l'azienda e il suo account IdP è stato disattivato, non potrà completare la riautenticazione e non riceverà un nuovo certificato. Questo elimina naturalmente i dispositivi obsoleti dalla rete senza richiedere all'IT di revocare manualmente i singoli certificati. Combina questa soluzione con il controllo OCSP sul server RADIUS per garantire la revoca immediata quando un account viene disattivato, fornendo una difesa in profondità tra i cicli di scadenza dei certificati.

Q4. Il tuo server NDES restituisce errori HTTP 403 Forbidden per tutte le richieste di certificati SCEP. Il server NDES è accessibile da Internet tramite Azure AD Application Proxy. Quali sono le due cause più probabili di questo errore e come si diagnostica ciascuna di esse?

Suggerimento: Considera sia i permessi sul modello di certificato sia il percorso di rete tra il dispositivo e il server NDES.

Visualizza risposta modello

Le due cause più probabili sono: in primo luogo, l'account di servizio Intune Certificate Connector non dispone dei permessi necessari sul modello di certificato della CA. Verificare che l'account di servizio abbia i permessi di 'Lettura' e 'Iscrizione' sul modello nella console della CA. In secondo luogo, il firewall o l'Application Proxy sta bloccando i parametri specifici della stringa di query utilizzati da SCEP. Controllare i log del firewall e dell'Application Proxy per richieste contenenti parametri come "?operation=GetCACaps" o "?operation=PKIOperation". Queste sono operazioni SCEP standard che devono essere consentite. Se l'Application Proxy sta rimuovendo le stringhe di query, regolare le impostazioni di pre-autenticazione per consentire il pass-through per il percorso URL di NDES.

Continua a leggere questa serie

Come segregare in sicurezza le reti WiFi del personale e degli ospiti

Questa guida tecnica autorevole fornisce ai leader IT strategie pratiche per segregare in sicurezza le reti WiFi del personale, degli ospiti e dei dispositivi IoT utilizzando VLAN e 802.1X. Descrive dettagliatamente come proteggere l'infrastruttura aziendale, mantenere la conformità PCI DSS e sfruttare i captive portal per raccogliere dati di prima parte.

Leggi la guida →

Il miglior filtro DNS: una guida completa per le aziende

Questa guida tecnica di riferimento spiega in che modo il filtraggio DNS aziendale protegge le reti pubbliche bloccando i domini dannosi a livello di risoluzione - prima ancora che venga stabilita una connessione. Fornisce ai direttori IT, agli architetti di rete e ai team operativi delle sedi l'architettura di implementazione, la configurazione del firewall e il contesto di conformità necessari per proteggere il WiFi per gli ospiti in ambienti alberghieri, retail e del settore pubblico. Purple Shield blocca malware, botnet e contenuti inappropriati a livello DNS in oltre 80.000 sedi attive.

Leggi la guida →

Comprensione di Cisco SUDI: Identità ancorata all'hardware nel controllo degli accessi di rete sicuro

Questa guida spiega come Cisco SUDI fornisca un'identità crittograficamente sicura e ancorata all'hardware per l'infrastruttura di rete aziendale. Scopri come sostituire gli indirizzi MAC facilmente falsificabili con certificati 802.1AR immutabili per proteggere il controllo degli accessi alla rete della tua struttura.

Leggi la guida →