Gestione dei certificati digitali per l'autenticazione WiFi EAP-TLS
Questa guida tecnica di riferimento descrive in dettaglio la gestione del ciclo di vita dei certificati digitali per l'autenticazione WiFi EAP-TLS. Fornisce strategie operative per distribuire, rinnovare e revocare i certificati su scala in reti aziendali utilizzando integrazioni SCEP e MDM.
Ascolta questa guida
Visualizza trascrizione del podcast
- Executive Summary
- Approfondimento Tecnico
- Architettura PKI a Tre Livelli
- Durata dei Certificati e Standard Crittografici
- Guida all'Implementazione
- Passaggio 1: Stabilire la Catena di Fiducia
- Passaggio 2: Automatizzare il Rilascio tramite SCEP
- Passaggio 3: Configurare i Criteri RADIUS
- Best Practice
- Risoluzione dei Problemi e Mitigazione dei Rischi
- Errori dell'Ancoraggio di Fiducia
- Scadenze di Massa
- Timeout OCSP
- ROI e Impatto Aziendale

Executive Summary
La gestione dei certificati digitali per l'autenticazione WiFi EAP-TLS rappresenta una sfida operativa importante per i team IT aziendali. Poiché le organizzazioni stanno eliminando l'autenticazione basata su credenziali per allinearsi alla conformità Zero Trust, l'onere operativo si sposta dai reset delle password alla gestione del ciclo di vita dei certificati. Questa guida illustra dettagliatamente i modelli architetturali necessari per distribuire, rinnovare e revocare i certificati lato client su scala all'interno di ambienti aziendali complessi.
Per i CTO e gli architetti di rete, l'obiettivo è chiaro: implementare una Public Key Infrastructure (PKI) robusta che si integri perfettamente con le piattaforme di Mobile Device Management (MDM) esistenti. Automatizzando l'emissione dei certificati tramite Simple Certificate Enrolment Protocol (SCEP) ed eseguendo la revoca in tempo reale, si elimina l'intervento manuale. Questo approccio protegge il perimetro di rete, soddisfa i framework di conformità tra cui PCI-DSS 4.0 e garantisce una connettività continua per oltre 80.000 sedi fisiche che eseguono hardware aziendale.
Approfondimento Tecnico
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) rappresenta lo standard di riferimento per il controllo degli accessi alla rete 802.1X. Esso impone la mutua autenticazione. Il server RADIUS presenta il proprio certificato per dimostrare la sua identità al client, mentre il client presenta il suo certificato per dimostrare la propria identità alla rete.
Architettura PKI a Tre Livelli
Una gerarchia PKI piatta introduce rischi inaccettabili. Il modello consigliato è un'architettura a tre livelli:
- Root Certificate Authority (Root CA): L'ancora di attendibilità finale. Questo server rimane offline e isolato (air-gapped) dalla rete. La sua unica funzione è firmare i certificati della CA intermedia.
- Intermediate CA (Issuing CA): Questo server rimane online e gestisce la firma quotidiana dei certificati dei client e dei server. In caso di compromissione, può essere revocato dalla Root CA senza dover ricostruire l'intera infrastruttura di trust.
- Certificati End-Entity: Questi sono i certificati effettivi distribuiti ai server RADIUS e ai dispositivi client.

Durata dei Certificati e Standard Crittografici
Il settore sta imponendo durate dei certificati più brevi per limitare la finestra di esposizione in caso di compromissione di una chiave. Mentre i certificati TLS pubblici sono limitati a 398 giorni, i certificati client interni utilizzati per l'autenticazione WiFi utilizzano in genere un periodo di validità di 365 giorni.
I requisiti crittografici impongono un minimo di chiavi RSA a 2048 bit o Elliptic Curve Cryptography (ECC) utilizzando la curva P-256. La modalità WPA3-Enterprise a 192 bit richiede suite di cifratura specifiche, e EAP-TLS è l'unico metodo di autenticazione che soddisfa pienamente questi requisiti.
Guida all'Implementazione
La distribuzione di EAP-TLS in sedi distribuite richiede una stretta integrazione tra il provider di identità, la piattaforma MDM e l'hardware di rete. L'overlay cloud di Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.
Passaggio 1: Stabilire la Catena di Fiducia
Prima che un dispositivo possa autenticarsi, deve considerare attendibile il server RADIUS. Distribuisci il certificato della Root CA a tutti i dispositivi gestiti tramite il tuo MDM. Per i dispositivi non gestiti, è necessario fornire un portale di onboarding di bootstrap per installare il profilo di attendibilità.
Passaggio 2: Automatizzare il Rilascio tramite SCEP
La generazione manuale dei certificati non è praticabile. Implementa SCEP per automatizzare questo flusso di lavoro:
- L'MDM (ad es. Microsoft Intune) invia un payload SCEP al dispositivo.
- Il dispositivo genera localmente una chiave privata.
- Il dispositivo invia una richiesta di firma del certificato (CSR) al server SCEP.
- La CA rilascia il certificato e il dispositivo lo installa nel suo keystore protetto da hardware.
Passaggio 3: Configurare i Criteri RADIUS
Configura il tuo server RADIUS per richiedere EAP-TLS. Assicurati che il server convalidi il Subject Alternative Name (SAN) nel certificato client rispetto alla directory di identità (Microsoft Entra ID, Okta o Google Workspace) per confermare che l'account utente sia ancora attivo.

Best Practice
- Automatizzare il Rinnovo Anticipato: Configura i profili MDM per attivare il rinnovo del certificato almeno 30 giorni prima della scadenza. Ciò previene improvvisi errori di autenticazione in intere sedi.
- Imporre Keystore Hardware: Richiedi che le chiavi private siano generate e archiviate all'interno del Trusted Platform Module (TPM) o del Secure Enclave del dispositivo. Le chiavi devono essere configurate come non esportabili.
- Implementare la Revoca in Tempo Reale: L'affidamento a Certificate Revocation Lists (CRL) statiche introduce latenza. Implementa l'Online Certificate Status Protocol (OCSP) in modo che il server RADIUS possa verificare lo stato del certificato in tempo reale durante l'autenticazione.
Risoluzione dei Problemi e Mitigazione dei Rischi
I casi di errore più comuni nelle distribuzioni EAP-TLS sono legati alla fiducia e al tempo.
Errori dell'Ancoraggio di Fiducia
Se un dispositivo client rifiuta il certificato del server RADIUS, l'autenticazione fallirà in modo silenzioso. Ciò accade quando il certificato della Root CA è mancante nel trust store del dispositivo. Verifica i log di distribuzione MDM per assicurarti che il profilo di attendibilità venga applicato prima del profilo WiFi. Per ulteriori informazioni diagnostiche sui problemi di connettività, consulta Risoluzione dei Problemi WiFi Pubblico: Risolvere gli Errori 'Connesso, Senza Internet' e di Reindirizzamento della Splash Page .
Scadenze di Massa
L'emissione simultanea di migliaia di certificati crea un picco di rinnovi critico. Se il server SCEP subisce tempi di inattività durante questa finestra, i dispositivi verranno disconnessi dalla rete. Scagliona le distribuzioni iniziali per distribuire il carico di rinnovo.
Timeout OCSP
Se il server RADIUS non riesce a raggiungere il risponditore OCSP, deve decidere se consentire comunque l'accesso (fail open) o bloccarlo (fail closed). Per le reti aziendali, il blocco dell'accesso (failing closed) è la prassi standard. Assicurati che la tua infrastruttura OCSP sia altamente disponibile e distribuita geograficamente.
ROI e Impatto Aziendale
Il passaggio a EAP-TLS richiede un impegno ingegneristico iniziale, ma il ritorno operativo è significativo. Un'organizzazione con 5.000 utenti spende in genere 40 ore al mese per risolvere i ripristini delle password e i blocchi RADIUS causati dalle rotazioni delle password PEAP.
Automatizzando i cicli di vita dei certificati, puoi eliminare questi ticket di supporto. Inoltre, soddisfi i severi requisiti di controllo degli accessi di ISO 27001 e PCI-DSS, riducendo i costi di audit. Se integrato con il Guest WiFi e il WiFi Analytics , Purple offre una visione unificata dell'accesso alla rete per tutti i tipi di utenti, semplificando la reportistica di conformità in sedi distribuite.
Definizioni chiave
EAP-TLS
Extensible Authentication Protocol con Transport Layer Security. Un framework di autenticazione che richiede sia al client che al server di dimostrare la propria identità tramite certificati digitali.
Lo standard di settore per la sicurezza delle reti WiFi aziendali senza affidarsi a password vulnerabili.
SCEP
Simple Certificate Enrolment Protocol. Un protocollo utilizzato dalle piattaforme MDM per automatizzare in modo sicuro la richiesta e l'installazione di certificati digitali sui dispositivi.
Essenziale per scalare le distribuzioni EAP-TLS oltre poche decine di dispositivi, eliminando la gestione manuale dei certificati.
RADIUS
Remote Authentication Dial-In User Service. Il protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e accounting.
Il componente server che convalida il certificato del client e indica all'access point di concedere l'accesso alla rete.
OCSP
Online Certificate Status Protocol. Un protocollo internet utilizzato per ottenere lo stato di revoca di un certificato digitale X.509 in tempo reale.
Sostituisce le CRL statiche per garantire che un certificato revocato venga bloccato immediatamente dalla rete.
Root CA
Root Certificate Authority. L'autorità crittografica di massimo livello in una Public Key Infrastructure, utilizzata per firmare le CA subordinate.
Deve essere mantenuta altamente sicura e offline per proteggere l'intera catena di attendibilità dell'organizzazione.
SAN
Subject Alternative Name. Un'estensione di X.509 che consente di associare vari valori a un certificato di sicurezza, come indirizzi email o UPN.
Utilizzato dal server RADIUS per mappare il certificato a uno specifico account utente nella directory delle identità.
MDM
Mobile Device Management. Software utilizzato dai dipartimenti IT per monitorare, gestire e proteggere i dispositivi mobili dei dipendenti.
Il meccanismo di distribuzione che invia la configurazione SCEP e i profili WiFi ai dispositivi degli utenti finali.
CRL
Certificate Revocation List. Un elenco di certificati digitali che sono stati revocati dalla CA emittente prima della data di scadenza prevista.
Un metodo legacy per verificare la validità dei certificati che risente di problemi di latenza rispetto a OCSP.
Esempi pratici
Un gruppo alberghiero con 150 strutture deve proteggere l'accesso del personale su 3.000 dispositivi. Attualmente utilizzano PEAP con una password condivisa che ruota trimestralmente, causando un volume significativo di richieste all'helpdesk. Come dovrebbero implementare EAP-TLS?
Distribuire Microsoft Intune per gestire tutti i dispositivi aziendali. Stabilire una CA intermedia ADCS Microsoft integrata con Intune tramite l'Intune Certificate Connector. Inviare il certificato della Root CA a tutti i dispositivi, seguito da un profilo SCEP che richiede un certificato client con validità di 365 giorni. Configurare il profilo WiFi per utilizzare EAP-TLS e puntare ai server RADIUS collegati a Purple. Impostare il profilo SCEP per rinnovarsi automaticamente al raggiungimento del 20% della durata residua (73 giorni).
Una catena di negozi al dettaglio richiede un WiFi sicuro per i dispositivi portatili dei punti vendita in 200 sedi. I dispositivi utilizzano Android e perdono frequentemente la connettività con il server di gestione centrale. Come si gestisce la revoca dei certificati?
Implementare OCSP per il controllo della revoca in tempo reale a livello di server RADIUS. Configurare il server RADIUS per interrogare il risponditore OCSP per ogni tentativo di autenticazione. Se un dispositivo portatile viene segnalato come smarrito, il team di sicurezza revoca il certificato nella CA. Al successivo tentativo di associazione del dispositivo a un access point, il server RADIUS riceve una risposta "revocato" da OCSP e nega immediatamente l'accesso.
Domande di esercitazione
Q1. Stai distribuendo EAP-TLS per 2.000 laptop aziendali. L'infrastruttura SCEP è configurata, ma durante i test i laptop non riescono a connettersi al WiFi. I log di RADIUS mostrano "Unknown CA". Qual è la causa più probabile?
Suggerimento: Considera l'ordine delle operazioni quando distribuisci i profili di attendibilità rispetto ai profili di autenticazione.
Visualizza risposta modello
I laptop non hanno il certificato della Root CA installato nel loro archivio radice attendibile. L'MDM deve essere configurato per inviare il payload del certificato Root CA ai dispositivi prima di inviare il payload SCEP o il profilo WiFi EAP-TLS. Senza la Root CA, il client rifiuta il certificato del server RADIUS.
Q2. Un dispositivo compromesso viene segnalato come smarrito. Il team IT elimina il dispositivo dall'MDM e revoca il certificato nella CA. Tuttavia, i test rivelano che il dispositivo può ancora connettersi alla rete per un massimo di 12 ore. Come si risolve questo problema?
Suggerimento: Osserva il modo in care il server RADIUS convalida lo stato dei certificati.
Visualizza risposta modello
Il server RADIUS si affida probabilmente a una Certificate Revocation List (CRL) che viene pubblicata o scaricata solo ogni 12 - 24 ore. Per risolvere questo problema, implementa l'Online Certificate Status Protocol (OCSP) e configura il server RADIUS per interrogare il responder OCSP per una convalida in tempo reale durante ogni tentativo di autenticazione.
Q3. Stai progettando la policy del ciclo di vita dei certificati. Il team di sicurezza desidera una durata dei certificati di 30 giorni per ridurre al minimo i rischi, ma il team di rete è preoccupato per il carico del server SCEP e per le interruzioni di connettività. Qual è il bilanciamento consigliato?
Suggerimento: Considera la differenza tra certificati web pubblici e PKI gestita internamente.
Visualizza risposta modello
Un periodo di validità di 365 giorni con rinnovo automatico attivato 60 o 90 giorni prima della scadenza offre il bilanciamento ottimale. Una durata di 30 giorni per i certificati WiFi comporta un rischio operativo eccessivo se i dispositivi sono offline durante la loro ristretta finestra di rinnovo. La sicurezza viene mantenuta attraverso una revoca OCSP robusta e in tempo reale anziché con durate eccessivamente brevi.
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.