Vai al contenuto principale
Italiano

Gestione dei Certificati Digitali per l'Autenticazione WiFi EAP-TLS

Questa guida di riferimento tecnico descrive in dettaglio la gestione del ciclo di vita dei certificati digitali per l'autenticazione WiFi EAP-TLS. Offre strategie pratiche per implementare, rinnovare e revocare i certificati su scala nelle reti aziendali utilizzando le integrazioni SCEP e MDM.

📖 4 minuti di lettura📝 892 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Parla in inglese britannico con un tono sicuro, autorevole e colloquiale, come un consulente senior che fa un briefing a un cliente. Ritmo misurato, dizione chiara, caloroso ma diretto. Pause naturali occasionali per dare enfasi: Benvenuti alla serie di briefing tecnici di Purple. Oggi parliamo della gestione dei certificati EAP-TLS, nello specifico di come gestire un programma di autenticazione WiFi basato su certificati su larga scala senza che diventi un onere operativo a tempo pieno. [medium pause] Se siete responsabili del WiFi aziendale o del personale su più sedi, che si tratti di un gruppo alberghiero, di un patrimonio retail, di un campus universitario o di un ente del settore pubblico, questo briefing fa al caso vostro. Copriremo l'intero ciclo di vita dei certificati: dalla configurazione della gerarchia delle CA, alla distribuzione automatizzata tramite SCEP e MDM, fino al rinnovo e alla revoca. E parleremo di cosa può andare storto, perché le cose vanno storte, e di come evitare le trappole più comuni. [medium pause] Partiamo dalle basi. EAP-TLS, ovvero Extensible Authentication Protocol con Transport Layer Security, è il gold standard per l'autenticazione WiFi 802.1X. A differenza di PEAP, che si affida a nome utente e password, EAP-TLS utilizza l'autenticazione reciproca basata su certificati. Il dispositivo dimostra la propria identità con un certificato client. Il server RADIUS dimostra la propria identità con un certificato server. Entrambe le parti verificano l'altra. Nessuna password da phishare. Nessuna credenziale da rubare. Ecco perché il PCI DSS 4.0 e le linee guida zero-trust dell'NCSC indicano entrambi l'autenticazione basata su certificati per le reti del personale. [medium pause] Ora, l'architettura. Sono necessarie tre cose per far funzionare EAP-TLS. Primo, una Public Key Infrastructure: la vostra gerarchia di CA. Secondo, un meccanismo per trasferire i certificati sui dispositivi, ovvero SCEP o la vostra piattaforma MDM. Terzo, un server RADIUS che si fidi della vostra CA e possa convalidare i certificati client in tempo reale. [medium pause] La gerarchia delle CA è il punto in cui la maggior parte delle organizzazioni riscontra problemi fin da subito. Il modello corretto è quello a tre livelli. In cima si ha una Root CA, che dovrebbe essere offline, isolata (air-gapped) e portata online solo per firmare il certificato della CA intermedia. La CA intermedia, a volte chiamata Issuing CA, è quella che firma effettivamente i certificati quotidiani. È online, ma la sua chiave privata è ben protetta. Al di sotto di essa, si emettono due tipi di certificati: certificati server per l'infrastruttura RADIUS e certificati client per i dispositivi e gli utenti. [medium pause] Perché questo è importante? Perché se la Root CA viene compromessa, è necessario ricostruire l'intera PKI da zero e registrare nuovamente ogni dispositivo. Mantenerla offline elimina questo rischio. La CA intermedia può essere sostituita senza toccare la Root. Questo è l'argomento della resilienza operativa a favore del modello a tre livelli. [medium pause] Parliamo dei periodi di validità dei certificati. C'è stato un cambiamento significativo nel settore. Apple, Google e Mozilla si sono mossi tutti per imporre durate massime dei certificati più brevi. Per i certificati server TLS, il massimo è ora di 398 giorni. Per i certificati client nel WiFi aziendale, si ha maggiore flessibilità (uno o due anni è comune), ma la tendenza è verso durate più brevi e rinnovi automatici, piuttosto che certificati a lungo termine gestiti manualmente. Il motivo è semplice: una durata più breve limita la finestra di esposizione in caso di compromissione del certificato. [medium pause] Questo ci porta all'automazione. La gestione manuale dei certificati non è scalabile. Se si hanno 500 dispositivi, si possono quasi gestire i rinnovi manualmente. Se si hanno 5.000 dispositivi distribuiti su 50 siti, non è possibile. È necessario SCEP (Simple Certificate Enrolment Protocol) o il suo successore moderno, EST. SCEP si integra direttamente con le piattaforme MDM, tra cui Microsoft Intune, Jamf Pro e VMware Workspace ONE. L'MDM invia un profilo di configurazione SCEP al dispositivo. Il dispositivo genera una coppia di chiavi, invia una richiesta di firma del certificato al server SCEP e riceve in risposta un certificato firmato, il tutto senza alcuna interazione da parte dell'utente. [medium pause] Per i dispositivi Windows in un ambiente Active Directory, esiste un'alternativa: la registrazione automatica basata su Criteri di gruppo tramite Active Directory Certificate Services. Il dispositivo si autentica nel dominio, la CA emette un certificato automaticamente e il certificato viene rinnovato prima della scadenza senza alcun intervento manuale. Questo è il percorso più fluido per le infrastrutture prevalentemente basate su Windows. [medium pause] Ora parliamo della revoca. Questo è l'aspetto su cui le organizzazioni investono meno spesso, ed è quello che conta di più quando qualcosa va storto. Se un dispositivo viene smarrito, rubato o se un dipendente lascia l'azienda, è necessario revocare immediatamente il relativo certificato. Esistono due meccanismi: CRL (Certificate Revocation Lists) e OCSP (Online Certificate Status Protocol). [medium pause] Il CRL è il meccanismo più vecchio. La CA pubblica un elenco di numeri di serie di certificati revocati a un URL noto. Il server RADIUS scarica periodicamente questo elenco ed effettua una verifica su di esso. Il problema del CRL è la latenza: se il CRL ha un periodo di validità di 24 ore, un certificato revocato può ancora autenticarsi fino a 24 ore dopo la revoca. [medium pause] OCSP è l'alternativa in tempo reale. Il server RADIUS invia una query al risponditore OCSP per ogni tentativo di autenticazione e riceve una risposta immediata di validità o revoca. Il compromesso è che il risponditore OCSP diventa una dipendenza critica: se non è disponibile, è necessario decidere se consentire l'accesso (fail open) o bloccarlo (fail closed). Per gli ambienti ad alta sicurezza, la risposta corretta è fail closed. Per gli ambienti operativi in cui la disponibilità è fondamentale, è possibile configurare un breve periodo di tolleranza OCSP. [medium pause] Permettetemi di presentarvi due scenari concreti per rendere il concetto più reale. [medium pause] Primo: un gruppo alberghiero con 150 strutture. Utilizzavano PEAP con una password condivisa per la WiFi del personale. La rotazione delle password era trimestrale, il che significava una finestra di due settimane ogni trimestre in cui il personale rimaneva bloccato fuori o utilizzava la vecchia password. Sono passati a EAP-TLS utilizzando Microsoft Intune per la distribuzione dei certificati. Profili SCEP inviati a tutti i dispositivi Windows e iOS. Active Directory Certificate Services come CA. Il risultato: zero eventi di rotazione delle password, rinnovo dei certificati gestito automaticamente 30 giorni prima della scadenza e, quando un dipendente lasciava l'azienda, il suo certificato veniva revocato nell'MDM entro pochi minuti dalla disattivazione del suo account in Microsoft Entra ID. Il team IT ha stimato un risparmio di circa 40 ore a trimestre per la reimpostazione delle password e i ticket di helpdesk. [medium pause] Secondo: una catena di vendita al dettaglio multi-sito con 3.000 dispositivi del personale in 200 negozi. La sfida in questo caso era la diversità dei dispositivi: un mix di laptop Windows, palmari Android e dispositivi iOS. Utilizzavano Jamf Pro per i dispositivi Apple e Microsoft Intune per Windows e Android, entrambi puntati sullo stesso server SCEP supportato da una CA intermedia Microsoft ADCS. L'infrastruttura WiFi era Cisco Meraki, con autenticazione RADIUS gestita da un servizio RADIUS ospitato in cloud e integrato con Purple. La decisione di progettazione chiave è stata quella di emettere certificati con una validità di 12 mesi e configurare il rinnovo automatico a 60 giorni dalla scadenza. Ciò ha garantito una comoda finestra di rinnovo senza creare sovraccarico operativo. [medium pause] Ora, le insidie. Ce ne sono quattro che riscontro costantemente. [medium pause] Primo: non testare la revoca. Le organizzazioni configurano la propria PKI, distribuiscono i certificati e non testano mai effettivamente se la revoca funzioni end-to-end. Testatela. Revocate un certificato di prova, verificate che il server RADIUS rilevi la revoca entro la finestra temporale prevista e verificate che al dispositivo venga negato l'accesso. [medium pause] Secondo: scadenze concentrate. Se emettete tutti i certificati contemporaneamente con lo stesso periodo di validità, scadranno tutti nello stesso momento. Scaglionate l'emissione o, per lo meno, scaglionate i trigger di rinnovo. Un tasso di errore di rinnovo del 10% su 5.000 dispositivi contemporaneamente rappresenta un incidente significativo. [medium pause] Terzo: non distribuire il certificato della Root CA a tutti i dispositivi prima di implementare EAP-TLS. Se il dispositivo non si fida della vostra Root CA, rifiuterà il certificato del server RADIUS e l'autenticazione fallirà. Sembra ovvio, ma coglie impreparate le organizzazioni che hanno dispositivi BYOD o laptop di collaboratori esterni non registrati nell'MDM. [medium pause] Quarto: disponibilità del risponditore OCSP. Se il vostro risponditore OCSP va offline e il server RADIUS è configurato per bloccarsi in caso di errori OCSP, l'intera rete WiFi smette di funzionare. Integrate la ridondanza nella vostra infrastruttura OCSP o configurate un breve periodo di tolleranza con un monitoraggio adeguato. [medium pause] Bene, passiamo a una serie di domande rapide. [medium pause] Posso usare una CA pubblica per i certificati client EAP-TLS? Tecnicamente sì, ma all'atto pratico no. Le CA pubbliche non emettono certificati client per dispositivi arbitrari. È necessaria una CA propria per i certificati client. Per il certificato del server RADIUS, una CA pubblica va benissimo e semplifica la distribuzione del trust. [medium pause] E per quanto riguarda il BYOD? Il BYOD è il caso più complesso. Non è possibile inviare i certificati ai dispositivi non gestiti tramite MDM. Le opzioni includono un portale di controllo degli accessi alla rete che emette certificati a breve scadenza dopo l'autenticazione dell'utente, o semplicemente mantenere il BYOD su un SSID separato con un metodo di autenticazione diverso. [medium pause] Come interagisce questo con il WPA3? WPA3-Enterprise impone la modalità di sicurezza a 192 bit per gli ambienti sensibili, il che richiede suite di cifratura specifiche. EAP-TLS è completamente compatibile con WPA3-Enterprise ed è, di fatto, il metodo di autenticazione consigliato. [medium pause] In sintesi. La gestione dei certificati EAP-TLS non è semplice, ma è gestibile se si imposta correttamente l'architettura fin dall'inizio. Gerarchia CA a tre livelli. Registrazione automatizzata tramite SCEP o MDM. Durata breve dei certificati con rinnovo automatico. Revoca in tempo reale tramite OCSP. Testare tutto, in particolare la revoca. E integrare il ciclo di vita dei certificati con il provider di identità - Microsoft Entra ID, Okta o Google Workspace - in modo che la revoca del certificato venga avviata automaticamente quando un account viene deprovisionato. [medium pause] Se si utilizzano server RADIUS collegati a Purple, i punti di integrazione sono l'URL del server SCEP, il certificato del server RADIUS e l'endpoint CRL o OCSP. L'architettura indipendente dall'hardware di Purple consente il funzionamento con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e il resto dell'elenco hardware standard: non si è vincolati agli strumenti PKI di un singolo fornitore. [medium pause] Passi successivi: verificare l'inventario attuale dei certificati. Se non si sa quanti certificati si possiedono, quando scadono e chi li ha emessi, questa è la prima cosa da risolvere. Da lì, il percorso verso la completa automazione è ben definito. Grazie per l'ascolto.

header_image.png

執行摘要

管理用於 EAP-TLS WiFi 驗證的數位憑證,對企業 IT 團隊而言是一項重大的營運挑戰。隨著企業組織逐步淘汰憑證型驗證(credential-based authentication)以符合零信任規範,營運負擔也從密碼重設轉移到憑證生命週期管理。本指南詳細介紹了在複雜的資產環境中,大規模部署、更新和撤銷用戶端憑證所需的架構模式。

對於技術長(CTO)和網路架構師而言,目標非常明確:實施強健的公開金鑰基礎建設(PKI),並與現有的行動裝置管理(MDM)平台無縫整合。透過簡單憑證註冊協定(SCEP)自動發放憑證,並執行即時撤銷,即可消除人工干預。此方法能確保網路邊界安全,滿足包括 PCI DSS 4.0 在內的合規框架,並確保運行企業硬體的 80,000 多個實體場域持續保持連線。

技術深入探討

EAP-TLS(可延伸驗證協定與傳輸層安全)代表了 802.1X 網路存取控制的最高標準。它強制執行雙向驗證。RADIUS 伺服器出示憑證以向用戶端證明其身分,而用戶端則出示憑證以向網路證明其身分。

三層式 PKI 架構

扁平式的 PKI 層級結構會引入無法接受的風險。推薦的模式是三層式架構:

  1. 根憑證授權單位 (Root CA):最終的信任根源。此伺服器保持離線並與網路隔離(air-gapped)。其唯一功能是簽署中間 CA 憑證。
  2. 中間 CA (發放 CA):此伺服器保持在線,負責日常用戶端與伺服器憑證的簽署工作。如果遭到破解,可由 Root CA 予以撤銷,而無需重建整個信任基礎建設。
  3. 終端實體憑證 (End-Entity Certificates):這些是實際部署到 RADIUS 伺服器和用戶端裝置的憑證。

pki_trust_chain_diagram.png

憑證效期與密碼學標準

業界正強制縮短憑證壽命,以限制金鑰遭破解時的暴露空窗期。雖然公開的 TLS 憑證上限為 398 天,但用於 WiFi 驗證的內部用戶端憑證通常使用 365 天的有效期。

密碼學要求強制使用至少 2048 位元的 RSA 金鑰,或使用 P-256 曲線的橢圓曲線密碼學 (ECC)。WPA3-Enterprise 192 位元模式需要特定的加密套件,而 EAP-TLS 是唯一能完全滿足這些要求的驗證方法。

實作指南

在分散式場域中部署 EAP-TLS 需要您的身分識別提供者、MDM 平台與網路硬體之間進行緊密整合。Purple 的雲端重疊(cloud overlay)可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 整合。

步驟 1:建立信任鏈

在任何裝置進行驗證之前,它必須信任 RADIUS 伺服器。請透過您的 MDM 將根憑證授權機構(Root CA)憑證部署到所有託管裝置。對於非託管裝置,您必須提供一個引導註冊入口網頁(onboarding portal)來安裝信任設定檔。

步驟 2:透過 SCEP 自動化核發

手動產生憑證是行不通的。請實作 SCEP 以將此工作流程自動化:

  1. MDM(例如 Microsoft Intune)將 SCEP 負載推送到裝置。
  2. 裝置在本地端產生私鑰。
  3. 裝置向 SCEP 伺服器提交憑證簽署請求(CSR)。
  4. CA 核發憑證,裝置並將其安裝在硬體備份的金鑰庫中。

步驟 3:設定 RADIUS 原則

將您的 RADIUS 伺服器設定為需要 EAP-TLS。確保伺服器會比對您的身分識別目錄(Microsoft Entra ID、Okta 或 Google Workspace)驗證用戶端憑證的主體別名(SAN),以確認該使用者帳戶仍處於啟用狀態。

certificate_lifecycle_infographic.png

最佳實踐

  • 儘早自動續期:設定 MDM 設定檔,使其在憑證到期前至少 30 天觸發憑證續期。這可以防止整個場域內突然發生驗證失敗。
  • 強制執行硬體金鑰庫:要求私鑰必須在裝置的信賴平台模組(TPM)或安全隔離區(Secure Enclave)中產生並儲存。金鑰必須設定為不可匯出。
  • 實作即時撤銷:依賴靜態憑證撤銷清單(CRL)會產生延遲。請實作線上憑證狀態協定(OCSP),以便 RADIUS 伺服器能在驗證期間即時確認憑證狀態。

疑難排解與風險緩釋

EAP-TLS 部署中最常見的失敗模式與信任和時間有關。

信任錨點失敗

如果用戶端裝置拒絕 RADIUS 伺服器憑證,驗證將會無聲無息地失敗。當裝置的信任庫中遺失根 CA 憑證時,就會發生這種情況。請驗證 MDM 部署記錄,確保信任設定檔在 WiFi 設定檔之前套用。如需連線問題的進一步診斷,請參閱 Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures

到期懸崖

同時核發數千張憑證會造成續期高峰期的懸崖效應。如果 SCEP 伺服器在此期間發生停機,裝置將會斷開網路。請交錯進行初始部署,以分攤續期負載。

OCSP 逾時

如果 RADIUS 伺服器無法連線至 OCSP 回應程式,它必須決定是要預設開放(fail open)還是預設關閉(fail closed)。對於企業網路,預設關閉是標準做法。請確保您的 OCSP 基礎架構具備高可用性且呈地理分佈。

投資報酬率與業務影響

過渡到 EAP-TLS 需要前期投入工程心力,但營運回報非常顯著。一個擁有 5,000 名使用者的組織,通常每月要花費 40 小時來處理因 PEAP 密碼輪替而導致的密碼重設與 RADIUS 鎖定問題。

透過自動化憑證生命週期,您可以消除這些支援工單。此外,您還能滿足 ISO 27001 和 PCI DSS 嚴格的存取控制要求,從而減少稽核開銷。當與 Guest WiFiWiFi Analytics 整合時,Purple 可針對所有使用者類型提供統一的網路存取檢視,簡化分散式場域的合規性報告。

Definizioni chiave

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un framework di autenticazione che richiede sia al client che al server di dimostrare la propria identità tramite certificati digitali.

Lo standard del settore per la sicurezza delle reti WiFi aziendali senza affidarsi a password vulnerabili.

SCEP

Simple Certificate Enrolment Protocol. Un protocollo utilizzato dalle piattaforme MDM per automatizzare in modo sicuro la richiesta e l'installazione di certificati digitali sui dispositivi.

Essenziale per scalare le implementazioni EAP-TLS oltre poche decine di dispositivi, eliminando la gestione manuale dei certificati.

RADIUS

Remote Authentication Dial-In User Service. Il protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e tracciamento degli accessi.

Il componente server che convalida il certificato client e indica al punto di accesso di concedere l'accesso alla rete.

OCSP

Online Certificate Status Protocol. Un protocollo Internet utilizzato per ottenere lo stato di revoca di un certificato digitale X.509 in tempo reale.

Sostituisce le CRL statiche per garantire che un certificato revocato venga bloccato immediatamente dalla rete.

Root CA

Root Certificate Authority. L'autorità crittografica di massimo livello in una Public Key Infrastructure, utilizzata per firmare le CA subordinate.

Deve essere mantenuta altamente sicura e offline per proteggere l'intera catena di attendibilità dell'organizzazione.

SAN

Subject Alternative Name. Un'estensione di X.509 che consente di associare vari valori a un certificato di sicurezza, come indirizzi e-mail o UPN.

Utilizzato dal server RADIUS per mappare il certificato a uno specifico account utente nella directory delle identità.

MDM

Mobile Device Management. Software utilizzato dai dipartimenti IT per monitorare, gestire e proteggere i dispositivi mobili dei dipendenti.

Il meccanismo di distribuzione che invia la configurazione SCEP e i profili WiFi ai dispositivi degli utenti finali.

CRL

Certificate Revocation List. Un elenco di certificati digitali che sono stati revocati dalla CA emittente prima della loro data di scadenza prevista.

Un metodo legacy per verificare la validità dei certificati che risente di problemi di latenza rispetto a OCSP.

Esempi pratici

Un gruppo alberghiero con 150 strutture deve proteggere l'accesso del personale su 3.000 dispositivi. Attualmente utilizza PEAP con una password condivisa che viene ruotata trimestralmente, causando un volume significativo di richieste di assistenza. Come dovrebbe implementare EAP-TLS?

Implementare Microsoft Intune per gestire tutti i dispositivi aziendali. Stabilire una CA intermedia Microsoft ADCS integrata con Intune tramite l'Intune Certificate Connector. Inviare il certificato della CA Root a tutti i dispositivi, seguito da un profilo SCEP che richiede un certificato client con validità di 365 giorni. Configurare il profilo WiFi per utilizzare EAP-TLS e puntare ai server RADIUS collegati a Purple. Impostare il profilo SCEP per il rinnovo automatico al 20% della durata residua (73 giorni).

Commento dell'esaminatore: Questo approccio elimina completamente la rotazione trimestrale delle password. Impostando un trigger di rinnovo anticipato, il team IT evita i rischi legati alla scadenza imminente. L'integrazione diretta con Intune garantisce che quando un dipendente lascia l'azienda e il suo account Entra ID viene disattivato, l'MDM revoca il certificato e cancella automaticamente il profilo WiFi.

Una catena di negozi di vendita al dettaglio richiede un WiFi sicuro per i palmari dei punti vendita in 200 sedi. I dispositivi utilizzano Android e perdono frequentemente la connettività con il server di gestione centrale. Come si gestisce la revoca dei certificati?

Implementare OCSP per il controllo della revoca in tempo reale a livello di server RADIUS. Configurare il server RADIUS per interrogare il responder OCSP per ogni tentativo di autenticazione. Se viene segnalato lo smarrimento di un palmare, il team di sicurezza revoca il certificato nella CA. Al successivo tentativo di associazione del dispositivo a un punto di accesso, il server RADIUS riceve una risposta "revocato" da OCSP e nega immediatamente l'accesso.

Commento dell'esaminatore: Affidarsi all'MDM per cancellare i dati di un dispositivo smarrito non è sufficiente se il dispositivo è offline o schermato. Applicando i controlli di revoca all'edge della rete tramite OCSP, il server RADIUS funge da punto di controllo, garantendo che il certificato compromesso non possa essere utilizzato anche se il dispositivo stesso non può essere raggiunto dall'MDM.

Domande di esercitazione

Q1. Stai distribuendo EAP-TLS per 2.000 laptop aziendali. L'infrastruttura SCEP è configurata, ma durante i test i laptop non riescono a connettersi al WiFi. I log di RADIUS mostrano 'Unknown CA'. Qual è la causa più probabile?

Suggerimento: Considera l'ordine delle operazioni quando distribuisci i profili di attendibilità rispetto ai profili di autenticazione.

Visualizza risposta modello

I laptop non hanno il certificato Root CA installato nel loro archivio delle root attendibili. L'MDM deve essere configurato per inviare il payload del certificato Root CA ai dispositivi prima di inviare il payload SCEP o il profilo WiFi EAP-TLS. Senza la Root CA, il client rifiuta il certificato del server RADIUS.

Q2. Un dispositivo compromesso viene segnalato come smarrito. Il team IT elimina il dispositivo dall'MDM e revoca il certificato nella CA. Tuttavia, i test rivelano che il dispositivo può ancora connettersi alla rete fino a 12 ore dopo. Come risolveresti il problema?

Suggerimento: Osserva come il server RADIUS convalida lo stato del certificato.

Visualizza risposta modello

Il server RADIUS si affida probabilmente a una Certificate Revocation List (CRL) che viene pubblicata o scaricata solo ogni 12-24 ore. Per risolvere il problema, implementa l'Online Certificate Status Protocol (OCSP) e configura il server RADIUS per interrogare il risponditore OCSP per una convalida in tempo reale durante ogni tentativo di autenticazione.

Q3. Stai progettando la policy del ciclo di vita dei certificati. Il team di sicurezza desidera una durata dei certificati di 30 giorni per ridurre al minimo i rischi, ma il team di rete è preoccupato per il carico del server SCEP e per le interruzioni di connettività. Qual è il compromesso raccomandato?

Suggerimento: Considera la differenza tra certificati web pubblici e PKI interna gestita.

Visualizza risposta modello

Un periodo di validità di 365 giorni con rinnovo automatico avviato 60 o 90 giorni prima della scadenza offre il bilanciamento ottimale. Una durata di 30 giorni per i certificati WiFi comporta un rischio operativo eccessivo se i dispositivi sono offline durante la loro ristretta finestra di rinnovo. La sicurezza viene mantenuta attraverso una revoca OCSP robusta e in tempo reale, piuttosto che con una durata eccessivamente breve.

Continua a leggere questa serie

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Leggi la guida →

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Leggi la guida →

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Questa guida spiega come Cisco ISE e Purple WiFi ricoprano ruoli distinti ma complementari nelle reti aziendali. Spiega dettagliatamente come utilizzare Cisco ISE per l'accesso aziendale sicuro 802.1X, sfruttando al contempo Purple per il guest WiFi conforme al GDPR, l'analisi di marketing e l'integrazione CRM.

Leggi la guida →