How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Sintesi esecutiva

Per le grandi strutture aziendali - che si tratti di un hotel da 200 camere, di una catena retail con 50 punti vendita o di un grande centro congressi - affidarsi a chiavi precondivise per il WiFi del personale rappresenta un rischio per la sicurezza e un collo di bottiglia operativo. Una sola password trapelata espone l'intera rete. L'autenticazione basata su certificati tramite IEEE 802.1X ed EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) elimina completamente questo rischio. Ogni dispositivo dimostra la propria identità crittograficamente prima che l'access point conceda l'accesso alla rete.

La sfida è la distribuzione. Distribuire manualmente certificati client univoci a migliaia di dispositivi Windows, iOS e Android non è fattibile. SCEP (Simple Certificate Enrollment Protocol), formalizzato come RFC 8894 dall'IETF nel 2020, risolve questo problema. Automatizza il processo di richiesta, emissione e installazione dei certificati digitali sui dispositivi gestiti tramite la piattaforma MDM, senza alcuna interazione da parte dell'utente.

Questa guida copre l'intera architettura: cosa fa SCEP, come si integra con Microsoft Intune, Jamf e altre piattaforme MDM, l'esatta sequenza di distribuzione che la maggior parte dei team sbaglia e le insidie operative che causano interruzioni. Esaminiamo anche due scenari di implementazione reali nei settori hospitality e retail, e spieghiamo come la piattaforma Guest WiFi di Purple si inserisce a fianco della rete del personale autenticata tramite certificato.

Ascolta il podcast di approfondimento correlato:

Approfondimento tecnico: SCEP, PKI e 802.1X

Cosa fa effettivamente SCEP

SCEP non sostituisce la Public Key Infrastructure (PKI). È il livello di registrazione automatizzata che si sovrappone ad essa. La PKI - tipicamente una gerarchia a due livelli con una CA radice offline e una CA emittente online - rimane l'ancora di fiducia. SCEP automatizza la fase in cui un dispositivo richiede un certificato a tale CA, eliminando la necessità di generare manualmente CSR e installare certificati.

Nel contesto dell'autenticazione WiFi, il protocollo di destinazione è EAP-TLS. Questo è il metodo di autenticazione 802.1X che richiede sia al dispositivo client che al server RADIUS di presentare certificati X.509 validi. Nessuna delle due parti si fida dell'altra senza una prova crittografica. Questo modello di autenticazione reciproca elimina il furto di credenziali e protegge dagli attacchi "evil twin", in cui un utente malintenzionato attiva un access point fittizio per carpire nomi utente e password.

Per un'analisi dettagliata dell'handshake EAP-TLS, consulta la nostra guida su Autenticazione dei certificati WiFi: accesso sicuro alla rete .

Il flusso di registrazione SCEP, passo dopo passo

L'intera catena di registrazione funziona come segue. La piattaforma MDM - Microsoft Intune, Jamf o un altro MDM - invia un payload SCEP a un dispositivo gestito. Tale payload contiene due elementi: l'URL SCEP che punta al server NDES (Network Device Enrollment Service) o al gateway SCEP cloud, e una password di verifica (challenge password) o segreto condiviso.

Il dispositivo genera localmente la propria coppia di chiavi pubblica e privata. Questa è la proprietà di sicurezza fondamentale di SCEP: la chiave privata viene generata sul dispositivo, memorizzata nell'enclave sicura o nel chip TPM e non viene mai trasmessa sulla rete. Il dispositivo crea quindi una Certificate Signing Request (CSR) e la invia al gateway SCEP. Il gateway convalida la password di verifica, inoltra la CSR alla Certificate Authority, e la CA la firma e restituisce il certificato pubblico al dispositivo.

Da quel momento in poi, quando il dispositivo si connette al tuo SSID WiFi, presenta tale certificato al server RADIUS. Il server RADIUS convalida il certificato rispetto alla catena di attendibilità della CA, controlla la Certificate Revocation List (CRL) per confermare che il certificato non sia stato revocato e, se tutto è in ordine, invia un messaggio di Access-Accept all'access point. Il dispositivo è in rete. L'intero processo è invisibile all'utente.

SCEP vs. PKCS: quale utilizzare per il WiFi

Le piattaforme MDM come Intune supportano due meccanismi di distribuzione dei certificati: SCEP e PKCS (Public Key Cryptography Standards). La differenza architetturale è significativa.

Con SCEP, la chiave privata viene generata sul dispositivo e non lo lascia mai. Con PKCS, la Certificate Authority genera centralmente sia la chiave pubblica che quella privata, e il connettore del certificato invia la coppia di chiavi al dispositivo tramite la rete. Ciò significa che la chiave privata viene trasmessa, il che introduce una superficie di attacco teorica.

PKCS è appropriato per i casi d'uso in cui è richiesto il deposito delle chiavi (key escrow), come la crittografia delle e-mail S/MIME. Per l'autenticazione WiFi, SCEP è la scelta corretta. La chiave privata rimane sul dispositivo.

Compatibilità hardware

SCEP ed EAP-TLS sono standard indipendenti dal fornitore. Funzionano con gli access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. La configurazione RADIUS - che si tratti di Windows NPS, FreeRADIUS o di un servizio RADIUS cloud - è il punto in cui si definiscono i criteri di convalida dei certificati e l'assegnazione dinamica delle VLAN.

L'assegnazione dinamica delle VLAN è il modo in cui vSi segmenta la rete in base all'identità del dispositivo. Un dispositivo del personale ottiene la VLAN 10 con accesso ai sistemi interni. Un dispositivo di un fornitore esterno ottiene la VLAN 20 con solo accesso a Internet. Un terminale POS ottiene la VLAN 30 con accesso esclusivo ai sistemi di elaborazione dei pagamenti. Tutto questo è gestito dagli attributi dei certificati e dalle policy RADIUS, senza alcun intervento manuale per singolo dispositivo.

Per saperne di più su come WiFi Analytics si integra con la segmentazione della rete basata sull'identità, consulta la panoramica della nostra piattaforma di analytics.

Guida all'implementazione: la sequenza di deployment

La configurazione corretta di SCEP per il WiFi aziendale richiede il rispetto rigoroso di una specifica sequenza di deployment. Le piattaforme MDM impongono dipendenze tra i profili: un profilo WiFi che fa riferimento a un certificato SCEP non può essere applicato finché tale certificato non è presente sul dispositivo. La violazione di questa sequenza è la causa più comune di fallimento del deployment.

La sequenza è: prima la Root attendibile (Trusted Root), poi il profilo SCEP, infine il profilo WiFi. Questo ordine non è negoziabile.

Passaggio 1: distribuire il profilo del certificato Root attendibile (Trusted Root)

Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione (CA) emittente. Esporta il certificato della CA Root - e gli eventuali certificati delle CA intermedie - come file .cer. Nel centro di amministrazione MDM, crea un profilo di Certificato attendibile, carica il file .cer e distribuiscilo al gruppo di dispositivi di destinazione.

Se disponi di una gerarchia PKI a due livelli (scelta consigliata), dovrai distribuire sia il certificato della CA root sia quello della CA emittente como profili di Certificato attendibile separati, oppure come catena in un unico profilo, a seconda della piattaforma MDM utilizzata.

Passaggio 2: configurare il profilo del certificato SCEP

Una volta stabilita la relazione di attendibilità, configura il profilo SCEP per indicare ai dispositivi come ottenere il proprio certificato client.

Crea un nuovo profilo di configurazione e seleziona il tipo di profilo certificato SCEP. Configura il formato del nome del soggetto (Subject name format). Per l'autenticazione basata sull'utente, lo standard è CN={{UserPrincipalName}}. Per l'autenticazione del dispositivo (dispositivi condivisi, IoT, terminali POS), utilizza CN={{AAD_Device_ID}}. Imposta l'utilizzo della chiave (Key usage) su Firma digitale (Digital signature) e Cifratura chiave (Key encipherment). Imposta l'utilizzo avanzato della chiave (Extended Key Usage) su Autenticazione client (Client Authentication) (OID: 1.3.6.1.5.5.7.3.2). Collega questo profilo al profilo del certificato Root attendibile creato nel Passaggio 1. Fornisci l'URL esterno del server NDES.

In particolare per Microsoft Intune, il server NDES deve essere pubblicato tramite Azure AD Application Proxy per consentire ai dispositivi remoti di registrarsi prima di arrivare in sede. Non esporre direttamente NDES a Internet.

Passaggio 3: distribuire il profilo WiFi 802.1X

L'ultimo passaggio consiste nell'inviare la configurazione WiFi che associa i certificati al SSID di rete. Crea un profilo di configurazione Wi-Fi. Inserisci il nome della rete (SSID) esattamente come viene trasmesso dai tuoi access point. Seleziona WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza. Imposta il tipo EAP su EAP-TLS. Nelle impostazioni di autenticazione, seleziona il profilo del certificato SCEP creato nel Passaggio 2 come certificato di autenticazione client. Specifica il certificato Root attendibile per la convalida del server: questo garantisce che il dispositivo si connetta solo al server RADIUS legittimo e non a un access point non autorizzato.

Integrazione con l'identity provider

Gli attributi del certificato SCEP, in particolare il Subject Alternative Name (SAN), possono contenere il nome principale dell'utente (UPN) proveniente da Microsoft Entra ID, Okta o Google Workspace. Questo associa il certificato a un'identità specifica. Quando si disabilita un account in Entra ID e l'MDM annulla la registrazione del dispositivo, il certificato viene revocato e l'accesso WiFi viene interrotto automaticamente. Questa revoca automatizzata rappresenta un livello di sicurezza che le chiavi precondivise (pre-shared keys) non possono eguagliare.

Per saperne di più su EAP Method WiFi: A Guide to Secure Network Access , inclusi i percorsi di migrazione PEAP-MSCHAPv2, consulta la nostra guida dedicata.

Best practice e standard di settore

Posizionamento del server NDES

Il server NDES deve essere accessibile da Internet in modo che i dispositivi possano registrarsi prima di arrivare in sede. Pubblica l'URL di NDES tramite Azure AD Application Proxy. Ciò garantisce un accesso remoto sicuro senza aprire porte in entrata nel firewall e consente di applicare criteri di accesso condizionale (Conditional Access) al flusso di registrazione. Non esporre mai NDES direttamente a Internet.

Per le reti con più di 500 dispositivi gestiti, considera l'utilizzo di un gateway SCEP cloud anziché di un server NDES on-premises. I gateway cloud eliminano il singolo punto di guasto (single point of failure) di NDES, scalano orizzontalmente e in genere si integrano direttamente con i servizi RADIUS cloud.

Disponibilità della CRL

Il server RADIUS controlla la Certificate Revocation List (CRL) ogni volta che un dispositivo si autentica. Se il punto di distribuzione della CRL (CDP) non è disponibile, ad esempio perché un server è offline o l'URL è cambiato, l'autenticazione fallisce contemporaneamente per tutti i dispositivi della rete. Configura il server NPS o RADIUS per imporre un controllo rigoroso della CRL e rendi i tuoi endpoint CRL altamente disponibili. Testa la revoca prima di andare in produzione.

Il requisito 8.6 di PCI DSS 4.0 impone l'autenticazione a più fattori a livello di rete per gli ambienti con dati dei titolari di carta. EAP-TLS con certificati forniti tramite SCEP soddisfa questo requisito per le reti wireless negli ambienti Retail e Hospitality .

Compatibilità con WPA3

EAP-TLS è completamente compatibile con WPA3-Enterprise. WPA3-Enterprise con la suite di sicurezza a 192 bit (Suite B) richiede obbligatoriamente EAP-TLS ed è la combinazione consigliata dalla Wi-Fi Alliance per le reti governative, finanziarie e sanitarie. Se stai effettuando il deployment in ambienti del settore Healthcare o Transport con requisiti di conformità rigorosi, WPA3-Enterprise con EAP-TLS è l'architettura di destinazione corretta.

BYOD e guest WiFi

SCEP richiede la registrazione MDM per inviare il payload del certificato. Non copre i dispositivi BYOD non gestiti o gli ospiti. Per questi casi d'uso, è necessario un SSID separato con un Captive Portal e la verifica dell'identità. La piattaforma di Purple gestisce questo livello in modo pulito, affiancandosi alla rete del personale autenticata tramite certificato. La nostra piattaforma Guest WiFi supporta l'opt-in consapevole, l'acquisizione di dati di prima parte e l'integrazione con Microsoft Entra ID, Okta e Google Workspace per la verifica dell'identità.

Risoluzione dei problemi e mitigazione dei rischi

Impossibile applicare il profilo WiFi

Sintomo: Il dispositivo riceve i certificati Trusted Root e SCEP, ma il profilo WiFi risulta come Errore o Non applicabile nell'MDM.

Causa principale: Mancata corrispondenza del gruppo di destinazione. Se il profilo SCEP ha come destinazione un gruppo Utenti e il profilo WiFi ha come destinazione un gruppo Dispositivi, l'MDM non può risolvere la dipendenza.

Soluzione: Controlla le assegnazioni. Assicurati che i profili Trusted Root, SCEP e WiFi abbiano tutti come destinazione lo stesso identico gruppo di directory.

Errori NDES 403 Forbidden

Sintomo: I dispositivi non riescono a recuperare il certificato SCEP. I log IIS di NDES mostrano errori HTTP 403.

Causa principale: L'account di servizio MDM Certificate Connector non dispone delle autorizzazioni di Lettura e Registrazione sul modello di certificato, oppure il filtraggio degli URL del firewall blocca i parametri della query string SCEP.

Soluzione: Verifica che l'account del connettore disponga delle autorizzazioni di Lettura e Registrazione sul modello CA. Controlla i log del firewall per assicurarti che gli URL contenenti ?operation=GetCACaps non siano bloccati.

Errore di autenticazione di massa dopo la scadenza della CRL

Sintomo: Tutti i dispositivi sulla rete non riescono a autenticarsi contemporaneamente.

Causa principale: La CRL è scaduta o l'URL CDP non è raggiungibile. Il server RADIUS non può confermare la validità dei certificati e si blocca in modalità protetta (fails closed).

Soluzione: Configura il monitoraggio e gli avvisi per la CRL. Pubblica le CRL con un periodo di validità significativamente più lungo dell'intervallo di pubblicazione. Testa la raggiungibilità del CDP dal server RADIUS prima del go-live.

Scadenza dei certificati che causa errori silenziosi

Sintomo: Singoli dispositivi non riescono a connettersi in modo intermittente, senza un pattern chiaro.

Causa principale: I certificati client sono scaduti e l'MDM non li ha rinnovati correttamente.

Soluzione: Configura il rinnovo del certificato in modo che si attivi all'80% della durata del certificato stesso. Monitora i report sullo stato di registrazione MDM per i dispositivi con errori di certificato. Imposta periodi di validità dei certificati adeguati al ciclo di aggiornamento dei dispositivi, in genere da uno a due anni per gli endpoint gestiti.

ROI e impatto aziendale

La transizione all'autenticazione tramite certificato 802.1X basata su SCEP offre ritorni misurabili in termini di sicurezza, operazioni e conformità.

Riduzione dei ticket di helpdesk: Il WiFi basato su password genera un volume significativo di ticket di supporto: scadenze delle password, blocchi e refusi. L'autenticazione basata su certificato è invisibile all'utente. Le organizzazioni registrano in genere una riduzione del 70-80% del volume di helpdesk relativo al WiFi dopo la migrazione.

Postura di sicurezza: EAP-TLS elimina il furto di credenziali e gli attacchi Man-in-the-Middle. Ciò supporta direttamente la conformità a PCI DSS 4.0 per le reti del settore retail e hospitality, e i requisiti dell'Articolo 32 del GDPR relativi a misure tecniche di sicurezza adeguate.

Revoca automatizzata: Quando un dipendente lascia l'azienda, la disattivazione del suo account in Microsoft Entra ID attiva la revoca automatica del certificato e l'annullamento della registrazione MDM. L'accesso al WiFi viene interrotto senza alcun intervento manuale da parte del team di rete.

Segmentazione della rete: L'assegnazione dinamica della VLAN tramite gli attributi del certificato RADIUS offre una segmentazione della rete applicata crittograficamente. I dispositivi atterrano sul segmento di rete corretto in base alle proprietà del certificato, non alla selezione dell'SSID o al filtraggio degli indirizzi MAC, entrambi facilmente aggirabili.

Purple opera in oltre 80.000 sedi attive con un uptime del 99,999% e la nostra piattaforma è certificata ISO 27001, GDPR, CCPA e Cyber Essentials. Il nostro overlay cloud indipendente dall'hardware si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet, in modo che la rete del personale autenticata tramite certificato e il nostro livello WiFi per gli ospiti funzionino sulla stessa infrastruttura.

Per saperne di più su come Analisi comportamentale: approfondimenti per le reti WiFi può integrare la distribuzione della tua rete sicura, consulta la nostra guida all'analisi.

Riferimenti

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council