Vai al contenuto principale

Gestione dei certificati digitali per l'autenticazione WiFi EAP-TLS

Questa guida tecnica di riferimento descrive in dettaglio la gestione del ciclo di vita dei certificati digitali per l'autenticazione WiFi EAP-TLS. Fornisce strategie operative per distribuire, rinnovare e revocare i certificati su scala in reti aziendali utilizzando integrazioni SCEP e MDM.

📖 4 minuti di lettura📝 892 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Parla in inglese britannico con un tono fiducioso, autorevole e colloquiale - come un consulente senior che fa un briefing a un cliente. Ritmo misurato, dizione chiara, caldo ma diretto. Pause naturali occasionali per dare enfasi: Benvenuti alla serie di briefing tecnici di Purple. Oggi parliamo della gestione dei certificati EAP-TLS - nello specifico, di come gestire un programma di autenticazione WiFi basato su certificati su larga scala senza che diventi un onere operativo a tempo pieno. [pausa media] Se siete responsabili del WiFi aziendale o del personale in più sedi - che si tratti di un gruppo alberghiero, di un patrimonio retail, di un campus universitario o di un patrimonio del settore pubblico - questo briefing fa per voi. Copriremo l'intero ciclo di vita dei certificati: dalla configurazione della gerarchia delle CA, alla distribuzione automatizzata tramite SCEP e MDM, fino al rinnovo e alla revoca. E parleremo di dove le cose vanno male, perché succedono, e di come evitare le trappole più comuni. [pausa media] Iniziamo con i fondamentali. EAP-TLS - ovvero Extensible Authentication Protocol con Transport Layer Security - è il gold standard per l'autenticazione WiFi 802.1X. A differenza di PEAP, che si basa su nome utente e password, EAP-TLS utilizza l'autenticazione reciproca basata su certificati. Il dispositivo dimostra la propria identità con un certificato client. Il server RADIUS dimostra la propria identità con un certificato server. Entrambe le parti verificano l'altra. Nessuna password da sottrarre tramite phishing. Nessuna credenziale da rubare. Ecco perché PCI-DSS 4.0 e la guida zero-trust del NCSC indicano entrambe l'autenticazione basata su certificati per le reti del personale. [pausa media] Ora, l'architettura. Per far funzionare EAP-TLS sono necessarie tre cose. Primo, una Public Key Infrastructure - la vostra gerarchia di CA. Secondo, un meccanismo per installare i certificati sui dispositivi - ovvero SCEP o la vostra piattaforma MDM. Terzo, un server RADIUS che si fidi della vostra CA e che possa convalidare i certificati client in tempo reale. [pausa media] La gerarchia delle CA è il punto in cui la maggior parte delle organizzazioni incontra difficoltà all'inizio. Il modello corretto è un modello a tre livelli. Avete una Root CA in cima - questa dovrebbe essere offline, isolata fisicamente, e attivata solo per firmare il certificato della vostra Intermediate CA. La Intermediate CA - a volte chiamata Issuing CA - è quella che effettivamente firma i certificati quotidiani. È online, ma la sua chiave privata è ben protetta. Al di sotto di questa, emettete due tipi di certificato: certificati server per la vostra infrastruttura RADIUS e certificati client per i vostri dispositivi e utenti. [pausa media] Perché questo è importante? Perché se la vostra Root CA viene compromessa, dovete ricostruire l'intera PKI da zero e registrare nuovamente ogni dispositivo. Tenerla offline elimina questo rischio. La Intermediate CA può essere sostituita senza toccare la Root. Questa è l'argomentazione sulla resilienza operativa per il modello a tre livelli. [pausa media] Parliamo del periodo di validità dei certificati. C'è stato un cambiamento significativo nel settore in questo ambito. Apple, Google e Mozilla si sono mossi per imporre durate massime dei certificati più brevi. Per i certificati server TLS, il massimo è ora di 398 giorni. Per i certificati client nel WiFi aziendale, si ha maggiore flessibilità - uno o due anni è comune - ma la tendenza è verso durate più brevi e rinnovi automatizzati piuttosto che certificati a lungo termine gestiti manualmente. Il motivo è semplice: una durata inferiore limita la finestra di esposizione in caso di compromissione del certificato. [medium pause] Questo ci porta all'automazione. La gestione manuale dei certificati non è scalabile. Se si hanno 500 dispositivi, è possibile gestire i rinnovi a mano. Se si hanno 5.000 dispositivi su 50 siti, non è possibile. È necessario SCEP - il Simple Certificate Enrolment Protocol - o il suo successore moderno, EST. SCEP si integra direttamente con le piattaforme MDM, tra cui Microsoft Intune, Jamf Pro e VMware Workspace ONE. L'MDM invia un profilo di configurazione SCEP al dispositivo. Il dispositivo genera una coppia di chiavi, invia una richiesta di firma del certificato al server SCEP e riceve in risposta un certificato firmato - il tutto senza alcuna interazione da parte dell'utente. [medium pause] Per i dispositivi Windows in un ambiente Active Directory, esiste un'alternativa: l'auto-enrolment gestito tramite Group Policy tramite Active Directory Certificate Services. Il dispositivo si autentica nel dominio, la CA emette automaticamente un certificato e il certificato viene rinnovato prima della scadenza senza alcun intervento manuale. Questo è il percorso più fluido per le infrastrutture prevalentemente basate su Windows. [medium pause] Ora, la revoca. Questa è la parte su cui le organizzazioni spesso investono meno, ed è quella che conta di più quando qualcosa va storto. Se un dispositivo viene perso, rubato o se un dipendente lascia l'azienda, è necessario revocare immediatamente il suo certificato. Esistono due meccanismi: CRL - Certificate Revocation Lists - e OCSP - Online Certificate Status Protocol. [medium pause] La CRL è il meccanismo più vecchio. La CA pubblica un elenco di numeri di serie di certificati revocati a un URL noto. Il server RADIUS scarica periodicamente questo elenco e lo controlla. Il problema della CRL è la latenza - se la CRL ha un periodo di validità di 24 ore, un certificato revocato può ancora autenticarsi fino a 24 ore dopo la revoca. [medium pause] OCSP è l'alternativa in tempo reale. Il server RADIUS invia una richiesta al responder OCSP per ogni tentativo di autenticazione e riceve una risposta live di stato valido o revocato. Il compromesso è che il responder OCSP diventa una dipendenza critica - se non è disponibile, è necessario decidere se consentire comunque l'accesso (fail open) o bloccarlo (fail closed). Per gli ambienti ad alta sicurezza, fail closed è la risposta corretta. Per gli ambienti operativi in cui la disponibilità è fondamentale, è possibile configurare un breve periodo di tolleranza OCSP. [medium pause] Consentitemi di presentarvi due scenari concreti per rendere il tutto più reale. [medium pause] Primo: un gruppo alberghiero con 150 strutture. Utilizzavano PEAP con una password condivisa per il WiFi del personale. La rotazione delle password era trimestrale, il che comportava una finestra di due settimane ogni trimestre in cui il personale rimaneva bloccato fuori o utilizzava la vecchia password. Sono passati a EAP-TLS utilizzando Microsoft Intune per la distribuzione dei certificati, con profili SCEP inviati a tutti i dispositivi Windows e iOS e Active Directory Certificate Services come CA. Il risultato: zero eventi di rotazione delle password, rinnovo del certificato gestito automaticamente 30 giorni prima della scadenza e, quando un membro del personale si licenziava, il suo certificato veniva revocato nel MDM entro pochi minuti dalla disattivazione del suo account in Microsoft Entra ID. Il team IT ha stimato un risparmio di circa 40 ore a trimestre in reimpostazioni di password e ticket di helpdesk. [medium pause] Secondo: una catena di vendita al dettaglio multi-sito con 3.000 dispositivi del personale in 200 negozi. La sfida qui era la diversità dei dispositivi - un mix di laptop Windows, palmari Android e dispositivi iOS. Utilizzavano Jamf Pro per i dispositivi Apple e Microsoft Intune per Windows e Android, entrambi puntanti allo stesso server SCEP supportato da una CA intermedia Microsoft ADCS. L'infrastruttura WiFi era Cisco Meraki, con l'autenticazione RADIUS gestita da un servizio RADIUS ospitato in cloud integrato con Purple. La decisione di progettazione chiave è stata quella di emettere certificati con una validità di 12 mesi e configurare il rinnovo automatico a 60 giorni prima della scadenza. Ciò ha garantito una comoda finestra di rinnovo senza creare sovraccarico operativo. [medium pause] Ora, le insidie. Ce ne sono quattro che vedo costantemente. [medium pause] Primo: non testare la revoca. Le organizzazioni configurano la propria PKI, distribuiscono i certificati e non testano mai effettivamente se la revoca funzioni end-to-end. Testatela. Revocate un certificato di prova, confermate che il server RADIUS rilevi la revoca entro la finestra temporale prevista e verificate che al dispositivo venga negato l'accesso. [medium pause] Secondo: scadenze di massa impreviste. Se emettete tutti i certificati nello stesso momento con lo stesso periodo di validità, scadranno tutti contemporaneamente. Scaglionate l'emissione o, come minimo, scaglionate i trigger di rinnovo. Un tasso di errore di rinnovo del 10% su 5.000 dispositivi contemporaneamente rappresenta un incidente significativo. [medium pause] Terzo: non distribuire il certificato della Root CA a tutti i dispositivi prima di implementare EAP-TLS. Se il dispositivo non considera attendibile la vostra Root CA, rifiuterà il certificato del server RADIUS e l'autenticazione fallirà. Sembra ovvio, ma coglie di sorpresa le organizzazioni quando hanno dispositivi BYOD o laptop di collaboratori esterni che non sono registrati nel MDM. [medium pause] Quarto: disponibilità del responder OCSP. Se il vostro responder OCSP smette di funzionare e il vostro server RADIUS è configurato per bloccare gli accessi in caso di errori OCSP, l'intera rete WiFi smette di funzionare. Integrate la ridondanza nella vostra infrastruttura OCSP o configurate un breve periodo di grazia con un monitoraggio adeguato. [medium pause] Bene, passiamo alle domande rapide. [medium pause] Posso utilizzare una CA pubblica per i certificati client EAP-TLS? Tecnicamente sì, ma in pratica no. Le CA pubbliche non emettono certificati client per dispositivi arbitrari. È necessaria una CA propria per i certificati client. Per il certificato del server RADIUS, una CA pubblica va bene e semplifica la distribuzione della attendibilità. [medium pause] E per quanto riguarda il BYOD? Il BYOD è il caso più complesso. Non è possibile distribuire certificati a dispositivi non gestiti tramite MDM. Le opzioni includono un portale di controllo degli accessi alla rete che emette certificati a breve scadenza dopo l'autenticazione dell'utente, o semplicemente mantenere il BYOD su un SSID separato con un metodo di autenticazione diverso. [medium pause] In che modo interagisce con WPA3? WPA3-Enterprise impone la modalità di sicurezza a 192 bit per gli ambienti sensibili, che richiede suite di cifratura specifiche. EAP-TLS è completamente compatibile con WPA3-Enterprise ed è infatti il metodo di autenticazione consigliato. [medium pause] Per riassumere. La gestione dei certificati EAP-TLS non è semplice, ma è gestibile se si imposta correttamente l'architettura fin dall'inizio. Gerarchia CA a tre livelli. Registrazione automatizzata tramite SCEP o MDM. Breve durata dei certificati con rinnovo automatico. Revoca in tempo reale tramite OCSP. Testate tutto, specialmente la revoca. E integrate il ciclo di vita dei certificati con il vostro identity provider - Microsoft Entra ID, Okta o Google Workspace - in modo che la revoca del certificato venga avviata automaticamente quando un account viene rimosso. [medium pause] Se utilizzate server RADIUS collegati a Purple, i punti di integrazione sono l'URL del server SCEP, il certificato del server RADIUS e l'endpoint CRL o OCSP. L'architettura indipendente dall'hardware di Purple consente il funzionamento con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e il resto dell'elenco hardware canonico - non siete vincolati agli strumenti PKI di un singolo fornitore. [medium pause] I prossimi passi: verificate il vostro attuale inventario dei certificati. Se non sapete quanti certificati avete, quando scadono e chi li ha emessi, questa è la prima cosa da risolvere. Da lì, il percorso verso l'automazione completa è ben definito. Grazie per l'ascolto.

header_image.png

Executive Summary

La gestione dei certificati digitali per l'autenticazione WiFi EAP-TLS rappresenta una sfida operativa importante per i team IT aziendali. Poiché le organizzazioni stanno eliminando l'autenticazione basata su credenziali per allinearsi alla conformità Zero Trust, l'onere operativo si sposta dai reset delle password alla gestione del ciclo di vita dei certificati. Questa guida illustra dettagliatamente i modelli architetturali necessari per distribuire, rinnovare e revocare i certificati lato client su scala all'interno di ambienti aziendali complessi.

Per i CTO e gli architetti di rete, l'obiettivo è chiaro: implementare una Public Key Infrastructure (PKI) robusta che si integri perfettamente con le piattaforme di Mobile Device Management (MDM) esistenti. Automatizzando l'emissione dei certificati tramite Simple Certificate Enrolment Protocol (SCEP) ed eseguendo la revoca in tempo reale, si elimina l'intervento manuale. Questo approccio protegge il perimetro di rete, soddisfa i framework di conformità tra cui PCI-DSS 4.0 e garantisce una connettività continua per oltre 80.000 sedi fisiche che eseguono hardware aziendale.

Approfondimento Tecnico

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) rappresenta lo standard di riferimento per il controllo degli accessi alla rete 802.1X. Esso impone la mutua autenticazione. Il server RADIUS presenta il proprio certificato per dimostrare la sua identità al client, mentre il client presenta il suo certificato per dimostrare la propria identità alla rete.

Architettura PKI a Tre Livelli

Una gerarchia PKI piatta introduce rischi inaccettabili. Il modello consigliato è un'architettura a tre livelli:

  1. Root Certificate Authority (Root CA): L'ancora di attendibilità finale. Questo server rimane offline e isolato (air-gapped) dalla rete. La sua unica funzione è firmare i certificati della CA intermedia.
  2. Intermediate CA (Issuing CA): Questo server rimane online e gestisce la firma quotidiana dei certificati dei client e dei server. In caso di compromissione, può essere revocato dalla Root CA senza dover ricostruire l'intera infrastruttura di trust.
  3. Certificati End-Entity: Questi sono i certificati effettivi distribuiti ai server RADIUS e ai dispositivi client.

pki_trust_chain_diagram.png

Durata dei Certificati e Standard Crittografici

Il settore sta imponendo durate dei certificati più brevi per limitare la finestra di esposizione in caso di compromissione di una chiave. Mentre i certificati TLS pubblici sono limitati a 398 giorni, i certificati client interni utilizzati per l'autenticazione WiFi utilizzano in genere un periodo di validità di 365 giorni.

I requisiti crittografici impongono un minimo di chiavi RSA a 2048 bit o Elliptic Curve Cryptography (ECC) utilizzando la curva P-256. La modalità WPA3-Enterprise a 192 bit richiede suite di cifratura specifiche, e EAP-TLS è l'unico metodo di autenticazione che soddisfa pienamente questi requisiti.

Guida all'Implementazione

La distribuzione di EAP-TLS in sedi distribuite richiede una stretta integrazione tra il provider di identità, la piattaforma MDM e l'hardware di rete. L'overlay cloud di Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Passaggio 1: Stabilire la Catena di Fiducia

Prima che un dispositivo possa autenticarsi, deve considerare attendibile il server RADIUS. Distribuisci il certificato della Root CA a tutti i dispositivi gestiti tramite il tuo MDM. Per i dispositivi non gestiti, è necessario fornire un portale di onboarding di bootstrap per installare il profilo di attendibilità.

Passaggio 2: Automatizzare il Rilascio tramite SCEP

La generazione manuale dei certificati non è praticabile. Implementa SCEP per automatizzare questo flusso di lavoro:

  1. L'MDM (ad es. Microsoft Intune) invia un payload SCEP al dispositivo.
  2. Il dispositivo genera localmente una chiave privata.
  3. Il dispositivo invia una richiesta di firma del certificato (CSR) al server SCEP.
  4. La CA rilascia il certificato e il dispositivo lo installa nel suo keystore protetto da hardware.

Passaggio 3: Configurare i Criteri RADIUS

Configura il tuo server RADIUS per richiedere EAP-TLS. Assicurati che il server convalidi il Subject Alternative Name (SAN) nel certificato client rispetto alla directory di identità (Microsoft Entra ID, Okta o Google Workspace) per confermare che l'account utente sia ancora attivo.

certificate_lifecycle_infographic.png

Best Practice

  • Automatizzare il Rinnovo Anticipato: Configura i profili MDM per attivare il rinnovo del certificato almeno 30 giorni prima della scadenza. Ciò previene improvvisi errori di autenticazione in intere sedi.
  • Imporre Keystore Hardware: Richiedi che le chiavi private siano generate e archiviate all'interno del Trusted Platform Module (TPM) o del Secure Enclave del dispositivo. Le chiavi devono essere configurate come non esportabili.
  • Implementare la Revoca in Tempo Reale: L'affidamento a Certificate Revocation Lists (CRL) statiche introduce latenza. Implementa l'Online Certificate Status Protocol (OCSP) in modo che il server RADIUS possa verificare lo stato del certificato in tempo reale durante l'autenticazione.

Risoluzione dei Problemi e Mitigazione dei Rischi

I casi di errore più comuni nelle distribuzioni EAP-TLS sono legati alla fiducia e al tempo.

Errori dell'Ancoraggio di Fiducia

Se un dispositivo client rifiuta il certificato del server RADIUS, l'autenticazione fallirà in modo silenzioso. Ciò accade quando il certificato della Root CA è mancante nel trust store del dispositivo. Verifica i log di distribuzione MDM per assicurarti che il profilo di attendibilità venga applicato prima del profilo WiFi. Per ulteriori informazioni diagnostiche sui problemi di connettività, consulta Risoluzione dei Problemi WiFi Pubblico: Risolvere gli Errori 'Connesso, Senza Internet' e di Reindirizzamento della Splash Page .

Scadenze di Massa

L'emissione simultanea di migliaia di certificati crea un picco di rinnovi critico. Se il server SCEP subisce tempi di inattività durante questa finestra, i dispositivi verranno disconnessi dalla rete. Scagliona le distribuzioni iniziali per distribuire il carico di rinnovo.

Timeout OCSP

Se il server RADIUS non riesce a raggiungere il risponditore OCSP, deve decidere se consentire comunque l'accesso (fail open) o bloccarlo (fail closed). Per le reti aziendali, il blocco dell'accesso (failing closed) è la prassi standard. Assicurati che la tua infrastruttura OCSP sia altamente disponibile e distribuita geograficamente.

ROI e Impatto Aziendale

Il passaggio a EAP-TLS richiede un impegno ingegneristico iniziale, ma il ritorno operativo è significativo. Un'organizzazione con 5.000 utenti spende in genere 40 ore al mese per risolvere i ripristini delle password e i blocchi RADIUS causati dalle rotazioni delle password PEAP.

Automatizzando i cicli di vita dei certificati, puoi eliminare questi ticket di supporto. Inoltre, soddisfi i severi requisiti di controllo degli accessi di ISO 27001 e PCI-DSS, riducendo i costi di audit. Se integrato con il Guest WiFi e il WiFi Analytics , Purple offre una visione unificata dell'accesso alla rete per tutti i tipi di utenti, semplificando la reportistica di conformità in sedi distribuite.

Definizioni chiave

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un framework di autenticazione che richiede sia al client che al server di dimostrare la propria identità tramite certificati digitali.

Lo standard di settore per la sicurezza delle reti WiFi aziendali senza affidarsi a password vulnerabili.

SCEP

Simple Certificate Enrolment Protocol. Un protocollo utilizzato dalle piattaforme MDM per automatizzare in modo sicuro la richiesta e l'installazione di certificati digitali sui dispositivi.

Essenziale per scalare le distribuzioni EAP-TLS oltre poche decine di dispositivi, eliminando la gestione manuale dei certificati.

RADIUS

Remote Authentication Dial-In User Service. Il protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e accounting.

Il componente server che convalida il certificato del client e indica all'access point di concedere l'accesso alla rete.

OCSP

Online Certificate Status Protocol. Un protocollo internet utilizzato per ottenere lo stato di revoca di un certificato digitale X.509 in tempo reale.

Sostituisce le CRL statiche per garantire che un certificato revocato venga bloccato immediatamente dalla rete.

Root CA

Root Certificate Authority. L'autorità crittografica di massimo livello in una Public Key Infrastructure, utilizzata per firmare le CA subordinate.

Deve essere mantenuta altamente sicura e offline per proteggere l'intera catena di attendibilità dell'organizzazione.

SAN

Subject Alternative Name. Un'estensione di X.509 che consente di associare vari valori a un certificato di sicurezza, come indirizzi email o UPN.

Utilizzato dal server RADIUS per mappare il certificato a uno specifico account utente nella directory delle identità.

MDM

Mobile Device Management. Software utilizzato dai dipartimenti IT per monitorare, gestire e proteggere i dispositivi mobili dei dipendenti.

Il meccanismo di distribuzione che invia la configurazione SCEP e i profili WiFi ai dispositivi degli utenti finali.

CRL

Certificate Revocation List. Un elenco di certificati digitali che sono stati revocati dalla CA emittente prima della data di scadenza prevista.

Un metodo legacy per verificare la validità dei certificati che risente di problemi di latenza rispetto a OCSP.

Esempi pratici

Un gruppo alberghiero con 150 strutture deve proteggere l'accesso del personale su 3.000 dispositivi. Attualmente utilizzano PEAP con una password condivisa che ruota trimestralmente, causando un volume significativo di richieste all'helpdesk. Come dovrebbero implementare EAP-TLS?

Distribuire Microsoft Intune per gestire tutti i dispositivi aziendali. Stabilire una CA intermedia ADCS Microsoft integrata con Intune tramite l'Intune Certificate Connector. Inviare il certificato della Root CA a tutti i dispositivi, seguito da un profilo SCEP che richiede un certificato client con validità di 365 giorni. Configurare il profilo WiFi per utilizzare EAP-TLS e puntare ai server RADIUS collegati a Purple. Impostare il profilo SCEP per rinnovarsi automaticamente al raggiungimento del 20% della durata residua (73 giorni).

Commento dell'esaminatore: Questo approccio elimina completamente la rotazione trimestrale delle password. Impostando un trigger di rinnovo anticipato, il team IT evita i rischi di scadenza improvvisa. L'integrazione diretta con Intune garantisce che quando un dipendente lascia l'azienda e il suo account Microsoft Entra ID viene disattivato, l'MDM revoca il certificato ed elimina automaticamente il profilo WiFi.

Una catena di negozi al dettaglio richiede un WiFi sicuro per i dispositivi portatili dei punti vendita in 200 sedi. I dispositivi utilizzano Android e perdono frequentemente la connettività con il server di gestione centrale. Come si gestisce la revoca dei certificati?

Implementare OCSP per il controllo della revoca in tempo reale a livello di server RADIUS. Configurare il server RADIUS per interrogare il risponditore OCSP per ogni tentativo di autenticazione. Se un dispositivo portatile viene segnalato come smarrito, il team di sicurezza revoca il certificato nella CA. Al successivo tentativo di associazione del dispositivo a un access point, il server RADIUS riceve una risposta "revocato" da OCSP e nega immediatamente l'accesso.

Commento dell'esaminatore: Affidarsi all'MDM per formattare un dispositivo smarrito non è sufficiente se il dispositivo è offline o schermato. Imponendo controlli di revoca alla periferia della rete tramite OCSP, il server RADIUS funge da punto di applicazione, garantendo che il certificato compromesso non possa essere utilizzato anche se il dispositivo stesso non può essere raggiunto dall'MDM.

Domande di esercitazione

Q1. Stai distribuendo EAP-TLS per 2.000 laptop aziendali. L'infrastruttura SCEP è configurata, ma durante i test i laptop non riescono a connettersi al WiFi. I log di RADIUS mostrano "Unknown CA". Qual è la causa più probabile?

Suggerimento: Considera l'ordine delle operazioni quando distribuisci i profili di attendibilità rispetto ai profili di autenticazione.

Visualizza risposta modello

I laptop non hanno il certificato della Root CA installato nel loro archivio radice attendibile. L'MDM deve essere configurato per inviare il payload del certificato Root CA ai dispositivi prima di inviare il payload SCEP o il profilo WiFi EAP-TLS. Senza la Root CA, il client rifiuta il certificato del server RADIUS.

Q2. Un dispositivo compromesso viene segnalato come smarrito. Il team IT elimina il dispositivo dall'MDM e revoca il certificato nella CA. Tuttavia, i test rivelano che il dispositivo può ancora connettersi alla rete per un massimo di 12 ore. Come si risolve questo problema?

Suggerimento: Osserva il modo in care il server RADIUS convalida lo stato dei certificati.

Visualizza risposta modello

Il server RADIUS si affida probabilmente a una Certificate Revocation List (CRL) che viene pubblicata o scaricata solo ogni 12 - 24 ore. Per risolvere questo problema, implementa l'Online Certificate Status Protocol (OCSP) e configura il server RADIUS per interrogare il responder OCSP per una convalida in tempo reale durante ogni tentativo di autenticazione.

Q3. Stai progettando la policy del ciclo di vita dei certificati. Il team di sicurezza desidera una durata dei certificati di 30 giorni per ridurre al minimo i rischi, ma il team di rete è preoccupato per il carico del server SCEP e per le interruzioni di connettività. Qual è il bilanciamento consigliato?

Suggerimento: Considera la differenza tra certificati web pubblici e PKI gestita internamente.

Visualizza risposta modello

Un periodo di validità di 365 giorni con rinnovo automatico attivato 60 o 90 giorni prima della scadenza offre il bilanciamento ottimale. Una durata di 30 giorni per i certificati WiFi comporta un rischio operativo eccessivo se i dispositivi sono offline durante la loro ristretta finestra di rinnovo. La sicurezza viene mantenuta attraverso una revoca OCSP robusta e in tempo reale anziché con durate eccessivamente brevi.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →