स्वयंचलित WiFi प्रमाणपत्र नोंदणीसाठी SCEP कसे लागू करावे

कार्यकारी सारांश (Executive summary)

हॉटेल्स, रिटेल इस्टेट, स्टेडियम आणि कॉन्फरन्स सेंटर्समध्ये Guest WiFi चालवणाऱ्या व्हेन्यू ऑपरेटर्ससाठी, कर्मचाऱ्यांच्या नेटवर्क ॲक्सेससाठी प्री-शेअर्ड की किंवा बेसिक Captive Portals वर अवलंबून राहणे ही सुरक्षेच्या दृष्टीने एक जोखीम आहे. आधुनिक नेटवर्क आर्किटेक्चरसाठी EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) वापरून 802.1X ऑथेंटिकेशन आवश्यक आहे, ज्यामुळे प्रत्येक डिव्हाइस नेटवर्कला जोडण्यापूर्वी त्याचे क्रिप्टोग्राफिकली प्रमाणीकरण केले जाते. याचे मुख्य आव्हान वितरणाचे आहे: तुमच्या हेल्पडेस्कवर कामाचा ताण न वाढवता हजारो Windows, iOS आणि Android डिव्हाइसेसवर युनिक क्लायंट सर्टिफिकेट्स कशी तैनात करायची?

याचे उत्तर SCEP - Simple Certificate Enrollment Protocol हे आहे. 2020 मध्ये IETF द्वारे RFC 8894 म्हणून औपचारिक रूप दिलेले, SCEP व्यवस्थापित डिव्हाइस फ्लीट्समध्ये सर्टिफिकेट एनरोलमेंट स्वयंचलित करते. जेव्हा Microsoft Intune किंवा Jamf सारख्या MDM प्लॅटफॉर्मसह समाकलित (integrate) केले जाते, तेव्हा SCEP झिरो-टच सर्टिफिकेट प्रोव्हिजनिंग प्रदान करते: डिव्हाइसेस कोणत्याही IT हस्तक्षेपाशिवाय स्वतःच्या सर्टिफिकेट्सची विनंती करतात, ती प्राप्त करतात आणि नूतनीकरण करतात. प्रायव्हेट की स्थानिक पातळीवर डिव्हाइसवर जनरेट केली जाते आणि ती कधीही नेटवर्कवर ट्रान्समिट केली जात नाही - PKCS-आधारित वितरणापेक्षा हा एक मूलभूत सुरक्षा फायदा आहे.

हे मार्गदर्शक संपूर्ण SCEP अंमलबजावणी वर्कफ्लोचे मार्गदर्शन करते: PKI आर्किटेक्चर, NDES गेटवे कॉन्फिगरेशन, अनिवार्य तीन-चरण MDM डिप्लॉयमेंट सिक्वेन्स आणि ऑपरेशनल कंट्रोल्स - विशेषतः CRL चेकिंग आणि ग्रुप टार्गेटिंग - जे रोलआउट यशस्वी होईल की रखडेल हे ठरवतात. दोन वास्तविक-जगातील उदाहरणे हॉस्पिटॅलिटी आणि रिटेल वातावरणातील दृष्टिकोन स्पष्ट करतात. Purple हे 80,000+ पेक्षा जास्त लाइव्ह व्हेन्यू आणि 350 दशलक्ष युनिक युजर्सवर कार्यरत आहे; येथे वर्णन केलेले पॅटर्न त्या स्केलवर काय प्रभावी ठरते हे दर्शवतात.

तांत्रिक सखोल विश्लेषण (Technical deep-dive)

SCEP प्रत्यक्षात काय करते

SCEP तुमच्या MDM प्लॅटफॉर्म आणि तुमच्या Certificate Authority (CA) च्या दरम्यान कार्य करते. हे डिव्हाइसेसना डोमेन-जॉइन्ड क्रेडेंशियल किंवा मॅन्युअल ॲडमिनिस्ट्रेटरच्या हस्तक्षेपाशिवाय X.509 सर्टिफिकेट्सची विनंती करण्यासाठी, ती प्राप्त करण्यासाठी आणि नूतनीकरण करण्यासाठी एक प्रमाणित HTTP-आधारित यंत्रणा प्रदान करते. हा प्रोटोकॉल मूळतः 2000 च्या दशकाच्या सुरुवातीला विकसित केला गेला होता आणि IETF ने औपचारिकपणे RFC 8894 म्हणून प्रकाशित करण्यापूर्वी एंटरप्राइझ MDM वातावरणात मोठ्या प्रमाणावर स्वीकारला गेला होता.

सहा-चरण नोंदणी प्रवाह खालीलप्रमाणे कार्य करतो. प्रथम, व्यवस्थापित डिव्हाइस त्याच्या MDM प्रोफाइलमध्ये पूर्व-कॉन्फिगर केलेल्या SCEP गेटवे URL शी कनेक्ट होते. दुसरे, डिव्हाइस स्थानिक पातळीवर एक खाजगी/सार्वजनिक की जोडी (private/public key pair) तयार करते आणि प्रमाणपत्र स्वाक्षरी विनंती (CSR) तयार करते. तिसरे, SCEP गेटवे MDM पॉलिसीमध्ये एम्बेड केलेल्या चॅलेंज पासवर्ड किंवा OTP चा वापर करून डिव्हाइसच्या अधिकृततेची पडताळणी करतो. चौथे, गेटवे पडताळणी केलेले CSR हे CA कडे फॉरवर्ड करतो. पाचवे, CA प्रमाणपत्रावर स्वाक्षरी करतो आणि ते गेटवेकडे परत करतो. सहावे, गेटवे स्वाक्षरी केलेले प्रमाणपत्र डिव्हाइसला वितरित करतो. भविष्यातील नूतनीकरणे याच स्वयंचलित मार्गाचा अवलंब करतात - डिव्हाइस कोणत्याही वापरकर्त्याच्या किंवा प्रशासकाच्या हस्तक्षेपाशिवाय कालबाह्य होण्यापूर्वी पुन्हा नोंदणी करते.

SCEP विरुद्ध PKCS: महत्त्वाचा निर्णय

Microsoft Intune आणि बहुतेक MDM प्लॅटफॉर्म दोन प्रमाणपत्र वितरण यंत्रणांना समर्थन देतात: SCEP आणि PKCS. यामधील फरक आर्किटेक्चरल आहे, केवळ वरवरचा नाही.

SCEP सह, खाजगी की डिव्हाइसवर तयार केली जाते आणि तिथेच राहते. CA ती कधीही पाहत नाही. डिव्हाइसचे TPM (Windows वर) किंवा Secure Enclave (iOS/macOS वर) हार्डवेअर पातळीवर की सुरक्षित ठेवते. PKCS सह, CA मध्यवर्ती ठिकाणी की जोडी तयार करतो आणि नेटवर्कद्वारे डिव्हाइसवर प्रसारित करतो. CA कडे एक प्रत राहते, ज्यामुळे की एस्क्रो (key escrow) सक्षम होते - जे S/MIME ईमेल एन्क्रिप्शनसाठी उपयुक्त आहे परंतु नेटवर्क प्रमाणीकरणासाठी अनावश्यक जोखीम निर्माण करते.

802.1X WiFi प्रमाणीकरणासाठी, SCEP वापरा. खाजगी की कधीही डिव्हाइस सोडत नाही. हा नियम आहे.

802.1X आणि EAP-TLS: प्रमाणीकरण फ्रेमवर्क

IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल मानक आहे जे एंटरप्राइझ WiFi सुरक्षेचा पाया आहे. हे तीन भूमिका परिभाषित करते: सप्लिकंट (क्लायंट डिव्हाइस), ऑथेंटिकेटर (ॲक्सेस पॉइंट - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, किंवा Fortinet), आणि ऑथेंटिकेशन सर्व्हर (एक RADIUS सर्व्हर जसे की Microsoft NPS, FreeRADIUS, किंवा Cisco ISE).

802.1X साठी EAP-TLS ही सर्वात सुरक्षित EAP पद्धत आहे. दोन्ही बाजू प्रमाणपत्रे सादर करतात: RADIUS सर्व्हर क्लायंटला त्याचे प्रमाणपत्र सादर करतो आणि क्लायंट त्याचे SCEP-प्रोविझन्ड प्रमाणपत्र RADIUS सर्व्हरला सादर करतो. विश्वसनीय CA पदानुक्रमातील वैध, रद्द न केलेल्या प्रमाणपत्राशिवाय कोणतीही बाजू दुसऱ्याचे रूप धारण करू शकत नाही. हे परस्पर प्रमाणीकरण मॉडेल एकाच आर्किटेक्चरल निर्णयामध्ये क्रेडेंशियल चोरी, इव्हिल ट्विन (Evil Twin) हल्ले आणि रॉग ॲक्सेस पॉइंटचे धोके दूर करते.

EAP-TLS नेटवर्क लेयरवर मल्टी-फॅक्टर ऑथेंटिकेशनसाठी PCI DSS 4.0 ची आवश्यकता 8.6 पूर्ण करते. WPA3 Enterprise 192-bit (Suite B) उपयोजनांसाठी हे आवश्यक आहे. कार्डधारक डेटा प्रक्रियेच्या कक्षेत येणाऱ्या कोणत्याही वायरलेस नेटवर्कसाठी - रिटेल पॉइंट-ऑफ-सेल, हॉटेल फ्रंट डेस्क, स्टेडियम तिकीट - EAP-TLS हा योग्य पर्याय आहे.

secure WiFi आर्किटेक्चर आणि प्रमाणपत्र-आधारित प्रमाणीकरण व्यापक सुरक्षा स्थितीमध्ये कसे बसते याच्या सखोल माहितीसाठी, आमचे आवश्यक मार्गदर्शक पहा.

अंमलबजावणी मार्गदर्शक

उपयोजन क्रम बदलता येणार नाही. Intune आणि Jamf प्रोफाइल अवलंबित्व क्रमाने सोडवतात: WiFi प्रोफाइल SCEP प्रोफाइलवर अवलंबून असते, जे Trusted Root प्रोफाइलवर अवलंबून असते. ते चुकीच्या क्रमाने उपयोजित केल्यास WiFi प्रोफाइल लागू होण्यात अपयशी ठरेल.

पायरी १: तुमचे PKI डिझाइन करा

तुम्ही MDM कन्सोलला स्पर्श करण्यापूर्वी, तुमचे प्रमाणपत्र पदानुक्रम डिझाइन करा. टू-टियर PKI हे मानक आहे: एक ऑफलाइन रूट CA आणि एक ऑनलाइन जारी करणारे CA. रूट CA ची खाजगी की तुमच्या संपूर्ण प्रमाणपत्र पायाभूत सुविधांसाठी मुख्य ट्रस्ट अँकर आहे - ती एअर-गॅप्ड ठेवा. जारी करणारे CA दैनंदिन प्रमाणपत्र जारी करण्याचे काम हाताळते आणि प्रमाणपत्र रद्द करण्याची सूची (CRL) आणि OCSP रिस्पॉन्डर प्रकाशित करते.

बऱ्याच एंटरप्राइझ ठिकाणांच्या उपयोजनांसाठी, Windows Server वर चालणारी Microsoft Active Directory Certificate Services (AD CS) जारी करणारे CA प्रदान करते. SCEPman किंवा SecureW2 सारख्या प्रदात्यांकडून क्लाउड-होस्ट केलेल्या PKI सेवा ऑन-प्रिमाइसेस पायाभूत सुविधांची आवश्यकता पूर्णपणे काढून टाकतात आणि हॉटेल गट, रिटेल साखळी किंवा बहु-साइट सार्वजनिक-क्षेत्रातील संस्थांमध्ये वितरित मालमत्ता उपयोजनांसाठी त्यांचे मूल्यांकन करणे योग्य आहे.

पायरी २: NDES सर्व्हर (किंवा क्लाउड SCEP गेटवे) उपयोजित करा

NDES (Network Device Enrollment Service) ही Microsoft Windows Server ची भूमिका आहे जी तुमच्या MDM आणि तुमच्या CA दरम्यान SCEP गेटवे म्हणून काम करते. मुख्य कॉन्फिगरेशन आवश्यकता:

• Azure AD Application Proxy (किंवा समतुल्य रिव्हर्स प्रॉक्सी) द्वारे NDES URL बाह्यरित्या प्रकाशित करा. हे रिमोट डिव्हाइसेसना इनबाउंड फायरवॉल पोर्ट न उघडता, साइटवर येण्यापूर्वी नोंदणी करण्याची परवानगी देते.
• NDES सेवा खात्याला CA प्रमाणपत्र टेम्पलेटवर वाचण्याची (Read) आणि नोंदणी करण्याची (Enroll) परवानगी आवश्यक आहे.
• की वापर (Key Usage) डिजिटल स्वाक्षरी (Digital Signature) आणि की एन्सायफरमेंट (Key Encipherment) वर सेट करून प्रमाणपत्र टेम्पलेट कॉन्फिगर करा आणि विस्तारित की वापर (Extended Key Usage) क्लायंट प्रमाणीकरण (Client Authentication) (OID: 1.3.6.1.5.5.7.3.2) वर सेट करा.
• योग्य प्रमाणपत्र वैधता कालावधी सेट करा. क्लायंट प्रमाणपत्रांसाठी एक वर्ष हे मानक आहे; स्थिर उपकरणांच्या ताफ्यातील डिव्हाइस प्रमाणपत्रांसाठी दोन वर्षे स्वीकार्य आहे. तुम्ही ऑन-प्रिमाइसेस NDES इन्फ्रास्ट्रक्चर टाळण्यास प्राधान्य देत असल्यास, क्लाउड SCEP गेटवे थेट API द्वारे Intune आणि तुमच्या CA सोबत समाकलित होतात, ज्यामुळे IIS वरील अवलंबित्व पूर्णपणे नाहीसे होते.

पायरी ३: Trusted Root Certificate प्रोफाइल उपयोजित (Deploy) करा

तुमच्या MDM प्लॅटफॉर्ममध्ये, एक Trusted Certificate प्रोफाइल तयार करा आणि तुमचे Root CA प्रमाणपत्र (आणि कोणतेही Intermediate CA प्रमाणपत्रे) .cer फाइल्स म्हणून अपलोड करा. हे प्रोफाइल इतर कोणत्याही प्रमाणपत्र किंवा WiFi प्रोफाइलच्या आधी तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर उपयोजित करा. या पायरीशिवाय, डिव्हाइसेस EAP-TLS हँडशेक दरम्यान RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित करू शकत नाहीत आणि स्वतःच्या SCEP प्रमाणपत्राची विनंती करताना ते जारी करणाऱ्या CA वर विश्वास ठेवू शकत नाहीत.

महत्त्वाचा नियम: तिन्ही संबंधित प्रोफाइल्समध्ये नेहमी एकाच Azure AD ग्रुपला (एकतर वापरकर्ते किंवा डिव्हाइसेस) लक्ष्य करा. येथील विसंगती हे WiFi प्रोफाइल उपयोजन अयशस्वी होण्याचे सर्वात सामान्य कारण आहे.

पायरी ४: SCEP Certificate प्रोफाइल कॉन्फिगर करा

तुमच्या MDM मध्ये SCEP प्रमाणपत्र कॉन्फिगरेशन प्रोफाइल तयार करा:

• Subject name format: वापरकर्ता-चालित प्रमाणीकरणासाठी, CN={{UserPrincipalName}} वापरा. डिव्हाइस प्रमाणीकरणासाठी (सामायिक डिव्हाइसेस आणि IoT साठी शिफारस केलेले), CN={{AAD_Device_ID}} वापरा.
• Key usage: Digital Signature, Key Encipherment.
• Extended key usage: Client Authentication (OID: 1.3.6.1.5.5.7.3.2).
• SCEP server URL: बाह्यरित्या प्रकाशित केलेली NDES URL.
• Root certificate: पायरी ३ मधील Trusted Root प्रोफाइलशी लिंक करा.
• Certificate validity period: CA वर कॉन्फिगर केलेल्या टेम्पलेटशी जुळणारे ठेवा.

पायरी ५: 802.1X WiFi प्रोफाइल उपयोजित (Deploy) करा

एक WiFi कॉन्फिगरेशन प्रोफाइल तयार करा:

• SSID: तुमच्या ॲक्सेस पॉइंट्सद्वारे ब्रॉडकास्ट केल्याप्रमाणे नेटवर्कचे नाव अचूक प्रविष्ट करा.
• Security type: WPA2-Enterprise किंवा WPA3-Enterprise.
• EAP type: EAP-TLS.
• Client authentication certificate: पायरी ४ मधील SCEP प्रमाणपत्र प्रोफाइल निवडा.
• Server validation: पायरी ३ मधील Trusted Root प्रमाणपत्र निर्दिष्ट करा आणि अपेक्षित RADIUS सर्व्हरचे नाव प्रविष्ट करा. हे डिव्हाइसेसना बनावट प्रमाणपत्रे सादर करणाऱ्या फसव्या ॲक्सेस पॉइंट्सशी कनेक्ट होण्यापासून रोखते.

सर्वोत्तम पद्धती

तुमच्या RADIUS सर्व्हरवर कठोर CRL तपासणी लागू करा

प्रमाणपत्र रद्द करणे (Certificate revocation) हे ते ऑपरेशनल नियंत्रण आहे जे खाते निष्क्रिय करणे आणि नेटवर्क प्रवेश अवरोधित करणे यामधील अंतर भरून काढते. जेव्हा एखादे डिव्हाइस हरवते, चोरीला जाते किंवा एखादा कर्मचारी नोकरी सोडतो, तेव्हा AD खाते निष्क्रिय करा आणि CA कडील प्रमाणपत्र रद्द करा. तुमचा RADIUS सर्व्हर प्रत्येक प्रमाणीकरण प्रयत्नावर CRL तपासण्यासाठी कॉन्फिगर केलेला असणे आवश्यक आहे. जर CRL अनुपलब्ध असेल - कारण CDP (CRL Distribution Point) पर्यंत पोहोचता येत नाही - तर बहुतेक RADIUS सर्व्हर डीफॉल्टनुसार प्रवेश खुला ठेवतात (fail open), जो एक सुरक्षा धोका आहे. तुमचे CDPs अत्यंत उपलब्ध आहेत आणि जर CRL मिळवता आले नाही तर तुमचा RADIUS सर्व्हर प्रवेश बंद करण्यासाठी (fail closed) कॉन्फिगर केला असल्याची खात्री करा.

रिअल-टाइम रद्दीकरणासाठी, CRL व्यतिरिक्त OCSP (Online Certificate Status Protocol) कॉन्फिगर करा. OCSP मुळे RADIUS सर्व्हरला संपूर्ण CRL डाउनलोड आणि पार्स न करता प्रत्येक प्रमाणपत्राची स्वतंत्र स्थिती समजते.

सामायिक आणि IoT उपकरणांसाठी डिव्हाइस प्रमाणपत्रे वापरा

सामायिक उपकरणांसाठी - हॉटेल हाउसकीपिंग टॅब्लेट, रिटेल POS टर्मिनल्स, स्टेडियम ॲक्सेस कंट्रोल रीडर्स - वापरकर्ता प्रमाणपत्रांऐवजी डिव्हाइस प्रमाणपत्रे वापरा. डिव्हाइस प्रमाणपत्रे मशीनच्या ओळखीशी जोडलेली असतात, वापरकर्ता खात्याशी नाही. याचा अर्थ असा की कोणता वापरकर्ता लॉग इन आहे याकडे दुर्लक्ष करून डिव्हाइस प्रमाणीकृत होते, आणि ते रद्द करणे कर्मचाऱ्याच्या जाण्याऐवजी डिव्हाइस रेकॉर्डशी जोडलेले असते.

retail उपयोजनांसाठी, POS हार्डवेअरवरील डिव्हाइस प्रमाणपत्रे विक्रीच्या ठिकाणी वापरकर्ता-प्रमाणपत्राची गुंतागुंत न आणता नेटवर्क-लेयर डिव्हाइस ओळखीसाठी PCI DSS आवश्यकता देखील पूर्ण करतात.

प्रमाणपत्र नूतनीकरण स्वयंचलित करा

SCEP स्वयंचलित नूतनीकरणास समर्थन देते: MDM प्रमाणपत्र कालबाह्य होण्यापूर्वी डिव्हाइसला पुन्हा नोंदणी करण्याचे निर्देश देते. प्रमाणपत्राच्या उर्वरित वैधता कालावधीच्या 20% वर नूतनीकरण सुरू करण्यासाठी तुमचे SCEP प्रोफाइल कॉन्फिगर करा. एक वर्षाच्या प्रमाणपत्रासाठी, नूतनीकरण कालबाह्य होण्याच्या अंदाजे 73 दिवस आधी सुरू होते. ही विंडो प्रमाणपत्र कालबाह्य होण्यापूर्वी आणि उपकरणांचे नेटवर्क ॲक्सेस गमावण्यापूर्वी कोणत्याही नूतनीकरण अपयशांचे निराकरण करण्यासाठी पुरेसा वेळ देते.

कालबाह्य झालेली प्रमाणपत्रे ज्यामुळे मोठ्या प्रमाणावर प्रमाणीकरण अपयश येते ही 802.1X उपयोजनांमधील सर्वात सामान्य कार्यात्मक घटना आहे. SCEP द्वारे स्वयंचलित नूतनीकरण हा धोका पूर्णपणे काढून टाकते.

प्रमाणपत्र गुणधर्माद्वारे नेटवर्कचे वर्गीकरण करा

RADIUS सर्व्हर प्रमाणपत्र गुणधर्म वाचू शकतात - Subject, SAN, किंवा सानुकूल OIDs - आणि उपकरणांना डायनॅमिकपणे VLANs मध्ये नियुक्त करण्यासाठी त्यांचा वापर करू शकतात. HousekeepingDevices टेम्पलेटमधून जारी केलेल्या प्रमाणपत्रासह हाउसकीपिंग टॅब्लेट हाउसकीपिंग VLAN वर पोहोचतो. RetailPOS टेम्पलेटमधील प्रमाणपत्रासह POS टर्मिनल PCI-स्कोप केलेल्या VLAN वर पोहोचते. हे क्रिप्टोग्राफिकदृष्ट्या लागू केलेले नेटवर्क वर्गीकरण आहे - जे SSID-आधारित किंवा MAC-आधारित दृष्टिकोनांपेक्षा बरेच विश्वासार्ह आहे.

एकाच भौतिक पायाभूत सुविधांवर स्टाफ WiFi सोबत गेस्ट WiFi चालवणाऱ्या hospitality ऑपरेटरसाठी, प्रमाणपत्र गुणधर्मांद्वारे VLAN असाइनमेंट हे सुनिश्चित करते की डिव्हाइस कोणत्या SSID ला कनेक्ट होते याकडे दुर्लक्ष करून अतिथी आणि कर्मचारी नेहमी स्वतंत्र नेटवर्क सेगमेंटवर असतील.

त्रुटी निवारण आणि जोखीम कमी करणे

Intune मध्ये WiFi प्रोफाइल 'Error' किंवा 'Not Applicable' दर्शवते

मूळ कारण: ग्रुप टार्गेटिंग विसंगती. SCEP प्रोफाइल WiFi प्रोफाइलपेक्षा वेगळ्या ग्रुपला नियुक्त केले आहे. Intune प्रमाणपत्र अवलंबित्व सोडवू शकत नाही.

उपाय: तिन्ही प्रोफाइलचे (Trusted Root, SCEP, WiFi) ऑडिट करा. ते सर्व अगदी त्याच Azure AD ग्रुपला नियुक्त केले आहेत याची खात्री करा. तुम्ही Users साठी उपयोजन करत असल्यास, तिन्ही प्रोफाइल Users ग्रुपला लक्ष्य करणारे असावेत. Devices साठी उपयोजन करत असल्यास, तिन्ही Devices ग्रुपला लक्ष्य करणारे असावेत.

NDES HTTP 403 त्रुटी दर्शवते

मूळ कारण: Intune Certificate Connector सेवा खात्याकडे CA प्रमाणपत्र टेम्पलेटवर Read किंवा Enroll परवानग्या नाहीत, किंवा फायरवॉल URL फिल्टरिंग SCEP क्वेरी स्ट्रिंग्स ब्लॉक करत आहे.निवारण: CA कन्सोलमधील टेम्पलेटवर कनेक्टर खात्याला Read आणि Enroll परवानग्या असल्याची खात्री करा. ?operation=GetCACaps किंवा ?operation=PKIOperation समाविष्ट असलेल्या ब्लॉक केलेल्या विनंत्यांसाठी फायरवॉल लॉग तपासा. या क्वेरी स्ट्रिंग्स कोणत्याही बदलाशिवाय पुढे जाणे आवश्यक आहे.

डिव्हाइसेस मुदत संपण्यापूर्वी प्रमाणपत्रे रिन्यू करण्यात अयशस्वी ठरतात

मूळ कारण: SCEP रिन्यूअल विंडो खूप लहान आहे, किंवा रिन्यूअलच्या वेळी NDES सर्व्हरशी संपर्क साधता येत नाही.

निवारण: रिन्यूअल मर्यादा प्रमाणपत्र वैधतेच्या २०% वर सेट करा. NDES URL ही हायली-अवेलेबल रिव्हर्स प्रॉक्सीद्वारे प्रकाशित केली गेल्याची खात्री करा. रिन्यूअल विनंती अपयशांसाठी NDES IIS लॉगचे निरीक्षण करा आणि त्याबद्दल सक्रियपणे अलर्ट मिळवा.

RADIUS वैध प्रमाणपत्रे नाकारतो

मूळ कारण: RADIUS सर्व्हरच्या विश्वसनीय CA स्टोअरमध्ये जारी करणाऱ्या CA प्रमाणपत्राचा समावेश नाही, किंवा CRL जुने झाले आहे.

निवारण: RADIUS सर्व्हरच्या विश्वसनीय स्टोअरमध्ये संपूर्ण CA चेन (Root CA + Issuing CA) इम्पोर्ट करा. CRL यशस्वीरित्या आणले जात असल्याची आणि CDP URL वर RADIUS सर्व्हरवरून पोहोचता येत असल्याची खात्री करा. CRL चे पुढील-अपडेट टाइमस्टॅम्प तपासा - जर ते निघून गेले असेल, तर CA ला नवीन CRL प्रकाशित करणे आवश्यक आहे.

सुरक्षेसोबतच व्यापक नेटवर्क कामगिरीच्या बाबींसाठी, आमचे बँडविड्थ व्यवस्थापन मार्गदर्शक पहा.

ROI आणि व्यावसायिक प्रभाव

SCEP-आधारित प्रमाणपत्र नोंदणीसाठीचा बिझनेस केस अगदी सोपा आहे. पासवर्ड-आधारित WiFi मुळे हेल्पडेस्क तिकिटांचे प्रमाण वाढते: पासवर्ड संपणे, लॉकआउट्स, कर्मचाऱ्यांनी पाहुण्यांसोबत क्रेडेंशियल शेअर करणे आणि नवीन कर्मचाऱ्यांच्या ऑनबोर्डिंगमधील अडचणी. प्रमाणपत्र-आधारित प्रमाणीकरण अंतिम वापरकर्त्यासाठी अदृश्य असते. डिव्हाइसेस आपोआप कनेक्ट होतात. मुदत संपण्यासाठी, शेअर करण्यासाठी किंवा विसरण्यासाठी कोणतेही पासवर्ड नसतात.

जेव्हा संस्था पासवर्ड-आधारित WiFi वरून SCEP सह EAP-TLS वर स्थलांतरित होतात, तेव्हा सामान्यतः WiFi-संबंधित हेल्पडेस्क तिकिटांमध्ये ७०-८०% घट झाल्याची नोंद होते (Purple चा अंतर्गत डेटा, २०२४, हॉस्पिटॅलिटी आणि रिटेल क्षेत्रातील उपयोजनांवर आधारित). केवळ हेल्पडेस्कची होणारी बचतच पहिल्या वर्षात अंमलबजावणीचा खर्च वसूल करते.

अनुपालन प्रभाव देखील तितकाच ठोस आहे. EAP-TLS नेटवर्क लेयरवर मल्टी-फॅक्टर ऑथेंटिकेशनसाठी PCI DSS 4.0 ची आवश्यकता ८.६ पूर्ण करते. आरोग्य सेवा वातावरणासाठी, हे वायरलेस नेटवर्क प्रवेशासाठीच्या HIPAA तांत्रिक सुरक्षा आवश्यकतांशी सुसंगत आहे. सार्वजनिक क्षेत्रातील संस्थांसाठी, हे नेटवर्क प्रवेश नियंत्रणासाठी NCSC सायबर एसेन्शियल्स प्लस प्रमाणन आवश्यकतांना समर्थन देते.

वाहतूक ऑपरेटरसाठी - रेल्वे फ्रँचायझी, विमानतळ ऑपरेटर, बस नेटवर्क - कर्मचारी डिव्हाइसेसवरील प्रमाणपत्र-आधारित प्रमाणीकरण हे सुनिश्चित करते की सुरक्षिततेच्या दृष्टीने संवेदनशील डेटा वाहून नेणारे ऑपरेशनल नेटवर्क प्रवासी WiFi पासून वेगळे ठेवले जाईल आणि क्रेडेंशियल-आधारित हल्ल्यांपासून सुरक्षित राहील.

सुरक्षित नेटवर्क डिप्लॉयमेंटसह फीडबॅक आणि अनुभव व्यवस्थापनासाठी, आमचे venue feedback playbook पहा. Purple चे WiFi Analytics प्लॅटफॉर्म 802.1X-सुरक्षित नेटवर्कसह समाकलित होते जेणेकरून मूळ पायाभूत सुविधांच्या सुरक्षा स्थितीशी तडजोड न करता फर्स्ट-पार्टी डेटा इनसाइट्स प्रदान करता येतील. Purple च्या नेटवर्कवर गोळा केलेले 29 अब्ज डेटा पॉइंट्स हे सिद्ध करतात की सुरक्षा आणि ॲनालिटिक्स हे एकमेकांना पूरक आहेत, परस्परविरोधी उद्दिष्टे नाहीत.