स्वयंचलित Enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP कसे कॉन्फिगर करावे

कार्यकारी सारांश (Executive summary)

एंटरप्राइझ ठिकाणांसाठी - मग ते २०० खोल्यांचे हॉटेल असो, ५० आउटलेट्सची रिटेल साखळी असो किंवा एखादे मोठे कॉन्फरन्स सेंटर असो - कर्मचाऱ्यांच्या WiFi साठी प्री-शेअर्ड की (pre-shared keys) वर अवलंबून राहणे ही सुरक्षेची जोखीम आणि ऑपरेशनल अडथळा आहे. एकच पासवर्ड लीक झाल्यास संपूर्ण नेटवर्क धोक्यात येते. IEEE 802.1X आणि EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) द्वारे सर्टिफिकेट-आधारित ऑथेंटिकेशन हा धोका पूर्णपणे काढून टाकते. ॲक्सेस पॉईंटने नेटवर्क ॲक्सेस देण्यापूर्वी प्रत्येक डिव्हाइस त्याची ओळख क्रिप्टोग्राफिक पद्धतीने सिद्ध करते.

यामधील आव्हान वितरणाचे आहे. हजारो Windows, iOS, आणि Android डिव्हाइसेसवर मॅन्युअली युनिक क्लायंट सर्टिफिकेट्स तैनात करणे व्यवहार्य नाही. SCEP (Simple Certificate Enrollment Protocol), ज्याला २०२० मध्ये IETF द्वारे RFC 8894 म्हणून औपचारिक रूप दिले गेले, हे यावर उपाय शोधते. हे तुमच्या MDM प्लॅटफॉर्मद्वारे व्यवस्थापित डिव्हाइसेसवर डिजिटल सर्टिफिकेट्सची विनंती करणे, जारी करणे आणि स्थापित करणे या प्रक्रियेला स्वयंचलित करते - कोणत्याही युझर हस्तक्षेपाशिवाय.

या मार्गदर्शकामध्ये संपूर्ण आर्किटेक्चर समाविष्ट आहे: SCEP काय करते, ते Microsoft Intune, Jamf आणि इतर MDM प्लॅटफॉर्मसह कसे समाकलित होते, अचूक डिप्लॉयमेंट क्रम जो बऱ्याच टीम्स चुकवतात आणि आउटेजला कारणीभूत ठरणारे ऑपरेशनल धोके. आम्ही हॉस्पिटॅलिटी आणि रिटेलमधील दोन वास्तविक-जगातील अंमलबजावणीचे प्रसंग देखील कव्हर करतो आणि तुमच्या सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्कसह Purple चे Guest WiFi प्लॅटफॉर्म कुठे फिट बसते हे स्पष्ट करतो.

सोबतचे पॉडकास्ट ब्रीफिंग ऐका:

तांत्रिक सखोल विश्लेषण: SCEP, PKI, आणि 802.1X

SCEP प्रत्यक्षात काय करते

SCEP हे तुमच्या पब्लिक की इन्फ्रास्ट्रक्चर (PKI) ला पर्याय नाही. हा स्वयंचलित नावनोंदणी (enrollment) स्तर आहे जो त्यावर कार्य करतो. तुमचे PKI - सामान्यत: ऑफलाइन रूट CA आणि ऑनलाइन इश्यूइंग CA सह द्वि-स्तरीय श्रेणी - हे विश्वासाचे मुख्य केंद्र राहते. SCEP त्या CA कडून डिव्हाइसने सर्टिफिकेटची विनंती करण्याची पायरी स्वयंचलित करते, ज्यामुळे मॅन्युअल CSR जनरेशन आणि सर्टिफिकेट इन्स्टॉलेशनची आवश्यकता दूर होते.

WiFi ऑथेंटिकेशनच्या संदर्भात, लक्ष्य प्रोटोकॉल EAP-TLS आहे. ही 802.1X ऑथेंटिकेशन पद्धत आहे ज्यासाठी क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनाही वैध X.509 सर्टिफिकेट्स सादर करणे आवश्यक आहे. क्रिप्टोग्राफिक पुराव्याशिवाय कोणतीही बाजू दुसऱ्यावर विश्वास ठेवत नाही. हे परस्पर ऑथेंटिकेशन मॉडेल क्रेडेंशियल चोरीचे प्रमाण काढून टाकते आणि इव्हिल ट्विन (evil twin) हल्ल्यांपासून संरक्षण करते, जिथे एखादा हल्लेखोर युझरनेम आणि पासवर्ड चोरण्यासाठी बनावट ॲक्सेस पॉईंट तयार करतो.

EAP-TLS हँडशेकच्या तपशीलवार विश्लेषणासाठी, आमचे WiFi Certificate Authentication: Secure Network Access हे मार्गदर्शक पहा.

SCEP एनरोलमेंट प्रवाह, टप्प्याटप्प्याने

संपूर्ण एनरोलमेंट साखळी खालीलप्रमाणे काम करते. तुमचे MDM प्लॅटफॉर्म - Microsoft Intune, Jamf किंवा इतर MDM - व्यवस्थापित डिव्हाइसवर SCEP पेलोड पुश करते. त्या पेलोडमध्ये दोन गोष्टी असतात: तुमच्या NDES (Network Device Enrollment Service) सर्व्हर किंवा क्लाउड SCEP गेटवेकडे निर्देशित करणारा SCEP URL आणि चॅलेंज पासवर्ड किंवा शेअर केलेला सिक्रेट.

डिव्हाइस स्थानिक पातळीवर स्वतःची पब्लिक आणि प्रायव्हेट की जोडी तयार करते. हे SCEP चे महत्त्वपूर्ण सुरक्षा वैशिष्ट्य आहे: प्रायव्हेट की डिव्हाइसवरच तयार केली जाते, सिक्युर एन्क्लेव्ह किंवा TPM चिपमध्ये सुरक्षित ठेवली जाते आणि नेटवर्कवर कधीही पाठवली जात नाही. त्यानंतर डिव्हाइस सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) तयार करते आणि SCEP गेटवेकडे पाठवते. गेटवे चॅलेंज पासवर्ड प्रमाणित करतो, CSR तुमच्या सर्टिफिकेट ऑथॉरिटीकडे (CA) पाठवतो आणि CA त्यावर स्वाक्षरी करून पब्लिक सर्टिफिकेट डिव्हाइसला परत करतो.

त्यानंतर, जेव्हा डिव्हाइस तुमच्या WiFi SSID शी कनेक्ट होते, तेव्हा ते RADIUS सर्व्हरला ते सर्टिफिकेट सादर करते. RADIUS सर्व्हर तुमच्या CA ट्रस्ट चेनच्या विरूद्ध सर्टिफिकेट प्रमाणित करतो, सर्टिफिकेट रद्द केले गेले नाही याची खात्री करण्यासाठी सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) तपासतो आणि सर्व काही व्यवस्थित असल्यास, ॲक्सेस पॉईंटला Access-Accept संदेश पाठवतो. डिव्हाइस नेटवर्कवर कनेक्ट होते. ही संपूर्ण प्रक्रिया वापरकर्त्यासाठी अदृश्य असते.

SCEP विरुद्ध PKCS: WiFi साठी कोणते वापरावे

Intune सारखे MDM प्लॅटफॉर्म्स दोन सर्टिफिकेट डिलिव्हरी मेकॅनिझमला सपोर्ट करतात: SCEP आणि PKCS (Public Key Cryptography Standards). यामधील आर्किटेक्चरल फरक महत्त्वपूर्ण आहे.

SCEP सह, प्रायव्हेट की डिव्हाइसवर तयार केली जाते आणि ती कधीही डिव्हाइस सोडत नाही. PKCS सह, सर्टिफिकेट ऑथॉरिटी पब्लिक आणि प्रायव्हेट की दोन्ही मध्यवर्ती ठिकाणी तयार करते आणि सर्टिफिकेट कनेक्टर नेटवर्कद्वारे की जोडी डिव्हाइसवर पुश करतो. याचा अर्थ प्रायव्हेट की ट्रान्समिट केली जाते, ज्यामुळे सैद्धांतिक सुरक्षा धोका निर्माण होऊ शकतो.

PKCS अशा वापरांसाठी योग्य आहे जिथे की एस्क्रो आवश्यक असते, जसे की S/MIME ईमेल एन्क्रिप्शन. WiFi ऑथेंटिकेशनसाठी, SCEP हा योग्य पर्याय आहे. प्रायव्हेट की डिव्हाइसवरच राहते.

हार्डवेअर सुसंगतता

SCEP आणि EAP-TLS हे वेंडर-न्यूट्रल (vendor-neutral) मानक आहेत. ते Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet ॲक्सेस पॉइंट्सवर काम करतात. तुमचे RADIUS कॉन्फिगरेशन - मग ते Windows NPS असो, FreeRADIUS असो किंवा क्लाउड RADIUS सेवा असो - तिथेच तुम्ही प्रमाणपत्र प्रमाणीकरण (certificate validation) पॉलिसी आणि डायनॅमिक VLAN असाइनमेंट परिभाषित करता.

डायनॅमिक VLAN असाइनमेंटद्वारे तुम्ही डिव्हाइसच्या ओळखीनुसार नेटवर्कचे वर्गीकरण करता. कर्मचाऱ्याच्या डिव्हाइसला अंतर्गत सिस्टम्सच्या ॲक्सेससह VLAN 10 मिळतो. कंत्राटदाराच्या डिव्हाइसला केवळ इंटरनेट ॲक्सेससह VLAN 20 मिळतो. पॉइंट-ऑफ-सेल (POS) टर्मिनलला केवळ पेमेंट प्रोसेसिंग सिस्टम्सच्या ॲक्सेससह VLAN 30 मिळतो. हे सर्व प्रमाणपत्राचे गुणधर्म आणि RADIUS पॉलिसीद्वारे चालवले जाते, ज्यामध्ये प्रति डिव्हाइस कोणत्याही मॅन्युअल हस्तक्षेपाची आवश्यकता नसते.

ओळख-आधारित नेटवर्क वर्गीकरणासह WiFi Analytics कसे समाकलित होते याबद्दल अधिक माहितीसाठी, आमचे ॲनालिटिक्स प्लॅटफॉर्म विहंगावलोकन पहा.

अंमलबजावणी मार्गदर्शक: उपयोजन (deployment) क्रम

एंटरप्राइझ WiFi साठी SCEP यशस्वीरित्या कॉन्फिगर करण्यासाठी विशिष्ट उपयोजन क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. MDM प्लॅटफॉर्म प्रोफाइल अवलंबित्व लागू करतात: SCEP प्रमाणपत्राचा संदर्भ देणारे WiFi प्रोफाइल जोपर्यंत ते प्रमाणपत्र डिव्हाइसवर अस्तित्वात येत नाही तोपर्यंत लागू होऊ शकत नाही. या क्रमाचे उल्लंघन करणे हे उपयोजन अयशस्वी होण्याचे सर्वात सामान्य कारण आहे.

क्रम असा आहे: आधी Trusted Root, दुसरे SCEP प्रोफाइल, तिसरे WiFi प्रोफाइल. या क्रमामध्ये कोणतीही तडजोड केली जाऊ शकत नाही.

पायरी १: Trusted Root Certificate प्रोफाइल उपयोजित करा

कोणतेही डिव्हाइस क्लायंट प्रमाणपत्राची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या प्रमाणपत्र प्राधिकरणावर (Certificate Authority) विश्वास ठेवला पाहिजे. तुमचे Root CA प्रमाणपत्र - आणि कोणतेही Intermediate CA प्रमाणपत्रे - .cer फाइल्स म्हणून एक्सपोर्ट करा. तुमच्या MDM ॲडमिन सेंटरमध्ये, एक Trusted Certificate प्रोफाइल तयार करा, .cer फाइल अपलोड करा आणि ती तुमच्या लक्ष्यित डिव्हाइस ग्रुपवर उपयोजित करा.

तुमच्याकडे टू-टियर PKI पदानुक्रम (शिफारस केलेले) असल्यास, तुम्हाला तुमच्या MDM प्लॅटफॉर्मवर अवलंबून, Root CA आणि जारी करणारे CA प्रमाणपत्रे दोन्ही स्वतंत्र Trusted Certificate प्रोफाइल म्हणून किंवा एकाच प्रोफाइलमधील साखळी म्हणून उपयोजित करावे लागतील.

पायरी २: SCEP Certificate प्रोफाइल कॉन्फिगर करा

एकदा विश्वास स्थापित झाल्यानंतर, डिव्हाइसेसना त्यांचे क्लायंट प्रमाणपत्र कसे मिळवायचे याचे निर्देश देण्यासाठी SCEP प्रोफाइल कॉन्फिगर करा.

एक नवीन कॉन्फिगरेशन प्रोफाइल तयार करा आणि SCEP प्रमाणपत्र प्रोफाइल प्रकार निवडा. Subject नाव स्वरूप कॉन्फिगर करा. वापरकर्ता-चालित प्रमाणीकरणासाठी, CN={{UserPrincipalName}} हे मानक आहे. डिव्हाइस प्रमाणीकरणासाठी (शेअर केलेले डिव्हाइसेस, IoT, POS टर्मिनल्स), CN={{AAD_Device_ID}} वापरा. Key usage हे Digital signature आणि Key encipherment वर सेट करा. Extended Key Usage हे Client Authentication (OID: 1.3.6.1.5.5.7.3.2) वर सेट करा. हे प्रोफाइल पायरी १ मध्ये तयार केलेल्या Trusted Root प्रमाणपत्र प्रोफाइलशी लिंक करा. तुमच्या NDES सर्व्हरची बाह्य URL प्रदान करा. विशेषतः Microsoft Intune साठी, रिमोट डिव्हाइसेसना ऑन-साइट येण्यापूर्वी नोंदणी करण्याची परवानगी देण्यासाठी NDES सर्व्हर Azure AD Application Proxy द्वारे प्रकाशित करणे आवश्यक आहे. NDES थेट इंटरनेटवर उघडू नका.

पायरी ३: 802.1X WiFi प्रोफाइल तैनात करा

शेवटची पायरी म्हणजे WiFi कॉन्फिगरेशन पुश करणे जे प्रमाणपत्रांना नेटवर्क SSID शी जोडते. एक Wi-Fi कॉन्फिगरेशन प्रोफाइल तयार करा. नेटवर्कचे नाव (SSID) जसे तुमच्या ॲक्सेस पॉईंट्सद्वारे ब्रॉडकास्ट केले जाते तसेच अचूक प्रविष्ट करा. सुरक्षा प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise निवडा. EAP प्रकार EAP-TLS वर सेट करा. ऑथेंटिकेशन सेटिंग्जमध्ये, क्लायंट ऑथेंटिकेशन प्रमाणपत्र म्हणून पायरी २ मध्ये तयार केलेले SCEP प्रमाणपत्र प्रोफाइल निवडा. सर्व्हर व्हॅलिडेशनसाठी Trusted Root प्रमाणपत्र निर्दिष्ट करा - हे सुनिश्चित करते की डिव्हाइस केवळ तुमच्या कायदेशीर RADIUS सर्व्हरशी कनेक्ट होईल आणि कोणत्याही बनावट ॲक्सेस पॉईंटशी नाही.

आयडेंटिटी प्रोव्हाइडर इंटिग्रेशन

SCEP प्रमाणपत्र विशेषता - विशेषतः Subject Alternative Name (SAN) - Microsoft Entra ID, Okta किंवा Google Workspace वरून वापरकर्त्याचे मुख्य नाव वाहून नेऊ शकतात. हे प्रमाणपत्र एका विशिष्ट ओळखीशी जोडते. जेव्हा तुम्ही Entra ID मधील खाते निष्क्रिय करता आणि MDM डिव्हाइसची नोंदणी रद्द करते, तेव्हा प्रमाणपत्र रद्द केले जाते आणि WiFi ॲक्सेस आपोआप बंद केला जातो. ते स्वयंचलित रद्दीकरण ही अशी सुरक्षा कथा आहे ज्याची तुलना प्री-शेअर्ड की (pre-shared keys) करू शकत नाहीत.

PEAP-MSCHAPv2 मायग्रेशन पाथसह EAP Method WiFi: A Guide to Secure Network Access बद्दल अधिक माहितीसाठी, आमचे समर्पित मार्गदर्शक पहा.

सर्वोत्तम पद्धती आणि उद्योग मानके

NDES सर्व्हर प्लेसमेंट

NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे जेणेकरून डिव्हाइसेस ऑन-साइट येण्यापूर्वी नोंदणी करू शकतील. Azure AD Application Proxy द्वारे NDES URL प्रकाशित करा. हे इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस प्रदान करते आणि तुम्हाला नोंदणी प्रवाहावर कंडिशनल ॲक्सेस पॉलिसी लागू करण्याची परवानगी देते. NDES थेट इंटरनेटवर कधीही उघडू नका.

५०० पेक्षा जास्त व्यवस्थापित डिव्हाइसेस असलेल्या नेटवर्कसाठी, ऑन-प्रिमाइसेस NDES ऐवजी क्लाउड SCEP गेटवेचा विचार करा. क्लाउड गेटवे NDES चे सिंगल पॉईंट ऑफ फेल्युअर दूर करतात, क्षैतिजरित्या स्केल होतात आणि सामान्यतः थेट क्लाउड RADIUS सेवांशी समाकलित होतात.

CRL उपलब्धता

जेव्हा जेव्हा एखादे डिव्हाइस ऑथेंटिकेट होते तेव्हा तुमचा RADIUS सर्व्हर Certificate Revocation List (CRL) तपासतो. जर तुमचा CRL Distribution Point (CDP) अनुपलब्ध असेल - सर्व्हर डाउन असल्यामुळे किंवा URL बदलल्यामुळे - तर नेटवर्कवरील प्रत्येक डिव्हाइससाठी ऑथेंटिकेशन एकाच वेळी अयशस्वी होते. कडक CRL चेकिंग लागू करण्यासाठी तुमचा NPS किंवा RADIUS सर्व्हर कॉन्फिगर करा आणि तुमचे CRL एंडपॉइंट्स अत्यंत उपलब्ध ठेवा. लाइव्ह जाण्यापूर्वी रद्दीकरणाची चाचणी घ्या.

PCI DSS 4.0 ची आवश्यकता 8.6 कार्डधारक डेटा वातावरणासाठी नेटवर्क लेयरवर मल्टी-फॅक्टर ऑथेंटिकेशन अनिवार्य करते. SCEP-प्रोविझन्ड प्रमाणपत्रांसह EAP-TLS Retail आणि Hospitality वातावरणातील वायरलेस नेटवर्कसाठी ही आवश्यकता पूर्ण करते.

WPA3 सुसंगतता

EAP-TLS हे WPA3-Enterprise सोबत पूर्णपणे सुसंगत आहे. 192-बिट सुरक्षा सुट (Suite B) असलेले WPA3-Enterprise हे EAP-TLS अनिवार्य करते आणि सरकारी, वित्तीय आणि आरोग्य सेवा नेटवर्कसाठी Wi-Fi Alliance द्वारे शिफारस केलेले हे संयोजन आहे. जर तुम्ही कडक अनुपालन आवश्यकता असलेल्या Healthcare किंवा Transport वातावरणात तैनात करत असाल, तर EAP-TLS सह WPA3-Enterprise हे योग्य लक्ष्य आर्किटेक्चर आहे.

BYOD आणि अतिथी WiFi

प्रमाणपत्र पेलोड पुश करण्यासाठी SCEP ला MDM नोंदणी आवश्यक आहे. यामध्ये व्यवस्थापित नसलेली BYOD उपकरणे किंवा अतिथी समाविष्ट नाहीत. त्या वापराच्या प्रकरणांसाठी, तुम्हाला Captive Portal आणि ओळख पडताळणीसह स्वतंत्र SSID ची आवश्यकता आहे. Purple चे प्लॅटफॉर्म तो स्तर सुलभतेने हाताळते, जे तुमच्या प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्कच्या सोबतीने कार्य करते. आमचे Guest WiFi प्लॅटफॉर्म जाणीवपूर्वक निवडलेले पर्याय (opt-ins), फर्स्ट-पार्टी डेटा कॅप्चर आणि ओळख पडताळणीसाठी Microsoft Entra ID, Okta आणि Google Workspace सह एकत्रीकरणास समर्थन देते.

त्रुटी निवारण आणि जोखीम कमी करणे

WiFi प्रोफाइल लागू होण्यास अपयशी ठरते

लक्षण: उपकरणाला Trusted Root आणि SCEP प्रमाणपत्रे मिळतात, परंतु MDM मध्ये WiFi प्रोफाइल Error किंवा Not Applicable म्हणून दिसते.

मूळ कारण: ग्रुप टार्गेटिंगमधील विसंगती. जर SCEP प्रोफाइल User ग्रुपला लक्ष्य करत असेल आणि WiFi प्रोफाइल Device ग्रुपला लक्ष्य करत असेल, तर MDM या अवलंबित्वाची सोडवणूक करू शकत नाही.

उपाय: तुमच्या असाइनमेंट्सचे ऑडिट करा. Trusted Root, SCEP आणि WiFi प्रोफाइल हे सर्व एकाच डिरेक्टरी ग्रुपला लक्ष्य करत असल्याची खात्री करा.

NDES 403 Forbidden त्रुटी

लक्षण: उपकरणे SCEP प्रमाणपत्र मिळवण्यात अपयशी ठरतात. NDES IIS लॉग्स HTTP 403 त्रुटी दर्शवतात.

मूळ कारण: MDM Certificate Connector सर्व्हिस अकाउंटकडे प्रमाणपत्र टेम्पलेटवर Read आणि Enroll परवानग्या नाहीत, किंवा फायरवॉल URL फिल्टरिंग SCEP क्वेरी स्ट्रिंग पॅरामीटर्स ब्लॉक करत आहे.

उपाय: कनेक्टर अकाउंटकडे CA टेम्पलेटवर Read आणि Enroll परवानग्या असल्याची पडताळणी करा. ?operation=GetCACaps समाविष्ट असलेल्या URL ब्लॉक केल्या जात नाहीत याची खात्री करण्यासाठी फायरवॉल लॉग्स तपासा.

CRL समाप्तीनंतर मोठ्या प्रमाणावर प्रमाणीकरण अपयश

लक्षण: नेटवर्कवरील सर्व उपकरणे एकाच वेळी प्रमाणित होण्यास अपयशी ठरतात.

मूळ कारण: CRL ची मुदत संपली आहे किंवा CDP URL पर्यंत पोहोचता येत नाही. RADIUS सर्व्हर प्रमाणपत्रे वैध असल्याची पुष्टी करू शकत नाही आणि सुरक्षिततेसाठी कनेक्शन बंद करतो.

उपाय: CRL मॉनिटरिंग आणि अलर्टिंग कॉन्फिगर करा. प्रकाशन अंतरापेक्षा लक्षणीयरीत्या जास्त वैधता कालावधी असलेले CRLs प्रकाशित करा. गो-लाइव्ह करण्यापूर्वी RADIUS सर्व्हरवरून CDP पोहोचक्षमतेची चाचणी घ्या.

प्रमाणपत्र समाप्तीमुळे छुपे अपयश येणे

लक्षण: वैयक्तिक उपकरणे मधूनमधून कनेक्ट होण्यास अपयशी ठरतात, ज्याचा कोणताही स्पष्ट पॅटर्न नसतो.

मूळ कारण: क्लायंट प्रमाणपत्रांची मुदत संपली आहे आणि MDM ने त्यांचे यशस्वीरित्या नूतनीकरण केलेले नाही.

उपाय: प्रमाणपत्राच्या ८०% आयुष्यावर नूतनीकरण सुरू होईल असे कॉन्फिगर करा. प्रमाणपत्र त्रुटी असलेल्या उपकरणांसाठी MDM नोंदणी स्थिती अहवालांचे निरीक्षण करा. तुमच्या डिव्हाइस रिफ्रेश सायकलसाठी योग्य प्रमाणपत्र वैधता कालावधी सेट करा - सामान्यतः व्यवस्थापित एंडपॉइंट्ससाठी एक ते दोन वर्षे.

ROI आणि व्यावसायिक प्रभाव

SCEP-आधारित 802.1X प्रमाणपत्र प्रमाणीकरणावर (certificate authentication) स्थलांतरित केल्याने सुरक्षा, ऑपरेशन्स आणि अनुपालनामध्ये (compliance) मोजता येण्याजोगा परतावा मिळतो.

हेल्पडेस्क तिकीट कपात: पासवर्ड-आधारित WiFi मोठ्या प्रमाणात सपोर्ट तिकिटे तयार करते - पासवर्डची मुदत संपणे, लॉकआउट्स आणि टायपिंगच्या चुका. प्रमाणपत्र-आधारित प्रमाणीकरण वापरकर्त्यासाठी अदृश्य असते. संस्था सहसा स्थलांतरणानंतर WiFi-संबंधित हेल्पडेस्क तिकिटांच्या संख्येत ७०-८०% कपात पाहतात.

सुरक्षा स्थिती: EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल (Man-in-the-Middle) हल्ले पूर्णपणे काढून टाकते. हे थेट रिटेल आणि हॉस्पिटॅलिटी नेटवर्कसाठी PCI DSS 4.0 अनुपालनाला आणि योग्य तांत्रिक सुरक्षा उपायांसाठी GDPR कलम ३२ च्या आवश्यकतांना थेट समर्थन देते.

स्वयंचलित निरसन (Automated revocation): जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा Microsoft Entra ID मधील त्यांचे खाते निष्क्रिय केल्याने स्वयंचलित प्रमाणपत्र निरसन आणि MDM अनएनरोलमेंट ट्रिगर होते. नेटवर्क टीमच्या कोणत्याही मॅन्युअल हस्तक्षेपाशिवाय WiFi प्रवेश त्वरित बंद केला जातो.

नेटवर्क विभाजन (Network segmentation): RADIUS प्रमाणपत्र गुणधर्मांद्वारे डायनॅमिक VLAN असाइनमेंट तुम्हाला क्रिप्टोग्राफिकली लागू केलेले नेटवर्क विभाजन देते. डिव्हाइसेस SSID निवड किंवा MAC ॲड्रेस फिल्टरिंगवर आधारित नसून, प्रमाणपत्र गुणधर्मांच्या आधारे योग्य नेटवर्क सेगमेंटवर पोहोचतात - ज्या दोन्ही गोष्टी सहजपणे बायपास केल्या जाऊ शकतात.

Purple हे ९९.९९९% अपटाइमसह ८०,०००+ पेक्षा जास्त लाइव्ह ठिकाणी कार्यरत आहे आणि आमचे प्लॅटफॉर्म ISO 27001, GDPR, CCPA आणि Cyber Essentials प्रमाणित आहे. आमचे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) क्लाउड ओव्हरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सोबत समाकलित होते - जेणेकरून तुमचे प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्क आणि आमचे गेस्ट WiFi लेयर एकाच इन्फ्रास्ट्रक्चरवरून काम करू शकतील.

तुमच्या सुरक्षित नेटवर्क उपयोजनाला Behavioral Analytics: Insights for WiFi Networks कशा प्रकारे पूरक ठरू शकते याबद्दल अधिक माहितीसाठी, आमचे विश्लेषण मार्गदर्शक पहा.

संदर्भ

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council