सुरक्षित Enterprise WiFi आणि BYOD प्रोव्हिजनिंगसाठी SCEP कसे कॉन्फिगर करावे

हे तांत्रिक मार्गदर्शक सुरक्षित 802.1X enterprise WiFi ऑथेंटिकेशन आणि BYOD प्रोव्हिजनिंग स्वयंचलित करण्यासाठी Simple Certificate Enrollment Protocol (SCEP) कसे कॉन्फिगर करावे हे स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना एक निश्चित डिप्लॉयमेंट क्रम, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक-जगातील अंमलबजावणीची उदाहरणे आणि एंटरप्राइझ नेटवर्कमधून असुरक्षित प्री-शेअर्ड की आणि MAC Authentication Bypass काढून टाकण्यासाठी जोखीम कमी करण्याच्या धोरणांची माहिती देते.

📖 8 मिनिट वाचन📝 1,754 शब्द🔧 2 सोडवलेली उदाहरणे❓ 4 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple कडून या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण सुरक्षित एंटरप्राइझ WiFi आणि BYOD प्रोव्हिजनिंगसाठी SCEP च्या कॉन्फिगरेशनचा सखोल अभ्यास करत आहोत.

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये कार्यरत असलेल्या IT मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि CTOs साठी, नेटवर्क ॲक्सेस व्यवस्थापित करणे हे सुरक्षा आणि ऑपरेशनल कार्यक्षमता यामधील एक सततचे संतुलन राखण्याचे काम आहे. तुम्ही दररोज तुमच्या नेटवर्कशी कनेक्ट होणाऱ्या शेकडो, कधीकधी हजारो डिव्हाइसेस हाताळत आहात. कर्मचाऱ्यांचे स्मार्टफोन, कंत्राटदारांचे लॅपटॉप, पॉइंट-ऑफ-सेल टॅब्लेट. आणि हे हाताळण्याचे जुने मार्ग आता पुरेसे राहिलेले नाहीत.

कर्मचारी आणि BYOD WiFi साठी प्री-शेअर्ड की (PSKs) वर अवलंबून राहणे ही एक सुरक्षेची त्रुटी आहे जी कधीही धोक्यात आणू शकते. एकदा का शेअर्ड पासवर्ड लीक झाला की, कोणालाही तुमच्या नेटवर्कमध्ये प्रवेश मिळतो. आणि MAC Authentication Bypass, किंवा MAB, देखील यापेक्षा चांगले नाही. आधुनिक स्मार्टफोन डीफॉल्टनुसार रँडमाइज्ड MAC ॲड्रेस वापरतात, ज्यामुळे MAB पूर्णपणे निकामी होते, आणि MAC ॲड्रेस काही सेकंदात स्पूफ केले जाऊ शकतात.

आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS वापरून 802.1X ऑथेंटिकेशनची मागणी करते. हे सुनिश्चित करते की प्रत्येक डिव्हाइस नेटवर्कला स्पर्श करण्यापूर्वी क्रिप्टोग्राफिकली सत्यापित केले गेले आहे. परंतु येथे आव्हान आहे: तुमच्या हेल्पडेस्कवर ताण न आणता तुम्ही हजारो अनमॅनेज्ड डिव्हाइसेसना युनिक क्लायंट सर्टिफिकेट्स कसे वितरित करता? याचे उत्तर आहे Simple Certificate Enrollment Protocol, किंवा SCEP.

चला आर्किटेक्चरपासून सुरुवात करूया. SCEP हे एंटरप्राइझ डिव्हाइस एनरोलमेंटसाठीचे इंडस्ट्री स्टँडर्ड आहे, जे RFC 8894 मध्ये परिभाषित केले आहे. हे १९९९ पासून अस्तित्वात आहे, मूळतः VeriSign द्वारे तयार केले गेले आहे, आणि ते काळाच्या कसोटीवर टिकून राहिले आहे कारण ते एका खरोखर कठीण समस्येचे उत्कृष्टपणे निराकरण करते.

SCEP वर्कफ्लोमध्ये, डिव्हाइस स्थानिक पातळीवर स्वतःची खाजगी आणि सार्वजनिक की पेअर (key pair) तयार करते. हे एक Certificate Signing Request, किंवा CSR तयार करते आणि ते Network Device Enrollment Service, म्हणजेच NDES द्वारे तुमच्या Certificate Authority, किंवा CA कडे पाठवते. CA विनंतीचे प्रमाणीकरण करते आणि स्वाक्षरी केलेले सार्वजनिक सर्टिफिकेट डिव्हाइसला परत करते.

येथे महत्त्वाचा सुरक्षेचा फायदा असा आहे की खाजगी की (private key) कधीही डिव्हाइस सोडत नाही. ती स्थानिक पातळीवर तयार केली जाते आणि डिव्हाइसच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये साठवली जाते. Windows लॅपटॉपवर, ते Trusted Platform Module, किंवा TPM असते. iPhone वर, ते Secure Enclave असते. खाजगी की कधीही नेटवर्कवर ट्रान्समिट केली जात नाही. यामुळेच नेटवर्क ऑथेंटिकेशनसाठी PKCS सारख्या पर्यायांपेक्षा SCEP अत्यंत सरस ठरते, जिथे CA मध्यवर्ती पातळीवर की पेअर तयार करते आणि ती डिव्हाइसवर ट्रान्समिट करते.

आता, आपण BYOD बद्दल बोलूया. ऑपरेशनल दृष्टिकोनातून हे खरोखरच मनोरंजक बनते. तुम्हाला कर्मचाऱ्यांनी अंतर्गत साधनांमध्ये प्रवेश करण्यासाठी त्यांचे वैयक्तिक डिव्हाइसेस वापरण्यास सक्षम असावे असे वाटते, परंतु तुम्हाला त्यांना तुमच्या कॉर्पोरेट MDM मध्ये एनरोल करण्याची सक्ती करायची नसते. ती गोपनीयतेची चिंता आहे, आणि त्याला कर्मचाऱ्यांकडून तीव्र विरोध होतो.

याचे उत्तर म्हणजे सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल. हे कसे कार्य करते ते येथे दिले आहे. युझर त्यांचे वैयक्तिक डिव्हाइस एका समर्पित प्रोव्हिजनिंग SSID शी कनेक्ट करतात. हे नेटवर्क एक वॉल गार्डन (मर्यादित नेटवर्क) असते, जे ऑनबोर्डिंग पोर्टल आणि तुमच्या आयडेंटिटी प्रोव्हाइडर व्यतिरिक्त इतर सर्व गोष्टींचा ॲक्सेस प्रतिबंधित करते. युझर त्यांच्या कॉर्पोरेट क्रेडेंशियल्सचा वापर करून ऑथेंटिकेट करतात, सामान्यतः Microsoft Entra ID, Okta, किंवा Google Workspace सोबतच्या SAML इंटिग्रेशनद्वारे. यशस्वी ऑथेंटिकेशन झाल्यावर, सिस्टम SCEP द्वारे एक युनिक, डिव्हाइस-विशिष्ट क्लायंट सर्टिफिकेट जनरेट करते. डिव्हाइसवर एक कॉन्फिगरेशन प्रोफाइल पाठवले जाते ज्यामध्ये सर्टिफिकेट, रूट CA सर्टिफिकेट आणि नेटवर्क सेटिंग्स असतात. त्यानंतर डिव्हाइस EAP-TLS चा वापर करून सुरक्षित कॉर्पोरेट SSID शी आपोआप कनेक्ट होते.

हे युझरसाठी अत्यंत सोपे आणि एंटरप्राइझसाठी सुरक्षित आहे. त्यांना सर्टिफिकेट्स किंवा 802.1X बद्दल काहीही माहिती असण्याची गरज नाही. ते फक्त एकदा लॉग इन करतात आणि कनेक्ट होतात.

आता, आपण याच्या अंमलबजावणीची सविस्तर माहिती घेऊया. डिप्लॉयमेंटचा क्रम अत्यंत महत्त्वाचा आहे, आणि यामध्ये चूक होणे हे अपयशाचे सर्वात सामान्य कारण आहे.

पहिले पाऊल: ट्रस्टेड रूट सर्टिफिकेट (Trusted Root Certificate) डिप्लॉय करा. कोणतेही डिव्हाइस क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या सर्टिफिकेट ऑथॉरिटीवर विश्वास ठेवला पाहिजे. तुमचे Root CA सर्टिफिकेट .cer फाईल म्हणून एक्सपोर्ट करा आणि ते तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर डिप्लॉय करा. हे पाऊल अनिवार्य आहे. याशिवाय, संपूर्ण साखळी अयशस्वी ठरते.

दुसरे पाऊल: SCEP सर्टिफिकेट प्रोफाइल कॉन्फिगर करा. हे डिव्हाइसेसना त्यांचे क्लायंट सर्टिफिकेट कसे मिळवायचे याचे निर्देश देते. तुम्हाला सब्जेक्ट नेम फॉरमॅट कॉन्फिगर करणे आवश्यक आहे. युझर-चालित ऑथेंटिकेशनसाठी, CN म्हणजे UserPrincipalName हा स्टँडर्ड आहे. डिव्हाइस ऑथेंटिकेशनसाठी, CN म्हणजे Azure AD Device ID वापरा. की युसेज (key usage) डिजिटल सिग्नेचर आणि की एन्सायफरमेंटवर सेट करा. एक्सटेंडेड की युसेज अंतर्गत, OID 1.3.6.1.5.5.7.3.2 सह क्लायंट ऑथेंटिकेशन निर्दिष्ट करा. हे प्रोफाइल पहिल्या पाऊलातील ट्रस्टेड रूट सर्टिफिकेट प्रोफाइलशी लिंक करा. आणि तुमच्या NDES सर्व्हरची एक्सटर्नल URL प्रदान करा.

तिसरे पाऊल: 802.1X WiFi प्रोफाइल डिप्लॉय करा. हे सर्टिफिकेट्सना नेटवर्क SSID शी जोडते. तुमच्या ॲक्सेस पॉईंट्सद्वारे ब्रॉडकास्ट केले जाणारे नेटवर्कचे नाव जसेच्या तसे प्रविष्ट करा. सिक्युरिटी टाईप WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा. EAP टाईप EAP-TLS वर सेट करा. क्लायंट ऑथेंटिकेशन सर्टिफिकेट म्हणून SCEP सर्टिफिकेट प्रोफाइल निवडा. आणि सर्व्हर व्हॅलिडेशनसाठी ट्रस्टेड रूट सर्टिफिकेट निर्दिष्ट करा.

या संपूर्ण माहितीमधून लक्षात ठेवण्याची सर्वात महत्त्वाची गोष्ट म्हणजे हा क्रम होय. आधी ट्रस्ट, नंतर सर्टिफिकेट, आणि मग WiFi. याच क्रमाने, प्रत्येक वेळी.

आता मी तुम्हाला काही सर्वोत्तम पद्धती सांगतो ज्या तुम्हाला प्रत्यक्ष वापरात येणाऱ्या मोठ्या त्रासापासून वाचवतील.

पहिले म्हणजे, तुमचे NDES सर्व्हर Azure AD Application Proxy द्वारे पब्लिश करा. रिमोट डिव्हाइसेसना प्रत्यक्ष ठिकाणी येण्यापूर्वी सर्टिफिकेट्स प्रोव्हिजन करण्याची परवानगी देण्यासाठी NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे. परंतु अंतर्गत सर्व्हर थेट इंटरनेटवर उघड करणे हा एक मोठा सुरक्षा धोका आहे. Application Proxy तुम्हाला इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस प्रदान करते.

दुसरे म्हणजे, BYOD उपकरणांसाठी कमी कालावधीची प्रमाणपत्रे (short-lived certificates) लागू करा. तीन वर्षांसाठी वैध असलेल्या प्रमाणपत्राऐवजी, ९० दिवसांसाठी वैध असलेली प्रमाणपत्रे जारी करा. जेव्हा प्रमाणपत्र कालबाह्य होईल, तेव्हा वापरकर्त्याला ऑनबोर्डिंग पोर्टलद्वारे पुन्हा प्रमाणीकरण करावे लागेल. यामुळे नेटवर्कवरील वापरात नसलेली जुनी उपकरणे आपोआप काढून टाकली जातात. ९० दिवसांत न वापरलेले उपकरण सहजपणे नेटवर्कवरून बाहेर पडते. कोणत्याही मॅन्युअल क्लीनअपची आवश्यकता नसते.

तिसरे, आणि हे अत्यंत महत्त्वाचे आहे, तुमच्या RADIUS सर्व्हरला कठोर Certificate Revocation List (CRL) तपासणी लागू करण्यासाठी कॉन्फिगर करा. जेव्हा एखादा कर्मचारी संस्था सोडतो, तेव्हा त्यांचे Active Directory खाते निष्क्रिय केल्याने त्यांचा WiFi प्रवेश त्वरित रद्द होणार नाही जर त्यांचे क्लायंट प्रमाणपत्र वैध राहिले असेल. प्रवेश मंजूर करण्यापूर्वी तुमच्या RADIUS सर्व्हरने CRL तपासणे आवश्यक आहे. तुमचे CRL Distribution Points अत्यंत उपलब्ध (highly available) असल्याची खात्री करा. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर प्रत्येकासाठी प्रमाणीकरण अपयशी ठरते. हा एक मोठा आउटेज असू शकतो.

आता आपण काही सामान्य बिघाड प्रकार (failure modes) आणि ते कसे टाळायचे ते पाहूया.

सर्वात वारंवार येणारी समस्या म्हणजे WiFi प्रोफाइल लागू न होणे. उपकरणाला Trusted Root आणि SCEP प्रमाणपत्रे मिळतात, परंतु MDM कन्सोलमध्ये WiFi प्रोफाइल 'Error' म्हणून दर्शवते. दहापैकी नऊ वेळा, हे ग्रुप टार्गेटिंगमधील विसंगतीमुळे होते. जर SCEP प्रोफाइल User Group ला नियुक्त केले असेल, परंतु WiFi प्रोफाइल Device Group ला नियुक्त केले असेल, तर MDM या अवलंबित्वाची (dependency) सोडवणूक करू शकत नाही. तुमच्या नियुक्त्यांचे ऑडिट करा. तिन्ही प्रोफाइल एकाच ग्रुपला टार्गेट करत असल्याची खात्री करा.

दुसरी सामान्य समस्या म्हणजे NDES 403 Forbidden त्रुटी. उपकरणे SCEP प्रमाणपत्र मिळवण्यात अपयशी ठरतात आणि NDES IIS लॉग्समध्ये HTTP 403 त्रुटी दिसतात. हे सहसा कनेक्टर सर्व्हिस खात्याकडे प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नसल्यामुळे किंवा SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना फायरवॉल ब्लॉक करत असल्यामुळे होते. कनेक्टर खात्याकडे CA टेम्पलेटवर Read आणि Enroll परवानग्या असल्याची पडताळणी करा. 'operation equals GetCACaps' पॅरामीटर असलेल्या URLs ब्लॉक केल्या जात नाहीत याची खात्री करण्यासाठी तुमचे फायरवॉल लॉग्स तपासा.

हे प्रत्यक्ष व्यवहारात कसे कार्य करते हे स्पष्ट करण्यासाठी मी तुम्हाला दोन वास्तविक परिस्थितींची उदाहरणे देतो.

परिस्थिती एक: २०० खोल्यांचे हॉटेल ज्यामध्ये ५० हाउसकीपिंग कर्मचारी शेड्यूलिंग ॲप वापरण्यासाठी वैयक्तिक स्मार्टफोन वापरतात. कर्मचाऱ्यांच्या गोपनीयतेचा आदर करण्यासाठी IT व्यवस्थापकाला पूर्ण MDM नोंदणी टाळायची आहे. यावर उपाय म्हणजे Microsoft Entra ID शी जोडलेले सेल्फ-सर्व्हिस पोर्टल. कर्मचारी प्रोव्हिजनिंग SSID शी कनेक्ट होतात, त्यांच्या Entra ID क्रेडेंशियल्ससह लॉग इन करतात आणि SCEP प्रोफाइल डाउनलोड करतात. SCEP सर्व्हर थेट उपकरणाला ३० दिवसांचे क्लायंट प्रमाणपत्र जारी करतो. उपकरण EAP-TLS वापरून Staff WiFi SSID शी कनेक्ट होते. RADIUS सर्व्हर या उपकरणांना मर्यादित VLAN मध्ये नियुक्त करतो जे केवळ शेड्यूलिंग ॲपला प्रवेश देते. जेव्हा एखादा कर्मचारी राजीनामा देतो, तेव्हा त्यांचे Entra ID खाते निष्क्रिय केले जाते आणि RADIUS सर्व्हर त्वरित नेटवर्क प्रवेश नाकारतो.

प्रसंग दोन: ५०० स्टोअर्स असलेली एक राष्ट्रीय रिटेल साखळी कॉर्पोरेट मालकीच्या पॉईंट-ऑफ-सेल टॅब्लेटसाठी सुरक्षित WiFi तैनात करत आहे. नेटवर्क आर्किटेक्टला हे सुनिश्चित करणे आवश्यक आहे की टॅब्लेट चोरीला गेला तरीही, क्रेडेंशियल्स काढले जाऊ शकत नाहीत. याचे समाधान म्हणजे Microsoft Intune जे SCEP द्वारे प्रमाणपत्रे तैनात करते. Intune विश्वसनीय रूट (Trusted Root) प्रमाणपत्र पाठवते, त्यानंतर SCEP प्रोफाइल टॅब्लेटला त्याच्या हार्डवेअर सुरक्षित एन्क्लेव्हमध्ये स्वतःची खाजगी की (private key) तयार करण्याचे निर्देश देते. टॅब्लेट NDES सर्व्हरकडे CSR सबमिट करतो, क्लायंट प्रमाणपत्र प्राप्त करतो आणि EAP-TLS चा वापर करून Retail POS SSID शी कनेक्ट होतो. खाजगी की स्थानिक पातळीवर तयार केली जात असल्याने आणि ती कधीही प्रसारित केली जात नसल्यामुळे, चोरी झालेल्या टॅब्लेटचे क्रेडेंशियल्स इतर कोठेही वापरले जाऊ शकत नाहीत. हे PCI DSS अनुपालन आवश्यकता पूर्ण करते.

आता, आपण बिझनेस केसबद्दल बोलूया. SCEP 802.1X प्रमाणपत्र तैनातीकडे संक्रमण केल्याने सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्याजोगा परतावा मिळतो.

पासवर्ड-आधारित WiFi मुळे हेल्पडेस्क तिकिटांची मोठी संख्या निर्माण होते. पासवर्डची मुदत संपणे, लॉकआउट्स, टायपिंगच्या चुका. प्रमाणपत्र-आधारित प्रमाणीकरण वापरकर्त्यासाठी अदृश्य असते. डिव्हाइसेस आपोआप कनेक्ट होतात. यामुळे सामान्यतः WiFi-संबंधित हेल्पडेस्कचे प्रमाण ७०% ने कमी होते. हा ऑपरेशनल खर्चामध्ये झालेला एक महत्त्वपूर्ण घट आहे.

EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल (Man-in-the-Middle) हल्ल्यांचा धोका काढून टाकते. रिटेल वातावरणात PCI DSS आणि सर्व क्षेत्रांमध्ये GDPR च्या अनुपालनासाठी हे अत्यंत महत्त्वाचे आहे. डेटा लीकचा खर्च योग्य PKI इन्फ्रास्ट्रक्चर तैनात करण्याच्या खर्चापेक्षा कितीतरी पटीने जास्त असतो.

आणि जे उद्योग आधीच Purple चे Guest WiFi आणि ॲनालिटिक्स प्लॅटफॉर्म चालवत आहेत, त्यांच्यासाठी कर्मचाऱ्यांच्या BYOD डिव्हाइसेसवर सुरक्षित ऑनबोर्डिंगचा विस्तार करणे एक युनिफाइड नेटवर्क मॅनेजमेंट स्ट्रॅटेजी प्रदान करते. Purple चे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) क्लाउड ओव्हरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सोबत समाकलित होते, त्यामुळे तुम्ही एकाच हार्डवेअर विक्रेत्यापुरते मर्यादित राहत नाही. Purple ८०,००० हून अधिक थेट ठिकाणांवर कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगिन प्रक्रियेतून गेले आहेत, तसेच त्यांच्याकडे ISO 27001, GDPR, CCPA आणि Cyber Essentials प्रमाणपत्रे आहेत.

तुम्हाला घ्याव्या लागणाऱ्या मुख्य निर्णयांच्या जलद सारांशासह मी समारोप करतो.

तुम्ही SCEP वापरावे की PKCS? WiFi प्रमाणीकरणासाठी SCEP वापरा. खाजगी की डिव्हाइसवरच राहते. PKCS चा वापर केवळ ईमेल एन्क्रिप्शनसाठी करा जिथे की एस्क्रो (key escrow) आवश्यक आहे.

प्रमाणपत्रे किती काळ वैध असावीत? BYOD साठी ९० दिवस. कॉर्पोरेट-व्यवस्थापित डिव्हाइसेससाठी एक ते दोन वर्षे.

तुम्ही तुमच्या MDM मध्ये वापरकर्ता (user) की डिव्हाइस (device) लक्ष्यीकरण वापरावे? वापरकर्ता लॉगिन करण्यापूर्वी कनेक्ट करणे आवश्यक असलेल्या कॉर्पोरेट डिव्हाइसेससाठी डिव्हाइस लक्ष्यीकरण वापरा. BYOD साठी वापरकर्ता लक्ष्यीकरण वापरा जिथे प्रमाणपत्र वैयक्तिक व्यक्तीशी जोडलेले असावे.

तुम्ही Android फ्रॅगमेंटेशन कसे हाताळता? शक्य तिथे Passpoint वापरा, ज्याला Hotspot 2.0 देखील म्हटले जाते. हे Android उत्पादकांमध्ये एक सुसंगत कनेक्शन अनुभव प्रदान करते.

आणि शेवटी, कोणती एक गोष्ट अचूक असणे सर्वात महत्त्वाचे आहे? तुमच्या RADIUS सर्व्हरवर CRL चेकिंग. त्याशिवाय, रद्द केलेले प्रमाणपत्र देखील नेटवर्क प्रवेश मंजूर करू शकते.

आजची माहिती इथेच संपत आहे. जर तुम्हाला यापैकी कोणत्याही विषयावर अधिक सखोल माहिती हवी असेल, तर Purple चे एंटरप्राइझ WiFi सुरक्षा आणि EAP-TLS प्रमाणपत्र प्रमाणीकरणावरील तांत्रिक मार्गदर्शक Purple च्या वेबसाइटवर purple.ai येथे उपलब्ध आहेत. ऐकल्याबद्दल धन्यवाद.

महत्वाचे मुद्दे

✓802.1X EAP-TLS हे सुरक्षित एंटरप्राइझ WiFi साठीचे मानक आहे, ज्यासाठी सर्व उपकरणांवर क्लायंट प्रमाणपत्रे असणे आवश्यक आहे. एंटरप्राइझ वातावरणासाठी प्री-शेअर्ड की आणि MAC Authentication Bypass हे व्यवहार्य पर्याय नाहीत.
✓SCEP मोठ्या प्रमाणावर प्रमाणपत्र उपयोजन स्वयंचलित करते. प्रायव्हेट की डिव्हाइसवरच तयार केली जाते आणि ती कधीही प्रसारित केली जात नाही, ज्यामुळे PKCS ऐवजी WiFi प्रमाणीकरणासाठी हा योग्य पर्याय ठरतो.
✓उपयोजन क्रम बदलता येण्याजोगा नाही: प्रथम Trusted Root Certificate, दुसरे SCEP Certificate Profile, तिसरे WiFi Profile. या तिन्ही प्रोफाइलने तुमच्या MDM मधील अगदी एकाच ग्रुपला लक्ष्य केले पाहिजे.
✓BYOD साठी, Microsoft Entra ID, Okta, किंवा Google Workspace सोबत एकत्रित केलेले सेल्फ-सर्व्हिस Captive Portal कर्मचाऱ्यांना पूर्ण MDM नोंदणीशिवाय वैयक्तिक उपकरणे ऑनबोर्ड करण्याची परवानगी देते.
✓कालबाह्य उपकरणे स्वयंचलितपणे काढून टाकण्यासाठी BYOD उपकरणांसाठी ९०-दिवसांची प्रमाणपत्रे जारी करा. कर्मचारी नोकरी सोडतात तेव्हा प्रवेश त्वरित रद्द करण्यासाठी तुमचे RADIUS सर्व्हर कठोर CRL किंवा OCSP तपासणीसाठी कॉन्फिगर करा.
✓अंतर्गत पायाभूत सुविधा इंटरनेटवर उघड न करता रिमोट प्रमाणपत्र प्रोव्हिजनिंगला अनुमती देण्यासाठी Azure AD Application Proxy द्वारे तुमचे NDES सर्व्हर प्रकाशित करा.
✓SCEP-आधारित 802.1X सामान्यतः WiFi-संबंधित हेल्पडेस्क तिकिटांचे प्रमाण ७०% ने कमी करते आणि रिटेल, हॉस्पिटॅलिटी आणि हेल्थकेअर वातावरणासाठी PCI DSS आणि GDPR अनुपालन आवश्यकता पूर्ण करते.

कार्यकारी सारांश (Executive summary)

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये कार्यरत असलेल्या एंटरप्राइझ ठिकाणांसाठी, कर्मचारी आणि BYOD WiFi साठी प्री-शेअर्ड की (PSKs) किंवा MAC Authentication Bypass (MAB) वर अवलंबून राहणे ही सुरक्षेच्या दृष्टीने एक जोखीम आहे. आधुनिक नेटवर्क आर्किटेक्चरसाठी EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) वापरून 802.1X प्रमाणीकरण (authentication) आवश्यक आहे, ज्यामुळे प्रत्येक डिव्हाइस नेटवर्कमध्ये प्रवेश करण्यापूर्वी क्रिप्टोग्राफिक पद्धतीने सत्यापित केले जाईल याची खात्री होते. आयटी हेल्पडेस्कला सपोर्ट तिकिटांच्या ओझ्याखाली न दाबता हजारो अनमॅनेज्ड डिव्हाइसेसना युनिक क्लायंट सर्टिफिकेट्स वितरित करणे हे एक मोठे ऑपरेशनल आव्हान आहे.

RFC 8894 मध्ये परिभाषित केलेले सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP), ऑटोमेटेड सर्टिफिकेट लाइफसायकल मॅनेजमेंटद्वारे या वितरण समस्येचे निराकरण करते. SCEP चा वापर करून, आयटी टीम्स एंडपॉइंट्सवर विश्वसनीय रूट आणि क्लायंट सर्टिफिकेट्स पाठवतात, ज्यामुळे प्रायव्हेट की कधीही डिव्हाइस सोडत नाही याची खात्री होते. हे मार्गदर्शक SCEP WiFi सर्टिफिकेट डिप्लॉयमेंटसाठी एक निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि स्टेप-बाय-स्टेप अंमलबजावणी धोरण प्रदान करते. आम्ही यशासाठी आवश्यक असणारा महत्त्वपूर्ण डिप्लॉयमेंट क्रम, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक परिस्थिती आणि तुमचे Guest WiFi आणि कॉर्पोरेट नेटवर्क सुरक्षित आणि कार्यक्षम राहतील याची खात्री करण्यासाठी जोखीम कमी करण्याच्या धोरणांचा समावेश केला आहे.

तांत्रिक सखोल विश्लेषण: SCEP आर्किटेक्चर

SCEP हे एंटरप्राइझ डिव्हाइस एनरोलमेंटसाठीचे इंडस्ट्री स्टँडर्ड आहे, जे VeriSign द्वारे तयार केले गेले आहे आणि 1999 मध्ये IETF इंटरनेट ड्राफ्ट म्हणून प्रकाशित केले गेले आहे. हे पब्लिक की इन्फ्रास्ट्रक्चर (PKI) वातावरणात X.509 सर्टिफिकेट्स जारी करण्याचे काम स्वयंचलित करते, ज्यामुळे मोठ्या प्रमाणावर मॅन्युअल सर्टिफिकेट मॅनेजमेंटची आवश्यकता उरत नाही.

SCEP वर्कफ्लोमध्ये, डिव्हाइस स्थानिक पातळीवर स्वतःची खाजगी आणि सार्वजनिक की जोडी (private and public key pair) तयार करते. हे एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) तयार करते आणि नेटवर्क डिव्हाइस एनरोलमेंट सर्व्हिस (NDES) सर्व्हरद्वारे ते तुमच्या सर्टिफिकेट ऑथॉरिटी (CA) कडे पाठवते. CA एका सामायिक सिक्रेटचा (shared secret) वापर करून विनंती प्रमाणित करते आणि स्वाक्षरी केलेले सार्वजनिक प्रमाणपत्र डिव्हाइसला परत पाठवते. याचा सर्वात महत्त्वाचा सुरक्षा फायदा म्हणजे खाजगी की कधीही डिव्हाइस सोडत नाही. ती स्थानिक पातळीवर तयार केली जाते आणि डिव्हाइसच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये साठवली जाते - Windows वरील ट्रस्टेड प्लॅटफॉर्म मॉड्युल (TPM), किंवा iOS वरील सिक्युर एन्क्लेव्ह. यामुळे 802.1X ऑथेंटिकेशनसाठी SCEP हा अत्यंत शिफारस केलेला पर्याय ठरतो, PKCS (पब्लिक की क्रिप्टोग्राफी स्टँडर्ड्स) च्या तुलनेत जिथे CA मध्यवर्ती पातळीवर की जोडी तयार करते आणि ती नेटवर्कवर ट्रान्समिट करते.

SCEP प्रमाणपत्र नोंदणीचे चार टप्पे खालीलप्रमाणे आहेत. पहिला, डिव्हाइस NDES सर्व्हरद्वारे होस्ट केलेल्या SCEP एंडपॉइंट URL शी कनेक्ट होते. दुसरा, नोंदणी विनंती प्रमाणित करण्यासाठी डिव्हाइस SCEP सामायिक सिक्रेट - एकतर स्टॅटिक पासवर्ड किंवा MDM प्लॅटफॉर्मद्वारे तयार केलेले डायनॅमिक चॅलेंज - सादर करते. तिसरा, डिव्हाइस त्याची सार्वजनिक की आणि ओळख माहिती असलेले CSR तयार करते. चौथा, CA हे CSR प्रमाणित करते आणि स्वाक्षरी केलेले X.509 प्रमाणपत्र जारी करते, जे डिव्हाइसला परत केले जाते.

SCEP विरुद्ध PKCS: योग्य यंत्रणा निवडणे

तुमच्या प्रमाणपत्र उपयोजन (deployment) धोरणाची रचना करताना, SCEP आणि PKCS मधील निवडीचे थेट सुरक्षेवर परिणाम होतात. खालील तक्ता मुख्य फरक दर्शवतो.

वैशिष्ट्य	SCEP	PKCS
खाजगी की निर्मिती	डिव्हाइसवर (सिक्युर एन्क्लेव्ह)	CA सर्व्हरवर
खाजगी की ट्रान्समिशन	कधीही ट्रान्समिट केली जात नाही	नेटवर्कवर ट्रान्समिट केली जाते
पायाभूत सुविधांची आवश्यकता	NDES सर्व्हर आवश्यक	NDES आवश्यक नाही
सर्वोत्तम वापर	WiFi आणि VPN ऑथेंटिकेशन	S/MIME ईमेल एन्क्रिप्शन
802.1X साठी सुरक्षा स्थिती	शिफारस केलेले	शिफारस केलेले नाही

एंटरप्राइझ WiFi साठी SCEP वापरताना, नेहमी SCEP निवडा. खाजगी की डिव्हाइसवरच राहणे हा मूलभूत सुरक्षा गुणधर्म आहे जो प्रमाणपत्र-आधारित 802.1X ऑथेंटिकेशनला कोणत्याही क्रेडेंशियल-आधारित पद्धतीपेक्षा उत्कृष्ट बनवतो.

BYOD सेल्फ-सर्व्हिस ऑनबोर्डिंग फ्लो

सुरक्षित BYOD ऑनबोर्डिंगचा पाया म्हणजे संपूर्ण मोबाईल डिव्हाइस मॅनेजमेंट (MDM) नोंदणीची आवश्यकता नसताना जुन्या ऑथेंटिकेशनवरून EAP-TLS वर स्थलांतरित होणे. कर्मचाऱ्यांना त्यांचे वैयक्तिक स्मार्टफोन कॉर्पोरेट MDM मध्ये नोंदणी करण्यास भाग पाडल्याने गोपनीयतेच्या वाजवी चिंता निर्माण होतात आणि त्याला तीव्र विरोध होतो. एक सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल यावर तोडगा काढते.

वापरकर्ता त्यांचे वैयक्तिक डिव्हाइस एका समर्पित प्रोव्हिजनिंग SSID शी कनेक्ट करतो, जे केवळ ऑनबोर्डिंग पोर्टल आणि आयडेंटिटी प्रोव्हाइडरपुरतेच प्रवेश मर्यादित ठेवणारे वॉर्डन गार्डन म्हणून काम करते. वापरकर्ता Microsoft Entra ID, Okta किंवा Google Workspace सह SAML किंवा OAuth इंटिग्रेशनद्वारे ऑथेंटिकेट करतो. यशस्वी ऑथेंटिकेशन झाल्यावर, सिस्टम SCEP द्वारे एक युनिक, डिव्हाइस-विशिष्ट क्लायंट सर्टिफिकेट जनरेट करते. एक कॉन्फिगरेशन प्रोफाइल - ॲपलची .mobileconfig फाईल किंवा Android Passpoint प्रोफाइल - डिव्हाइसवर पुश केली जाते. त्यानंतर डिव्हाइस EAP-TLS चा वापर करून सुरक्षित कॉर्पोरेट SSID शी आपोआप कनेक्ट होते. वापरकर्त्याला सर्टिफिकेट्स किंवा 802.1X बद्दल काहीही जाणून घेण्याची आवश्यकता नसते.

अंमलबजावणी मार्गदर्शक: उपयोजन क्रम (deployment sequence)

802.1X साठी SCEP यशस्वीरित्या कॉन्फिगर करण्यासाठी विशिष्ट उपयोजन क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. ऑथेंटिकेशन कॉन्फिगर करण्यापूर्वी ट्रस्ट (विश्वास) स्थापित करणे आवश्यक आहे. या क्रमापासून विचलित होणे हे उपयोजन अयशस्वी होण्याचे सर्वात सामान्य कारण आहे.

पायरी १: ट्रस्टेड रूट सर्टिफिकेट उपयोजित करा. कोणतेही डिव्हाइस क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या सर्टिफिकेट ऑथॉरिटीवर विश्वास ठेवला पाहिजे. तुमचे Root CA सर्टिफिकेट (आणि कोणतेही इंटरमीडिएट CA सर्टिफिकेट्स) .cer फाईल्स म्हणून एक्सपोर्ट करा. तुमच्या MDM प्लॅटफॉर्मद्वारे हे प्रोफाइल तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर उपयोजित करा. ही पायरी अनिवार्य आहे.

पायरी २: SCEP सर्टिफिकेट प्रोफाइल कॉन्फिगर करा. हे डिव्हाइसेसना त्यांचे क्लायंट सर्टिफिकेट कसे मिळवायचे याबद्दल सूचना देते. सब्जेक्ट नेम फॉरमॅट कॉन्फिगर करा - वापरकर्ता-चालित ऑथेंटिकेशनसाठी, CN={{UserPrincipalName}} हे मानक आहे; डिव्हाइस ऑथेंटिकेशनसाठी, CN={{AAD_Device_ID}} वापरा. की वापर (key usage) Digital signature आणि Key encipherment वर सेट करा. एक्सटेंडेड की वापर अंतर्गत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करा. हे प्रोफाइल पायरी १ मधील ट्रस्टेड रूट सर्टिफिकेट प्रोफाइलशी लिंक करा. तुमच्या NDES सर्व्हरची बाह्य URL प्रदान करा.

पायरी ३: 802.1X WiFi प्रोफाइल उपयोजित करा. नेटवर्क SSID शी सर्टिफिकेट्स जोडणारे WiFi कॉन्फिगरेशन पुश करा. तुमच्या ॲक्सेस पॉइंट्सद्वारे जसे ब्रॉडकास्ट केले जाते तसेच नेटवर्कचे नाव अचूकपणे प्रविष्ट करा. सिक्युरिटी टाईप WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा. EAP टाईप EAP-TLS वर सेट करा. क्लायंट ऑथेंटिकेशन सर्टिफिकेट म्हणून SCEP सर्टिफिकेट प्रोफाइल निवडा. डिव्हाइस केवळ तुमच्या वैध RADIUS सर्व्हरशी कनेक्ट होईल याची खात्री करण्यासाठी सर्व्हर व्हॅलिडेशनसाठी ट्रस्टेड रूट सर्टिफिकेट निर्दिष्ट करा.

हा क्रम सर्व सपोर्टेड हार्डवेअर प्लॅटफॉर्मवर लागू होतो: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet. Purple चे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) क्लाउड ओव्हरले या सर्वांशी समाकलित होते, याचा अर्थ तुमची सर्टिफिकेट इन्फ्रास्ट्रक्चर एकाच हार्डवेअर विक्रेत्याशी बांधलेली नाही.

सर्वोत्तम पद्धती

Azure AD Application Proxy द्वारे NDES प्रकाशित करा. रिमोट डिव्हाइसेसना ऑन-साइट येण्यापूर्वी प्रमाणपत्रे मिळवण्याची परवानगी देण्यासाठी NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे. अंतर्गत सर्व्हर थेट इंटरनेटवर उघड करणे हा एक मोठा सुरक्षा धोका आहे. Azure AD Application Proxy द्वारे प्रकाशित केल्याने इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस मिळतो आणि तुम्हाला नावनोंदणी प्रवाहावर कंडिशनल ॲक्सेस पॉलिसी लागू करण्याची परवानगी मिळते.

BYOD साठी कमी कालावधीची प्रमाणपत्रे जारी करा. BYOD डिव्हाइसेस अनमॅनेज्ड असल्याने, नेटवर्कवर तडजोड केलेले डिव्हाइस राहण्याचा धोका जास्त असतो. अनेक वर्षांऐवजी ९० दिवसांसाठी वैध असलेली प्रमाणपत्रे जारी करा. जेव्हा प्रमाणपत्राची मुदत संपते, तेव्हा वापरकर्त्याने ऑनबोर्डिंग पोर्टलद्वारे पुन्हा प्रमाणीकरण करणे आवश्यक आहे. हे मॅन्युअल IT हस्तक्षेपाशिवाय नेटवर्कवरून जुनी डिव्हाइसेस नैसर्गिकरित्या काढून टाकते.

RADIUS सर्व्हरवर कठोर CRL चेकिंग लागू करा. प्रमाणपत्र उपयोजन हे सुरक्षेचे केवळ अर्धे समीकरण आहे. जर एखाद्या कर्मचाऱ्याला कामावरून काढून टाकले गेले, तर त्यांचे Active Directory खाते निष्क्रिय केल्याने त्यांचे WiFi ॲक्सेस त्वरित रद्द होणार नाही जर त्यांचे क्लायंट प्रमाणपत्र वैध राहिले. कठोर Certificate Revocation List (CRL) चेकिंग लागू करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. तुमचे CRL Distribution Points (CDPs) अत्यंत उपलब्ध असल्याची खात्री करा. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर सर्व वापरकर्त्यांसाठी प्रमाणीकरण अपयशी ठरते - एक व्यापक आउटेज.

BYOD ला समर्पित VLAN वर विभाजित करा. BYOD डिव्हाइसेस अनमॅनेज्ड असतात. तुम्ही त्यांचे OS अपडेट्स, अँटीव्हायरस स्थिती किंवा इंस्टॉल केलेले ॲप्लिकेशन्स नियंत्रित करत नाही. BYOD डिव्हाइसेसना एका समर्पित VLAN वर ठेवा जे इंटरनेट ॲक्सेस प्रदान करते आणि कर्मचाऱ्याच्या भूमिकेसाठी आवश्यक असलेल्या विशिष्ट अंतर्गत ॲप्लिकेशन्ससाठी मर्यादित ॲक्सेस देते. कॉर्पोरेट सर्व्हर किंवा मॅनेज्ड डिव्हाइसेस सारख्याच VLAN वर BYOD डिव्हाइसेस कधीही ठेवू नका.

ट्रबलशूटिंग आणि जोखीम कमी करणे

WiFi प्रोफाइल लागू होण्यास अपयशी ठरते. डिव्हाइसला Trusted Root आणि SCEP प्रमाणपत्रे मिळतात, परंतु MDM कन्सोलमध्ये WiFi प्रोफाइल 'Error' म्हणून दाखवते. हे सहसा ग्रुप टार्गेटिंग विसंगतीमुळे होते. जर SCEP प्रोफाइल User Group ला नियुक्त केले असेल परंतु WiFi प्रोफाइल Device Group ला नियुक्त केले असेल, तर MDM अवलंबित्व सोडवू शकत नाही. तुमच्या असाइनमेंट्सचे ऑडिट करा आणि Trusted Root, SCEP आणि WiFi प्रोफाइल सर्व एकाच Azure AD ग्रुपला टार्गेट करत असल्याची खात्री करा.

NDES 403 Forbidden एरर्स. डिव्हाइसेस SCEP प्रमाणपत्र मिळवण्यात अपयशी ठरतात आणि NDES IIS लॉग्स HTTP 403 एरर्स दाखवतात. कनेक्टर सर्व्हिस खात्याकडे प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नसण्याची शक्यता आहे, किंवा तुमची फायरवॉल SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत आहे. CA टेम्पलेटवर कनेक्टर खात्याकडे 'Read' आणि 'Enroll' परवानग्या असल्याची पडताळणी करा. ?operation=GetCACaps असलेल्या URLs ब्लॉक केल्या जात नाहीत याची खात्री करण्यासाठी फायरवॉल लॉग्स तपासा.

Android fragmentation. Apple iOS डिव्हाइसेस .mobileconfig प्रोफाइल्स सातत्यपूर्णपणे हाताळतात. Android अत्यंत विखंडित (fragmented) आहे - विविध उत्पादक आणि OS व्हर्जन WiFi प्रोफाइल्स आणि सर्टिफिकेट इन्स्टॉलेशन वेगवेगळ्या प्रकारे हाताळतात. ऑनबोर्डिंग पोर्टलवर स्पष्ट, OS-विशिष्ट सूचना प्रदान करा. Passpoint (Hotspot 2.0) चा वापर केल्याने सर्व उत्पादकांमध्ये सातत्यपूर्ण कनेक्शन फ्लो मिळून Android चा अनुभव लक्षणीयरीत्या सुधारतो.

Certificate revocation delays. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्याचा ॲक्सेस त्वरित रद्द केला पाहिजे. त्यांचे IdP खाते निष्क्रिय करणे ही पहिली पायरी आहे, परंतु RADIUS सर्व्हरने सर्टिफिकेटची स्थिती देखील सत्यापित केली पाहिजे. CRL चेकिंग व्यतिरिक्त Online Certificate Status Protocol (OCSP) वापरण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. OCSP वेळोवेळी अपडेट होणाऱ्या लिस्टवर अवलंबून राहण्याऐवजी रिअल-टाइम रिव्होकेशन स्टेटस प्रदान करते.

ROI आणि व्यावसायिक प्रभाव

SCEP 802.1X सर्टिफिकेट डिप्लॉयमेंटवर स्थलांतरित केल्याने सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्याजोगा परतावा मिळतो. पासवर्ड-आधारित WiFi मुळे पासवर्ड एक्स्पायरी, लॉकआउट्स आणि टायपिंगच्या चुकांमुळे हेल्पडेस्क तिकिटांची संख्या मोठ्या प्रमाणात वाढते. सर्टिफिकेट-आधारित ऑथेंटिकेशन वापरकर्त्यासाठी अदृश्य असते - डिव्हाइसेस आपोआप कनेक्ट होतात. यामुळे सामान्यतः WiFi-संबंधित हेल्पडेस्कचे काम ७०% ने कमी होते, ज्यामुळे IT कर्मचाऱ्यांना धोरणात्मक कामांवर लक्ष केंद्रित करण्यास वेळ मिळतो.

EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि Man-in-the-Middle (MitM) हल्ल्यांचा धोका दूर करते. Retail वातावरणात PCI DSS आणि सर्व क्षेत्रांमध्ये GDPR च्या अनुपालनासाठी (compliance) हे अत्यंत महत्त्वाचे आहे. Hospitality मध्ये, जिथे कर्मचारी पेमेंट डेटा आणि पाहुण्यांची वैयक्तिक माहिती हाताळतात, तिथे डेटा ब्रीचचा खर्च योग्य PKI इन्फ्रास्ट्रक्चर डिप्लॉय करण्याच्या खर्चापेक्षा खूप जास्त असतो. Transport ऑपरेटर आणि Healthcare ठिकाणांसाठी देखील हेच अनुपालन नियम लागू होतात.

Purple चे Guest WiFi आणि WiFi Analytics प्लॅटफॉर्म आधीपासूनच वापरत असलेल्या ठिकाणांसाठी, कर्मचाऱ्यांच्या BYOD डिव्हाइसेससाठी सुरक्षित ऑनबोर्डिंगचा विस्तार करणे एक युनिफाइड, मजबूत नेटवर्क मॅनेजमेंट धोरण प्रदान करते. Purple ८०,०००+ पेक्षा जास्त लाइव्ह ठिकाणांवर कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगइन्सवर प्रक्रिया केली आहे (Purple अंतर्गत डेटा), तसेच ISO 27001, GDPR, CCPA आणि Cyber Essentials सर्टिफिकेशन्स धारण केले आहेत. आमचे SecurePass आणि Shield सुरक्षा ॲड-ऑन्स या मार्गदर्शकामध्ये वर्णन केलेल्या सर्टिफिकेट-आधारित ऑथेंटिकेशन आर्किटेक्चरसह थेट समाकलित (integrate) होतात.

एंटरप्राइझ नेटवर्क सुरक्षेच्या अधिक विस्तृत माहितीसाठी, आमचे Enterprise WiFi Security: A Complete Guide for 2026 पहा. नेटवर्क ॲडमिनिस्ट्रेटरसाठी विशिष्ट असलेल्या GDPR अनुपालन बाबींसाठी, The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance पहा.

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrollment Protocol)

RFC 8894 मध्ये परिभाषित केलेला एक प्रोटोकॉल जो PKI वातावरणातील डिव्हाइसेसना X.509 डिजिटल सर्टिफिकेट्स जारी करण्याची प्रक्रिया स्वयंचलित करतो. डिव्हाइस स्वतःची प्रायव्हेट की स्थानिक पातळीवर तयार करते, जी डिव्हाइस कधीही सोडत नाही.

मॅन्युअल IT हस्तक्षेपाशिवाय कॉर्पोरेट आणि BYOD डिव्हाइसेसवर मोठ्या प्रमाणावर WiFi ऑथेंटिकेशन सर्टिफिकेट्स तैनात करण्यासाठी वापरले जाते. 802.1X सर्टिफिकेट प्रोव्हिजनिंगसाठी हे उद्योग मानक आहे.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक (IEEE Std 802.1X-2020). हे LAN किंवा WLAN ला कनेक्ट करू इच्छिणाऱ्या डिव्हाइसेसना नेटवर्क संसाधनांचा ॲक्सेस मिळण्यापूर्वी ऑथेंटिकेशन यंत्रणा प्रदान करते.

सुरक्षित एंटरप्राइझ WiFi चा पाया, जो असुरक्षित प्री-शेअर्ड कीजची जागा घेतो. यासाठी RADIUS सर्व्हर, क्लायंट डिव्हाइसवर सप्लिकंट आणि ॲक्सेस पॉइंटवर ऑथेंटिकेटर आवश्यक असतो.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक ऑथेंटिकेशन फ्रेमवर्क ज्यामध्ये सर्व्हर आणि क्लायंट दोघांनाही वैध डिजिटल सर्टिफिकेट्स सादर करणे आवश्यक असते. हे परस्पर ऑथेंटिकेशन प्रदान करते, ज्यामुळे डिव्हाइस नेटवर्कवर विश्वास ठेवते आणि नेटवर्क डिव्हाइसवर विश्वास ठेवते याची खात्री होते.

802.1X ऑथेंटिकेशनसाठी सर्वात सुरक्षित पद्धत. क्रेडेंशियल चोरी आणि मॅन-इन-द-मिडल (Man-in-the-Middle) हल्ले दूर करते. SCEP सर्टिफिकेट डिप्लॉयमेंट ज्यासाठी डिझाइन केले आहे तो हा लक्ष्यित ऑथेंटिकेशन प्रोटोकॉल आहे.

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server रोल जो ब्रिज म्हणून काम करतो, ज्यामुळे डोमेन क्रेडेंशियल्स नसलेल्या डिव्हाइसेसना SCEP द्वारे Active Directory Certificate Services CA कडून सर्टिफिकेट्स मिळवता येतात.

Microsoft Intune सह SCEP लागू करताना आवश्यक असणारा इन्फ्रास्ट्रक्चर घटक. सुरक्षित रिमोट सर्टिफिकेट प्रोव्हिजनिंगला अनुमती देण्यासाठी हे Azure AD Application Proxy द्वारे प्रकाशित केले जावे.

BYOD (Bring Your Own Device)

कर्मचाऱ्यांना एंटरप्राइझ नेटवर्क्स आणि ॲप्लिकेशन्सचा ॲक्सेस मिळवण्यासाठी त्यांचे वैयक्तिक स्मार्टफोन, टॅब्लेट किंवा लॅपटॉप वापरण्याची परवानगी देण्याची पद्धत.

अनमॅनेज्ड डिव्हाइसेसमुळे कॉर्पोरेट नेटवर्क धोक्यात येऊ नये म्हणून काळजीपूर्वक नेटवर्क सेगमेंटेशन आणि सुरक्षित ऑनबोर्डिंग आवश्यक आहे. गोपनीयतेच्या चिंतेमुळे वैयक्तिक डिव्हाइसेससाठी पूर्ण MDM नोंदणी बऱ्याचदा अव्यवहार्य असते.

CRL (Certificate Revocation List)

सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली एक यादी ज्यामध्ये मुदत संपण्यापूर्वी रद्द केलेल्या सर्टिफिकेट्सचे सिरियल नंबर्स असतात.

नोकरी सोडलेले कर्मचारी किंवा तडजोड झालेली डिव्हाइसेस नेटवर्कमध्ये प्रवेश करू शकणार नाहीत याची खात्री करण्यासाठी प्रत्येक ऑथेंटिकेशनच्या प्रयत्नादरम्यान RADIUS सर्व्हरद्वारे हे तपासले जाणे आवश्यक आहे. CRL डिस्ट्रिब्युशन पॉइंट्स अत्यंत उपलब्ध असणे आवश्यक आहे.

CSR (Certificate Signing Request)

डिजिटल आयडेंटिटी सर्टिफिकेटसाठी अर्ज करण्यासाठी डिव्हाइसद्वारे तयार केलेला आणि सर्टिफिकेट ऑथॉरिटीला पाठवलेला संदेश. यामध्ये डिव्हाइसची पब्लिक की आणि ओळख माहिती समाविष्ट असते.

SCEP प्रक्रियेदरम्यान डिव्हाइसद्वारे तयार केले जाते. CSR वर स्वाक्षरी करण्यासाठी वापरली जाणारी प्रायव्हेट की डिव्हाइसवरच राहते आणि ती कधीही ट्रान्समिट केली जात नाही.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्कशी कनेक्ट होणाऱ्या युजर्स आणि डिव्हाइसेससाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

802.1X ऑथेंटिकेशन दरम्यान क्लायंट सर्टिफिकेट प्रमाणित करणारा आणि नेटवर्क ॲक्सेस देणारा किंवा नाकारणारा सर्व्हर. कठोर CRL किंवा OCSP चेकिंग लागू करण्यासाठी हा कॉन्फिगर केलेला असणे आवश्यक आहे.

PKCS (Public Key Cryptography Standards)

मानकांचा एक संच जिथे पब्लिक आणि प्रायव्हेट दोन्ही कीज सर्टिफिकेट ऑथॉरिटीद्वारे तयार केल्या जातात आणि नंतर एंडपॉइंटवर सुरक्षितपणे वितरित केल्या जातात.

WiFi ऑथेंटिकेशनसाठी SCEP पेक्षा कमी योग्य कारण प्रायव्हेट की नेटवर्कवर ट्रान्समिट केली जाते. S/MIME ईमेल एन्क्रिप्शनसाठी अधिक योग्य जेथे की एस्क्रो आवश्यक असते.

OCSP (Online Certificate Status Protocol)

नियतकालिकपणे अपडेट होणाऱ्या CRL ला पर्याय म्हणून रिअल-टाइम सर्टिफिकेट रद्दीकरण स्थिती प्रदान करणारा प्रोटोकॉल.

उच्च-सुरक्षा वातावरणासाठी CRL ऐवजी याला प्राधान्य दिले जाते कारण हे काही तास जुन्या असू शकणाऱ्या यादीवर अवलंबून राहण्याऐवजी त्वरित रद्दीकरण स्थिती (revocation status) प्रदान करते.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला त्यांच्या ५० हाऊसकीपिंग कर्मचाऱ्यांसाठी त्यांच्या वैयक्तिक स्मार्टफोनचा (BYOD) वापर करून हाऊसकीपिंग शेड्युलिंग ॲप वापरण्यासाठी सुरक्षित WiFi ॲक्सेस प्रदान करायचा आहे. कर्मचाऱ्यांच्या गोपनीयतेचा आदर करण्यासाठी IT व्यवस्थापकाला पूर्ण MDM नोंदणी टाळायची आहे, परंतु एखादा कर्मचारी राजीनामा देतो तेव्हा त्याचा ॲक्सेस त्वरित रद्द केला जाईल याची खात्री करणे आवश्यक आहे.

हॉटेल Microsoft Entra ID सह एकत्रित केलेले सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल डिप्लॉय करते. कर्मचारी एका ओपन प्रोव्हिजनिंग SSID शी कनेक्ट होतात, त्यांच्या Entra ID क्रेडेंशियल्ससह ऑथेंटिकेट करतात आणि SCEP प्रोफाइल डाउनलोड करतात. SCEP सर्व्हर थेट डिव्हाइसवर ३० दिवसांचे क्लायंट प्रमाणपत्र जारी करतो, ज्याची प्रायव्हेट की स्थानिक पातळीवर स्मार्टफोनच्या सुरक्षित एन्क्लेव्हवर तयार आणि संग्रहित केली जाते. डिव्हाइस EAP-TLS वापरून 'Staff_WiFi' SSID शी स्वयंचलितपणे कनेक्ट होते. RADIUS सर्व्हर या डिव्हाइसेसना एका प्रतिबंधित VLAN मध्ये नियुक्त करतो जो केवळ शेड्युलिंग ॲप आणि इंटरनेटला ॲक्सेस देतो. जेव्हा एखादा कर्मचारी राजीनामा देतो, तेव्हा त्याचे Entra ID खाते निष्क्रिय केले जाते. कडक CRL तपासणीसाठी कॉन्फिगर केलेला RADIUS सर्व्हर पुढील ऑथेंटिकेशनच्या प्रयत्नात नेटवर्क ॲक्सेस नाकारतो. ३० दिवसांची प्रमाणपत्र वैधता हे सुनिश्चित करते की CRL तपासणीला उशीर झाला तरीही, एका महिन्याच्या आत ॲक्सेस संपुष्टात येईल.

परीक्षकाचे भाष्य: हा दृष्टिकोन कर्मचाऱ्यांच्या गोपनीयतेसह सुरक्षिततेचा समतोल राखतो. पूर्ण MDM नोंदणीऐवजी Captive Portal द्वारे SCEP वापरून, हॉटेल वैयक्तिक डिव्हाइसेसवर मॅनेजमेंट प्रोफाइल स्थापित करणे टाळते. ३० दिवसांची प्रमाणपत्र वैधता आणि कडक CRL तपासणी स्तरित ॲक्सेस नियंत्रण प्रदान करतात. VLAN सेगमेंटेशन हे सुनिश्चित करते की तडजोड केलेले BYOD डिव्हाइस देखील कॉर्पोरेट सर्व्हर्स किंवा पेमेंट सिस्टमपर्यंत पोहोचू शकत नाही.

५०० स्टोअर्स असलेल्या एका राष्ट्रीय रिटेल चेनला विंडोज चालवणाऱ्या कॉर्पोरेट मालकीच्या पॉइंट-ऑफ-सेल (POS) टॅब्लेटसाठी सुरक्षित WiFi डिप्लॉय करायचे आहे. नेटवर्क आर्किटेक्टने हे सुनिश्चित केले पाहिजे की टॅब्लेट चोरीला गेला तरीही, नेटवर्क क्रेडेंशियल्स काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून कॉर्पोरेट नेटवर्कमध्ये प्रवेश करण्यासाठी वापरले जाऊ शकत नाहीत. PCI DSS चे पालन करणे अनिवार्य आहे.

नेटवर्क आर्किटेक्ट SCEP द्वारे प्रमाणपत्रे डिप्लॉय करण्यासाठी Microsoft Intune कॉन्फिगर करतो. Intune 'POS Devices' ग्रुपवर Trusted Root प्रमाणपत्र पाठवते, त्यानंतर SCEP प्रोफाइल जे प्रत्येक टॅब्लेटला विंडोज TPM मध्ये स्वतःची प्रायव्हेट की तयार करण्याचे निर्देश देते. टॅब्लेट NDES सर्व्हरला CSR सबमिट करतो, क्लायंट प्रमाणपत्र प्राप्त करतो आणि WPA3-Enterprise आणि EAP-TLS वापरून 'Retail_POS' SSID शी कनेक्ट होतो. RADIUS सर्व्हर प्रमाणपत्राचे ऑथेंटिकेशन करतो आणि डिव्हाइसला आयसोलेटेड POS VLAN वर ठेवतो, जे केवळ पेमेंट प्रोसेसर आणि इन्व्हेंटरी मॅनेजमेंट सिस्टमला ट्रॅफिकची परवानगी देते. तिन्ही Intune प्रोफाइल - Trusted Root, SCEP आणि WiFi - डिपेंडन्सी अयशस्वी होऊ नये म्हणून एकाच 'POS Devices' डिव्हाइस ग्रुपला नियुक्त केले जातात. टॅब्लेट ऑन-साइट असण्याची आवश्यकता नसताना प्रमाणपत्र नूतनीकरणास अनुमती देण्यासाठी NDES हे Azure AD Application Proxy द्वारे प्रकाशित केले जाते.

परीक्षकाचे भाष्य: PCI DSS वातावरणातील कॉर्पोरेट डिव्हाइसेससाठी हे सर्वोत्तम आर्किटेक्चर आहे. कारण SCEP हे सुनिश्चित करते की प्रायव्हेट की स्थानिक पातळीवर TPM मध्ये तयार केली जाते आणि कधीही ट्रान्समिट केली जात नाही, त्यामुळे चोरी झालेल्या टॅब्लेटचे क्रेडेंशियल्स काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून पुन्हा वापरले जाऊ शकत नाहीत. WPA3-Enterprise मानक फॉरवर्ड सिक्रसी प्रदान करते, ज्यामुळे कॅप्चर केलेले ट्रॅफिक पूर्वलक्षीपणे डिक्रिप्ट केले जाऊ शकत नाही याची खात्री होते. VLAN आयसोलेशन कोणत्याही तडजोड केलेल्या डिव्हाइसची व्याप्ती केवळ POS नेटवर्क सेगमेंटपुरती मर्यादित करते.

सराव प्रश्न

Q1. तुम्ही Windows लॅपटॉपच्या ताफ्यात Intune द्वारे SCEP प्रोफाइल तैनात करत आहात. डिव्हाइसेसना Trusted Root प्रमाणपत्र यशस्वीरित्या प्राप्त होते, परंतु WiFi प्रोफाइल लागू होण्यास अपयशी ठरते आणि Intune कन्सोलमध्ये 'Error' म्हणून दर्शवते. SCEP प्रोफाइल 'All Users' Azure AD ग्रुपला नियुक्त केले आहे, तर WiFi प्रोफाइल 'Corporate Laptops' डिव्हाइस ग्रुपला नियुक्त केले आहे. या अपयशाचे कारण काय आहे आणि तुम्ही त्याचे निराकरण कसे कराल?

टीप: प्रोफाइल्समधील अवलंबित्व (dependencies) आणि जेव्हा एखादे प्रोफाइल दुसऱ्या प्रोफाइलवर अवलंबून असते तेव्हा Intune ग्रुप टार्गेटिंगचे निराकरण कसे करते याचा विचार करा.

नमुना उत्तर पहा

हे अपयश ग्रुप टार्गेटिंगमधील विसंगतीमुळे (mismatch) झाले आहे. Intune हे SCEP प्रोफाइल आणि WiFi प्रोफाइलमधील अवलंबित्व सोडवू शकत नाही कारण ते वेगवेगळ्या ग्रुप प्रकारांना लक्ष्य करतात - एक युजर्सना लक्ष्य करतो आणि दुसरा डिव्हाइसेसना लक्ष्य करतो. याचे निराकरण करण्यासाठी, तिन्ही प्रोफाइल असाइनमेंट्सचे ऑडिट करा आणि Trusted Root, SCEP आणि WiFi प्रोफाइल्स हे सर्व अगदी एकाच Azure AD ग्रुपवर तैनात केले असल्याची खात्री करा. सर्व प्रोफाइल्समध्ये सातत्यपूर्णपणे एकतर युजर टार्गेटिंग किंवा डिव्हाइस टार्गेटिंग निवडा.

Q2. एका रिटेल वेन्यूला त्यांच्या POS टॅब्लेट्स सुरक्षित करायच्या आहेत. IT डायरेक्टर NDES सर्व्हरची आवश्यकता काढून टाकून इन्फ्रास्ट्रक्चर सोपे करण्यासाठी SCEP ऐवजी PKCS वापरण्याची शिफारस करतात. नेटवर्क आर्किटेक्ट म्हणून, तुम्ही 802.1X WiFi ऑथेंटिकेशनसाठी SCEP ची शिफारस का करावी, आणि कोणत्या परिस्थितीत PKCS हा योग्य पर्याय ठरेल?

टीप: दोन्ही प्रोटोकॉलमध्ये प्रायव्हेट की (private key) कुठे जनरेट आणि स्टोअर केली जाते याचा विचार करा, आणि नेटवर्क ऑथेंटिकेशन विरुद्ध ईमेल एन्क्रिप्शनसाठीच्या सुरक्षा परिणामांचा विचार करा.

नमुना उत्तर पहा

802.1X WiFi ऑथेंटिकेशनसाठी SCEP ची शिफारस करा कारण प्रायव्हेट की डिव्हाइसवर स्थानिक पातळीवर जनरेट केली जाते आणि त्याच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये स्टोअर केली जाते. प्रायव्हेट की कधीही डिव्हाइस सोडत नाही आणि नेटवर्कवर कधीही ट्रान्समिट केली जात नाही. टॅब्लेट चोरीला गेल्यास, क्रेडेंशियल्स काढून दुसऱ्या डिव्हाइसवरून वापरता येत नाहीत. PKCS सह, CA मध्यवर्ती ठिकाणी की पेअर जनरेट करते आणि ती डिव्हाइसवर ट्रान्समिट करते, ज्यामुळे ट्रान्समिशनचा धोका निर्माण होतो जो नेटवर्क ऑथेंटिकेशनसाठी अस्वीकार्य आहे. PKCS हा केवळ S/MIME ईमेल एन्क्रिप्शनसाठी योग्य पर्याय आहे, जिथे मूळ डिव्हाइस हरवल्यास एन्क्रिप्टेड ईमेल डिक्रिप्ट करण्यासाठी की एस्क्रो (key escrow) आवश्यक असते.

Q3. तुम्ही ५०० खाटांच्या हॉस्पिटलसाठी BYOD ऑनबोर्डिंग पोर्टल डिझाइन करत आहात. क्लिनिकल स्टाफ त्यांच्या वैयक्तिक स्मार्टफोनचा वापर स्टाफ रोटा आणि अंतर्गत मेसेजिंग यांसारख्या गैर-महत्त्वाच्या अंतर्गत ॲप्समध्ये प्रवेश करण्यासाठी करतील. स्टाफने नोकरी सोडल्यानंतर जुनी डिव्हाइसेस नेटवर्कवर राहण्याचा धोका तुम्हाला कमी करायचा आहे, आणि यासाठी प्रत्येक कर्मचाऱ्यासाठी IT च्या मॅन्युअल हस्तक्षेपाची आवश्यकता नसावी. तुम्ही कोणते विशिष्ट प्रमाणपत्र कॉन्फिगरेशन लागू केले पाहिजे?

टीप: प्रमाणपत्राच्या लाइफसायकलचा विचार करा आणि IT ला प्रत्येक प्रमाणपत्र मॅन्युअली रिव्होक (रद्द) करण्याची आवश्यकता न पडता तुम्ही डिव्हाइसेसना वेळोवेळी पुन्हा ऑथेंटिकेट करण्यास कसे भाग पाडू शकता याचा विचार करा.

नमुना उत्तर पहा

३० ते ९० दिवसांच्या वैधतेचे अल्पायुषी (short-lived) प्रमाणपत्रे लागू करा. जेव्हा प्रमाणपत्राची मुदत संपते, तेव्हा BYOD डिव्हाइसला कर्मचाऱ्याच्या कॉर्पोरेट IdP क्रेडेंशियल्सचा वापर करून Captive Portal द्वारे पुन्हा ऑथेंटिकेट करण्यास भाग पाडले जाते. जर कर्मचाऱ्याने नोकरी सोडली असेल आणि त्यांचे IdP खाते निष्क्रिय केले असेल, तर ते पुन्हा ऑथेंटिकेशन पूर्ण करू शकत नाहीत आणि त्यांना नवीन प्रमाणपत्र मिळणार नाही. यामुळे IT ला मॅन्युअली वैयक्तिक प्रमाणपत्रे रद्द न करता नेटवर्कवरील जुनी डिव्हाइसेस आपोआप काढून टाकली जातात. प्रमाणपत्र समाप्ती चक्रांच्या दरम्यान सखोल सुरक्षा प्रदान करण्यासाठी, खाते निष्क्रिय केल्यावर त्वरित रद्द करणे सुनिश्चित करण्यासाठी RADIUS सर्व्हरवरील OCSP चेकिंगसह हे एकत्रित करा.

Q4. तुमचा NDES सर्व्हर सर्व SCEP प्रमाणपत्र विनंत्यांसाठी HTTP 403 Forbidden एरर परत करत आहे. NDES सर्व्हर Azure AD Application Proxy द्वारे इंटरनेटवरून ॲक्सेस करण्यायोग्य आहे. या एररची दोन बहुधा संभाव्य कारणे कोणती आहेत आणि तुम्ही प्रत्येकाचे निदान कसे कराल?

टीप: प्रमाणपत्र टेम्पलेटवरील परवानग्या आणि डिव्हाइस व NDES सर्व्हरमधील नेटवर्क पाथ या दोन्हीचा विचार करा.

नमुना उत्तर पहा

दोन बहुधा संभाव्य कारणे खालीलप्रमाणे आहेत: पहिले, Intune Certificate Connector सर्व्हिस अकाउंटकडे CA प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नाहीत. CA कन्सोलमधील टेम्पलेटवर सर्व्हिस अकाउंटकडे 'Read' आणि 'Enroll' परवानग्या असल्याची पडताळणी करा. दुसरे, फायरवॉल किंवा Application Proxy SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत आहे. '?operation=GetCACaps' किंवा '?operation=PKIOperation' यांसारखे पॅरामीटर्स असलेल्या विनंत्यांसाठी फायरवॉल आणि Application Proxy लॉग तपासा. हे मानक SCEP ऑपरेशन्स आहेत ज्यांना परवानगी दिली पाहिजे. जर Application Proxy क्वेरी स्ट्रिंग्स काढून टाकत असेल, तर NDES URL पाथसाठी पास-थ्रू मंजूर करण्यासाठी प्री-ऑथेंटिकेशन सेटिंग्ज समायोजित करा.

या मालिकेमध्ये पुढे वाचा

स्वयंचलित Enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP कसे कॉन्फिगर करावे

हे मार्गदर्शक स्वयंचलित enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP (Simple Certificate Enrollment Protocol) कसे कॉन्फिगर करावे हे स्पष्ट करते, ज्यामध्ये PKI आणि NDES पासून ते MDM प्रोफाइल उपयोजन आणि RADIUS प्रमाणीकरणापर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. हे हॉटेल्स, रिटेल चेन्स, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील संस्थांमधील आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs ना उद्देशून आहे ज्यांना प्री-शेअर्ड कीजच्या पलीकडे जाऊन स्केलेबल, ओळख-आधारित 802.1X EAP-TLS प्रमाणीकरण लागू करायचे आहे. Purple चे हार्डवेअर-अज्ञेयवादी, क्लाउड ओव्हरले प्लॅटफॉर्म थेट या आर्किटेक्चरसह समाकलित होते, जे तुमच्या प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्कसह गेस्ट आणि BYOD WiFi स्तर प्रदान करते.

SCEP साठी एंटरप्राइझ मार्गदर्शक: स्वयंचलित कॅम्पस WiFi सुरक्षेसाठी सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल तैनात करणे

हे तांत्रिक संदर्भ मार्गदर्शक SCEP चा वापर करून एंटरप्राइझ WiFi प्रमाणपत्र तैनातीसाठी एक निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि टप्प्याटप्प्याने अंमलबजावणीची रणनीती प्रदान करते. यामध्ये SCEP आणि PKCS मधील महत्त्वपूर्ण फरक, यशस्वीतेसाठी आवश्यक असलेला अचूक तैनातीचा क्रम आणि IT नेत्यांसाठी प्रत्यक्ष जगातील जोखीम कमी करण्याच्या धोरणांचा समावेश आहे.

स्वयंचलित WiFi प्रमाणपत्र नोंदणीसाठी SCEP कसे लागू करावे

हे मार्गदर्शक एंटरप्राइझ ठिकाणांवर स्वयंचलित WiFi प्रमाणपत्र नोंदणीसाठी SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) कसे लागू करावे हे स्पष्ट करते. यामध्ये PKI डिझाइन आणि MDM इंटिग्रेशनपासून ते अनिवार्य तीन-चरण डिप्लॉयमेंट क्रमापर्यंतच्या संपूर्ण आर्किटेक्चरल ब्ल्यूप्रिंटचा समावेश आहे - आणि IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्सना सामायिक क्रेडेंशियल्स कसे काढून टाकावे, प्रमाणपत्र लाइफसायकल व्यवस्थापन स्वयंचलित कसे करावे आणि मोठ्या प्रमाणावर PCI DSS आणि GDPR आवश्यकता कशा पूर्ण कराव्यात हे दाखवते.