मुख्य मजकुराकडे जा
मराठी

एंटरप्राइझ SCEP सेटअप मार्गदर्शिका: उच्च शिक्षण आणि मोठ्या नेटवर्कसाठी प्रमाणपत्र-आधारित Wi-Fi ऑथेंटिकेशन

ही मार्गदर्शिका SCEP वापरून प्रमाणपत्र-आधारित WiFi ऑथेंटिकेशन तैनात करण्यासाठी सर्वसमावेशक तांत्रिक आराखडा प्रदान करते. यामध्ये प्री-शेअर्ड कीजकडून EAP-TLS कडे आर्किटेक्चरल संक्रमण, MDM प्लॅटफॉर्मवर डिप्लॉयमेंटचे टप्पे आणि मोठ्या प्रमाणावरील नेटवर्कसाठी गंभीर जोखीम कमी करण्याच्या धोरणांचा समावेश आहे.

📖 5 मिनिट वाचन📝 1,151 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
एंटरप्राइझ SCEP सेटअप मार्गदर्शिका: उच्च शिक्षण आणि मोठ्या नेटवर्कसाठी प्रमाणपत्र-आधारित WiFi प्रमाणीकरण एक Purple तांत्रिक माहिती - पॉडकास्ट स्क्रिप्ट (अंदाजे १० मिनिटे) --- प्रस्तावना आणि संदर्भ - अंदाजे १ मिनिट Purple तांत्रिक माहिती मालिकेमध्ये आपले स्वागत आहे. आज मी अशा एका विषयाबद्दल बोलत आहे जो बऱ्याच IT इनबॉक्समध्ये येतो पण त्यावर क्वचितच थेट उत्तर मिळते: मोठ्या प्रमाणावर प्रमाणपत्र-आधारित WiFi प्रमाणीकरण प्रत्यक्षात कसे तैनात करावे, SCEP चा वापर करून, एका मोठ्या नेटवर्कवर - मग ते विद्यापीठ कॅम्पस असो, मल्टी-साइट हॉटेल ग्रुप असो, किंवा मोठे सार्वजनिक क्षेत्रातील स्टेट असो? आम्ही संपूर्ण चित्र कव्हर करणार आहोत. SCEP प्रत्यक्षात काय करते, ते 802.1X आर्किटेक्चरमध्ये कसे बसते, बहुतांश टीम्स चुकीचा ठरणारा तैनात करण्याचा क्रम, दोन वास्तविक-जगातील अंमलबजावणीचे प्रसंग आणि अशा त्रुटी ज्यांचे नियोजन न केल्यास तुमच्या आयुष्यातील वीकेंड वाया जाऊ शकतो. ही एक सल्लागार माहिती आहे, ट्यूटोरियल नाही. मी असे गृहीत धरत आहे की तुम्हाला RADIUS सर्व्हर काय आहे हे माहित आहे आणि तुम्ही कदाचित प्री-शेअर्ड कीज वापरणे बंद करण्याचा निर्णय घेतला असेल. तुम्हाला आता गरज आहे ती अंमलबजावणीच्या नकाशाची. चला सुरुवात करूया. --- तांत्रिक सखोल माहिती - अंदाजे ५ मिनिटे तर, मूलभूत तत्त्वे. SCEP चा अर्थ Simple Certificate Enrollment Protocol असा आहे. २०२० मध्ये IETF द्वारे RFC 8894 म्हणून याला औपचारिक स्वरूप दिले गेले, जरी त्यापूर्वी एक दशकाहून अधिक काळ हे मोठ्या प्रमाणावर एंटरप्राइझमध्ये वापरात होते. याचे काम सरळ आहे: प्रत्येक मशीनला मानवी स्पर्शाची आवश्यकता न पडता व्यवस्थापित उपकरणावर डिजिटल प्रमाणपत्र मिळविण्याची प्रक्रिया स्वयंचलित करणे. WiFi प्रमाणीकरणाच्या संदर्भात, SCEP हे वितरण यंत्रणा आहे. तुम्ही लक्ष्य करत असलेला वास्तविक प्रमाणीकरण प्रोटोकॉल EAP-TLS आहे - Extensible Authentication Protocol with Transport Layer Security - जो 802.1X फ्रेमवर्कमध्ये समाविष्ट असतो. EAP-TLS ला एंटरप्राइझ वायरलेस नेटवर्कसाठी सर्वात सुरक्षित प्रमाणीकरण पद्धत मानले जाते कारण यासाठी क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनाही वैध प्रमाणपत्रे सादर करणे आवश्यक असते. कोणत्याही बाजूला क्रिप्टोग्राफिक पुराव्याशिवाय दुसऱ्यावर विश्वास नसतो. हे परस्पर प्रमाणीकरण तुम्हाला इव्हिल ट्विन हल्ल्यांपासून वाचवते - जेथे एखादा आक्रमणकर्ता क्रेडेन्शियल्स मिळवण्यासाठी नकली ॲक्सेस पॉइंट तयार करतो. संपूर्ण साखळी कशी काम करते ते येथे दिले आहे. एक व्यवस्थापित डिव्हाइस (managed device) - विद्यार्थ्याचा लॅपटॉप, कर्मचाऱ्याचा फोन, हॉटेलचे पॉईंट-ऑफ-सेल टर्मिनल - याला कॉर्पोरेट वायरलेस नेटवर्कमध्ये सामील होणे आवश्यक असते. तुमचे MDM प्लॅटफॉर्म, जे Microsoft Intune किंवा Jamf असू शकते, ते त्या डिव्हाइसवर SCEP पेलोड पुश करते. पेलोडमध्ये दोन गोष्टी असतात: SCEP URL, जे तुमच्या NDES सर्व्हर किंवा क्लाउड SCEP गेटवेकडे निर्देश करते, आणि एक चॅलेंज पासवर्ड किंवा शेअर केलेले गुपिते (shared secret). डिव्हाइस स्थानिक पातळीवर स्वतःची पब्लिक आणि प्रायव्हेट की पेअर (key pair) तयार करते. हे अत्यंत महत्त्वाचे आहे. प्रायव्हेट की कधीही डिव्हाइस सोडत नाही. ती ऑन-डिव्हाइस तयार केली जाते, सिक्युर एन्क्लेव्ह किंवा TPM मध्ये साठवली जाते आणि नेटवर्कवर कधीही ट्रान्समिट केली जात नाही. त्यानंतर डिव्हाइस सर्टिफिकेट साइनिंग रिक्वेस्ट - CSR - तयार करते आणि SCEP गेटवेकडे पाठवते. गेटवे चॅलेंज व्हॅलिडेट करतो, CSR तुमच्या सर्टिफिकेट ऑथॉरिटीकडे (CA) फॉरवर्ड करतो आणि CA त्यावर स्वाक्षरी करून पब्लिक सर्टिफिकेट डिव्हाइसला परत करतो. त्या क्षणापासून, जेव्हा डिव्हाइस तुमच्या WiFi SSID शी कनेक्ट होते, तेव्हा ते RADIUS सर्व्हरला ते सर्टिफिकेट सादर करते. RADIUS सर्व्हर तुमच्या CA च्या ट्रस्ट चेनच्या विरुद्ध सर्टिफिकेटचे प्रमाणीकरण करतो, सर्टिफिकेट रद्द केले गेले नाही याची खात्री करण्यासाठी सर्टिफिकेट रिव्होकेशन लिस्ट (Certificate Revocation List) तपासतो आणि सर्व काही व्यवस्थित असल्यास, ॲक्सेस पॉइंटला एक्सेप्ट मेसेज पाठवतो. डिव्हाइस नेटवर्कवर येते. ही संपूर्ण प्रक्रिया वापरकर्त्यासाठी अदृश्य असते. आता, पर्यायी पर्याय असलेल्या PKCS च्या तुलनेत SCEP कुठे बसते याबद्दल बोलूया. PKCS - पब्लिक की क्रिप्टोग्राफी स्टँडर्ड्स - ही Intune सारख्या प्लॅटफॉर्मद्वारे समर्थित असलेली इतर सर्टिफिकेट डिलिव्हरी पद्धत आहे. PKCS सह, CA मध्यवर्ती पातळीवर पब्लिक आणि प्रायव्हेट दोन्ही की तयार करतो आणि सर्टिफिकेट कनेक्टर की पेअर डिव्हाइसवर पुश करतो. याचा अर्थ प्रायव्हेट की नेटवर्कवरून प्रवास करते, ज्यामुळे एक सैद्धांतिक हल्ला क्षेत्र (attack surface) निर्माण होते. S/MIME ईमेल एन्क्रिप्शन सारख्या वापर प्रकरणांसाठी PKCS ठीक आहे जिथे की एस्क्रो प्रत्यक्षात इष्ट असते. WiFi ऑथेंटिकेशनसाठी, SCEP हाच योग्य पर्याय आहे. प्रायव्हेट की डिव्हाइसवरच राहते, विषय संपला. आता, हार्डवेअर लेयर. SCEP आणि EAP-TLS हे वेंडर-न्यूट्रल स्टँडर्ड्स आहेत, ज्याचा अर्थ ते Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet ॲक्सेस पॉइंट्सवर काम करतात. तुमचे RADIUS कॉन्फिगरेशन - मग ते Windows NPS असो, FreeRADIUS असो किंवा क्लाउड RADIUS सर्व्हिस असो - तिथेच तुम्ही सर्टिफिकेट व्हॅलिडेशन पॉलिसी परिभाषित करता आणि महत्त्वाचे म्हणजे, तिथेच तुम्ही डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करता. डायनॅमिक VLAN हे ओळखीनुरूप तुम्ही नेटवर्कचे विभाजन कसे करता यावर आधारित असते. विद्यार्थ्याच्या डिव्हाइसला VLAN 20 मिळते - फक्त इंटरनेट ॲक्सेस. प्राध्यापकांच्या डिव्हाइसला VLAN 10 मिळते - अंतर्गत संशोधन प्रणालींमध्ये ॲक्सेस. फॅसिलिटीज मॅनेजमेंट डिव्हाइसला VLAN 30 मिळते - बिल्डिंग मॅनेजमेंट सिस्टम्समध्ये ॲक्सेस. हे सर्व सर्टिफिकेटच्या वैशिष्ट्यांद्वारे आणि RADIUS पॉलिसीद्वारे चालवले जाते, ज्यामध्ये प्रति डिव्हाइस कोणत्याही मॅन्युअल हस्तक्षेपाची आवश्यकता नसते. आयडेंटिटी प्रोव्हाइडर इंटिग्रेशनसाठी, SCEP सर्टिफिकेट ॲट्रिब्युट्स - विशेषतः Subject Alternative Name - Microsoft Entra ID, Okta किंवा Google Workspace कडून युझरचे प्रिन्सिपल नाव घेऊन जाऊ शकतात. यामुळे सर्टिफिकेट विशिष्ट आयडेंटिटीशी जोडले जाते, ज्याचा अर्थ असा होतो की जेव्हा तुम्ही Entra ID मधील एखादे खाते बंद करता आणि MDM डिव्हाइस अन-एनरोल करते, तेव्हा सर्टिफिकेट रद्द केले जाते आणि WiFi ऍक्सेस आपोआप बंद होतो. हा असा रिव्होकेशन (रद्द करण्याची) इतिहास आहे जो प्री-शेअर्ड की (pre-shared keys) कधीच देऊ शकत नाहीत. --- अमलबजावणीच्या शिफारसी आणि धोके (IMPLEMENTATION RECOMMENDATIONS AND PITFALLS) - साधारण २ मिनिटे चला, आता डिप्लॉयमेंटच्या क्रमाबद्दल बोलूया, कारण येथेच बहुतेक टीम्सची गल्लत होते. हा क्रम बदलता येणारा नाही: आधी Trusted Root सर्टिफिकेट, नंतर SCEP सर्टिफिकेट प्रोफाईल आणि तिसरे WiFi प्रोफाईल. Intune आणि Jamf दोन्ही प्रोफाईलच्या परस्परावलंबित्वाची अंमलबजावणी करतात. जर तुमचे WiFi प्रोफाईल अशा SCEP सर्टिफिकेटचा संदर्भ देत असेल जे डिव्हाइसवर अद्याप डिप्लॉय केलेले नाही, तर WiFi प्रोफाईल एका अस्पष्ट एररसह अयशस्वी होईल जी चुकीच्या कॉन्फिगरेशनसारखी दिसते, परंतु प्रत्यक्षात ती केवळ वेळेची (timing) समस्या असते. दुसरा धोका म्हणजे ग्रुप टारगेटिंग. Trusted Root, SCEP आणि WiFi हे तिन्ही प्रोफाईल्स अगदी एकाच Azure AD किंवा Jamf ग्रुपवर डिप्लॉय केले जाणे आवश्यक आहे. SCEP प्रोफाईल युझर ग्रुपला टार्गेट करत असेल आणि WiFi प्रोफाईल डिव्हाइस ग्रुपला टार्गेट करत असेल, तर Intune हे परस्परावलंबित्व सोडवू शकत नाही आणि WiFi प्रोफाईल "Not Applicable" म्हणून दर्शवले जाईल. यामुळे टीम्स सतत अडचणीत येतात. तिसरे: NDES सर्व्हर उपलब्धता. तुमचा NDES सर्व्हर इंटरनेटवरून ऍक्सेस करता येण्याजोगा असणे आवश्यक आहे जेणेकरून डिव्हाइसेस ऑन-साइट येण्यापूर्वी एनरोल होऊ शकतील. हे करण्याचा योग्य मार्ग Azure AD Application Proxy द्वारे आहे, तुमच्या फायरवॉलमध्ये छिद्र पाडून नाही. App Proxy तुम्हाला इनबाउंड पोर्ट्सशिवाय सुरक्षित रिमोट ऍक्सेस देते आणि एनरोलमेंट फ्लोवर कंडीशनल ऍक्सेस पॉलिसी लागू करण्याची परवानगी देते. चौथे: CRL उपलब्धता. तुमचा RADIUS सर्व्हर प्रत्येक वेळी डिव्हाइस ऑथेंटिकेट करताना Certificate Revocation List तपासतो. जर तुमचा CRL डिस्ट्रिब्युशन पॉईंट अनुपलब्ध असेल - सर्व्हर डाउन असल्यामुळे किंवा URL बदलल्यामुळे - तर नेटवर्कवरील प्रत्येक डिव्हाइससाठी ऑथेंटिकेशन एकाच वेळी अयशस्वी होते. हा संपूर्ण कॅम्पसचा आउटेज ठरू शकतो. तुमचे CRL एंडपॉईंट्स अत्यंत उपलब्ध (highly available) ठेवा आणि लाइव्ह जाण्यापूर्वी रिव्होकेशनची चाचणी घ्या. मोठ्या नेटवर्कसाठी - ५०० पेक्षा जास्त डिव्हाइसेससाठी - ऑन-प्रिमाइसेस NDES ऐवजी क्लाउड SCEP गेटवेचा विचार करा. क्लाउड गेटवे NDES च्या सिंगल पॉईंट ऑफ फेल्युअरची शक्यता दूर करतात, हॉरिझॉन्टली स्केल होतात आणि सामान्यतः थेट क्लाउड RADIUS सेवांशी जोडले जातात, ज्यामुळे आणखी एक इन्फ्रास्ट्रक्चर वरील अवलंबित्व कमी होते. --- रॅपिड-फायर प्रश्नोत्तरे (RAPID-FIRE Q AND A) - साधारण १ मिनिट SCEP अशा BYOD डिव्हाइसेस हाताळू शकते का जे MDM-एनरोल केलेले नाहीत? थेट नाही. SCEP ला सर्टिफिकेट पेलोड पुश करण्यासाठी MDM एनरोलमेंटची आवश्यकता असते. अनमॅनेज्ड BYOD साठी, तुम्हाला वेगळा दृष्टिकोन हवा आहे - एकतर सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल, किंवा आयडेंटिटी व्हेरिफिकेशनसह Captive Portal वापरणारा स्वतंत्र SSID. Purple चे प्लॅटफॉर्म तुमच्या सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्कसह राहून तो गेस्ट आणि BYOD लेयर अगदी सुलभपणे हाताळते. iOS आणि Android बद्दल काय? दोन्ही प्लॅटफॉर्म्स मूळतः SCEP ला सपोर्ट करतात. iOS ने iOS 4 पासून SCEP ला सपोर्ट केला आहे. Android Enterprise हे Intune आणि इतर MDMs द्वारे SCEP ला सपोर्ट करते. कॉन्फिगरेशन प्रत्येक प्लॅटफॉर्मनुसार थोडे वेगळे असते परंतु त्यामागील प्रोटोकॉल समान असतो. EAP-TLS हे WPA3 सोबत काम करते का? होय. WPA3-Enterprise संवेदनशील वातावरणासाठी १९२-बिट सुरक्षा मोड अनिवार्य करते आणि EAP-TLS पूर्णपणे सुसंगत आहे. खरं तर, सरकारी आणि वित्तीय नेटवर्कसाठी Wi-Fi Alliance द्वारे EAP-TLS सह WPA3-Enterprise च्या कॉम्बिनेशनची शिफारस केली जाते. --- सारांश आणि पुढील पायऱ्या - अंदाजे १ मिनिट थोडक्यात सांगायचे तर. ५० पेक्षा जास्त व्यवस्थापित (managed) उपकरणे असलेल्या कोणत्याही नेटवर्कसाठी SCEP प्रमाणपत्र WiFi प्रमाणीकरण (authentication) हे योग्य आर्किटेक्चर आहे. हे शेअर्ड क्रेडेंशियलची आवश्यकता दूर करते, तुम्हाला प्रत्येक उपकरणाची ओळख (per-device identity) देते, डायनॅमिक VLAN सेगमेंटेशन सक्षम करते आणि स्वयंचलित रिव्होकेशनसाठी थेट तुमच्या ओळख प्रदात्याशी (identity provider) समाकलित होते. डिप्लॉयमेंटचा क्रम - Trusted Root, नंतर SCEP प्रोफाइल, आणि नंतर WiFi प्रोफाइल - निश्चित आहे. ग्रुप टार्गेटिंग सुसंगत असणे आवश्यक आहे. CRL उपलब्धता पर्यायी नाही. विशेषतः उच्च शिक्षणासाठी, कर्मचारी आणि फॅकल्टी उपकरणांसाठी SCEP चे कॉम्बिनेशन, आणि वैयक्तिक उपकरणांवरील विद्यार्थ्यांसाठी वेगळ्या गेस्ट WiFi लेयरसह, तुम्हाला कोणतीही तडजोड न करता सुरक्षा आणि उत्तम वापरकर्ता अनुभव (user experience) दोन्ही प्रदान करते. जर तुम्हाला अधिक सखोल माहिती हवी असेल, तर Active Directory किंवा ऑन-प्रिमायसेस सर्व्हरशिवाय असणाऱ्या एंटरप्राइझ WiFi प्रमाणीकरणावरील Purple चे मार्गदर्शक क्लाउड-नेटिव्ह पाथ कव्हर करते. आणि जेव्हा एखादा कर्मचारी नोकरी सोडतो तेव्हा काय होते याचा विचार तुम्ही करत असाल, तर WiFi ऍक्सेस रद्द करण्यावरील (revoking) आमचे मार्गदर्शक संपूर्ण रिव्होकेशन वर्कफ्लो स्पष्ट करते. ऐकल्याबद्दल धन्यवाद. मी Purple च्या तांत्रिक टीममधून आहे, आणि आपण पुढील ब्रीफिंगमध्ये भेटू. --- स्क्रिप्ट समाप्त

header_image.png

कार्यकारी सारांश

एंटरप्राइझ ठिकाणांसाठी—मग ते आधुनिक उच्च शिक्षण कॅम्पस असो, मल्टी-साइट रिटेल ऑपरेशन असो किंवा मोठे हॉस्पिटॅलिटी ग्रुप असो—कर्मचारी आणि ऑपरेशनल WiFi साठी प्री-शेअर्ड की (pre-shared keys) वर अवलंबून राहणे अस्वीकार्य सुरक्षा असुरक्षितता आणि ऑपरेशनल ओव्हरहेड निर्माण करते. आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS वापरून 802.1X ऑथेंटिकेशनची मागणी करते, ज्यामुळे नेटवर्कमध्ये प्रवेश करण्यापूर्वी प्रत्येक डिव्हाइस क्रिप्टोग्राफिकली सत्यापित केले जाते.

आव्हान वितरणात आहे: तुमच्या हेल्पडेस्कला सपोर्ट तिकिटांमध्ये न बुडवता हजारो Windows, iOS, आणि Android डिव्हाइसेसवर युनिक क्लायंट सर्टिफिकेट्स तैनात करणे. Microsoft Intune, Jamf आणि इतर MDM प्लॅटफॉर्म्स ऑटोमेटेड सर्टिफिकेट लाइफसायकल मॅनेजमेंटद्वारे याचे निराकरण करतात. SCEP (Simple Certificate Enrollment Protocol) चा फायदा घेऊन, IT टीम्स व्यवस्थापित एंडपॉइंट्सवर विश्वसनीय रूट आणि क्लायंट सर्टिफिकेट्स गुप्तपणे पाठवू शकतात.

हे मार्गदर्शक एंटरप्राइझ SCEP सर्टिफिकेट डिप्लॉयमेंटसाठी एक निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि चरण-दर-चरण अंमलबजावणी धोरण प्रदान करते. आम्ही यशासाठी आवश्यक डिप्लॉयमेंट सिक्वेन्सचा शोध घेऊ, वास्तविक जगातील जोखीम कमी करण्याच्या धोरणांची रूपरेषा आखू आणि Purple चा ओळख-आधारित (identity-based) नेटवर्क दृष्टिकोन या आवश्यकतांशी कसा जुळतो याचे तपशील देऊ.

तांत्रिक सखोल विश्लेषण: SCEP आणि 802.1X आर्किटेक्चर

सर्टिफिकेट-आधारित WiFi डिप्लॉयमेंट धोरण डिझाइन करताना, त्यामागील प्रोटोकॉल परस्परसंवाद समजून घेणे महत्त्वपूर्ण आहे. SCEP हे डिलिव्हरी मेकॅनिझम आहे; EAP-TLS हा ऑथेंटिकेशन प्रोटोकॉल आहे.

SCEP (Simple Certificate Enrollment Protocol)

SCEP हे एंटरप्राइझ डिव्हाइस एनरोलमेंटसाठीचे उद्योग मानक आहे. SCEP वर्कफ्लोमध्ये, MDM सेवा एंडपॉइंटला स्वतःची खाजगी आणि सार्वजनिक की (private and public key) पेअर जनरेट करण्याचे निर्देश देते. डिव्हाइस एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) तयार करते आणि ते Network Device Enrollment Service (NDES) सर्व्हर किंवा क्लाउड गेटवेद्वारे तुमच्या सर्टिफिकेट ऑथॉरिटी (CA) कडे पाठवते. CA विनंतीवर स्वाक्षरी करते आणि डिव्हाइसला सार्वजनिक सर्टिफिकेट परत करते.

SCEP चा महत्त्वाचा सुरक्षा फायदा असा आहे की खाजगी की (private key) कधीही डिव्हाइस सोडत नाही. ती स्थानिक पातळीवर जनरेट केली जाते, डिव्हाइसच्या सुरक्षित हार्डवेअर एन्क्लेव्हमध्ये स्टोअर केली जाते आणि कधीही नेटवर्कवर ट्रान्समिट केली जात नाही. यामुळे SCEP हा 802.1X ऑथेंटिकेशनसाठी अत्यंत शिफारस केलेला दृष्टिकोन ठरतो.

scep_architecture_overview.png

EAP-TLS आणि परस्पर प्रमाणीकरण (Mutual Authentication)

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) हे 802.1X फ्रेमवर्कमध्ये समाविष्ट असते. EAP-TLS ही एंटरप्राइझ वायरलेस नेटवर्कसाठी सर्वात सुरक्षित प्रमाणीकरण पद्धत मानली जाते कारण यासाठी परस्पर प्रमाणीकरण आवश्यक असते. क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनीही वैध प्रमाणपत्रे सादर करणे आवश्यक आहे. कोणतीही बाजू क्रिप्टोग्राफिक पुराव्याशिवाय दुसऱ्या बाजूवर विश्वास ठेवत नाही. हे परस्पर प्रमाणीकरण नेटवर्कला अनधिकृत ॲक्सेस पॉइंट्स आणि क्रेडेंशियल हार्वेस्टिंगपासून सुरक्षित ठेवते.

जेव्हा एखादे डिव्हाइस तुमच्या WiFi SSID शी कनेक्ट होते, तेव्हा ते त्याचे प्रमाणपत्र RADIUS सर्व्हरसमोर सादर करते. RADIUS सर्व्हर तुमच्या CA ट्रस्ट चेनच्या तुलनेत प्रमाणपत्राची वैधता तपासतो, प्रमाणपत्र रद्द तर केले गेले नाही ना हे पाहण्यासाठी प्रमाणपत्र निरसन सूची (CRL) तपासतो, आणि यशस्वी झाल्यास, ॲक्सेस पॉईंटला मंजुरीचा संदेश पाठवतो.

अंमलबजावणी मार्गदर्शक: उपयोजन क्रम (Deployment Sequence)

802.1X साठी MDM WiFi प्रोफाइल यशस्वीरित्या कॉन्फिगर करण्यासाठी विशिष्ट उपयोजन क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. प्रोफाइल परस्परावलंबनामुळे प्रमाणीकरण कॉन्फिगर करण्यापूर्वी विश्वास (trust) प्रस्थापित करणे बंधनकारक आहे.

पायरी १: ट्रस्टेड रूट प्रमाणपत्र प्रोफाइल उपयोजित करा

कोणतेही डिव्हाइस क्लायंट प्रमाणपत्राची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या प्रमाणपत्र प्राधिकरणावर (Certificate Authority) विश्वास ठेवला पाहिजे. १. तुमचे Root CA प्रमाणपत्र .cer फाइल म्हणून एक्सपोर्ट करा. २. तुमच्या MDM मध्ये (उदा. Intune किंवा Jamf), एक Trusted Certificate प्रोफाइल तयार करा. ३. .cer फाइल अपलोड करा आणि हे प्रोफाइल तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर उपयोजित करा.

पायरी २: SCEP प्रमाणपत्र प्रोफाइल कॉन्फिगर करा

एकदा विश्वास प्रस्थापित झाल्यानंतर, डिव्हाइसेसना त्यांचे क्लायंट प्रमाणपत्र कसे मिळवायचे याचे निर्देश देण्यासाठी SCEP प्रोफाइल कॉन्फिगर करा. १. एक नवीन कॉन्फिगरेशन प्रोफाइल तयार करा आणि SCEP प्रमाणपत्र निवडा. २. 'Subject name' फॉरमॅट कॉन्फिगर करा. युझर-चालित प्रमाणीकरणासाठी, User Principal Name वापरा. ३. 'Key usage' हे 'Digital signature' आणि 'Key encipherment' वर सेट करा. ४. 'Extended key usage' अंतर्गत, 'Client Authentication' निर्दिष्ट करा. ५. हे प्रोफाइल पायरी १ मध्ये तयार केलेल्या Trusted Root प्रमाणपत्र प्रोफाइलशी लिंक करा. ६. तुमच्या NDES सर्व्हर किंवा SCEP गेटवेचा बाह्य URL द्या.

पायरी ३: 802.1X WiFi प्रोफाइल उपयोजित करा

शेवटची पायरी म्हणजे WiFi कॉन्फिगरेशन लागू करणे जे प्रमाणपत्रांना नेटवर्क SSID शी जोडते. १. एक Wi-Fi कॉन्फिगरेशन प्रोफाइल तयार करा. २. तुमच्या ॲक्सेस पॉइंट्सद्वारे जसे ब्रॉडकास्ट केले जाते तसे नेटवर्कचे नाव (SSID) अचूक प्रविष्ट करा. ३. सुरक्षा प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise निवडा. ४. EAP प्रकार 'EAP-TLS' वर सेट करा. ५. क्लायंट प्रमाणीकरण प्रमाणपत्र म्हणून पायरी २ मध्ये तयार केलेले SCEP प्रमाणपत्र प्रोफाइल निवडा. ६. सर्व्हर प्रमाणीकरणासाठी Trusted Root प्रमाणपत्र निर्दिष्ट करा.

सर्वोत्तम पद्धती आणि उद्योग मानके

SCEP प्रमाणपत्र वितरण लागू करताना, अनुपालन आणि विश्वसनीयता सुनिश्चित करण्यासाठी या विक्रेता-तटस्थ सर्वोत्तम पद्धतींचे पालन करा.

NDES सर्व्हर प्लेसमेंट आणि सुरक्षा

साइटवर येण्यापूर्वी रिमोट उपकरणांना प्रमाणपत्रे तरतूद करण्याची परवानगी देण्यासाठी NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे. तथापि, अंतर्गत सर्व्हर थेट इंटरनेटवर उघड करणे हा एक मोठा सुरक्षा धोका आहे. Azure AD Application Proxy वापरून NDES URL प्रकाशित करा किंवा क्लाउड-होस्टेड SCEP गेटवे वापरा. हे इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस प्रदान करते.

RADIUS आणि CRL चेकिंग

प्रमाणपत्र वितरण हे केवळ अर्धे सुरक्षा समीकरण आहे; त्याचे निरसन (revocation) तितकेच महत्त्वाचे आहे. जर एखादा कर्मचारी कंपनी सोडत असेल, तर त्यांचे Active Directory खाते निष्क्रिय केल्याने त्यांचा WiFi ॲक्सेस त्वरित रद्द होणार नाही जर त्यांचे क्लायंट प्रमाणपत्र वैध असेल आणि RADIUS सर्व्हर प्रमाणपत्र निरसन सूची (CRL) काटेकोरपणे तपासत नसेल. तुमच्या RADIUS सर्व्हरला कठोर CRL चेकिंग लागू करण्यासाठी कॉन्फिगर करा आणि तुमचे CRL वितरण बिंदू (Distribution Points) अत्यंत उपलब्ध असल्याची खात्री करा.

हार्डवेअर ॲग्नोस्टिक (Hardware Agnostic) वितरण

SCEP आणि EAP-TLS हे विक्रेता-तटस्थ मानक आहेत. तुमचे वितरण हार्डवेअर-ॲग्नोस्टिक असले पाहिजे, जे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet इन्फ्रास्ट्रक्चरवर अखंडपणे काम करेल.

ट्रबलशूटिंग आणि जोखीम कमी करणे

अत्यंत काळजीपूर्वक नियोजन करूनही, प्रमाणपत्र वितरणामध्ये अडचणी येऊ शकतात.

समस्या: WiFi प्रोफाइल लागू करण्यात अपयशी

हे सहसा ग्रुप टार्गेटिंगमधील विसंगतीमुळे होते. जर SCEP प्रोफाइल User Group ला नियुक्त केले असेल, परंतु WiFi प्रोफाइल Device Group ला नियुक्त केले असेल, तर MDM या अवलंबित्वाचे (dependency) निराकरण करू शकत नाही. Trusted Root, SCEP आणि WiFi प्रोफाइल हे सर्व अगदी एकाच ग्रुपमध्ये वितरित केले गेल्याची खात्री करा.

समस्या: NDES 403 Forbidden त्रुटी

उपकरणे SCEP प्रमाणपत्र मिळवण्यात अपयशी ठरतात. कदाचित Intune Certificate Connector सेवा खात्याकडे प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नसतील किंवा तुमच्या फायरवॉलवरील URL फिल्टरिंग SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत असेल.

ROI आणि व्यावसायिक प्रभाव

SCEP 802.1X प्रमाणपत्र वितरणावर संक्रमण केल्याने सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्यासारखा परतावा मिळतो.

scep_vs_psk_comparison.png

  1. हेल्पडेस्क तिकीट घट: पासवर्ड-आधारित WiFi मोठ्या प्रमाणात सपोर्ट तिकीट तयार करतो. प्रमाणपत्र-आधारित प्रमाणीकरण वापरकर्त्यासाठी अदृश्य असते, ज्यामुळे सामान्यतः WiFi-संबंधित हेल्पडेस्क कामाचा व्याप ७०% ने कमी होतो.
  2. वर्धित सुरक्षा स्थिती: EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल (Man-in-the-Middle) हल्ल्यांचा धोका काढून टाकते. PCI DSS आणि GDPR सारख्या फ्रेमवर्कच्या अनुपालनासाठी हे अत्यंत महत्त्वाचे आहे.
  3. अखंड ऑनबोर्डिंग: Windows सोबत Apple उपकरणांच्या मोठ्या ताफ्यांचे व्यवस्थापन करणाऱ्या संस्थांसाठी, सध्याच्या MDM वर्कफ्लोसह इंटिग्रेशन एक युनिफाइड, झिरो-टच प्रोव्हिजनिंग अनुभव सुनिश्चित करते.
  4. डायनॅमिक सेगमेंटेशन: ओळखीच्या आधारे डायनॅमिक VLAN असाइनमेंटला सपोर्ट करते, ज्यामुळे स्वतंत्र SSIDs ची आवश्यकता न पडता कॉर्पोरेट डेटापासून IoT उपकरणांना वेगळे केले जाते.

अधिक माहितीसाठी, आमचे संबंधित मार्गदर्शक वाचा: Enterprise WiFi सुरक्षा: २०२६ साठी एक संपूर्ण मार्गदर्शिका आणि एखादा कर्मचारी नोकरी सोडतो तेव्हा WiFi ऍक्सेस कसा रद्द करावा .

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो मानवी हस्तक्षेपाशिवाय मॅनेज्ड उपकरणांना डिजिटल सर्टिफिकेट्सची विनंती करणे आणि ती जारी करणे स्वयंचलित करतो.

नेटवर्क ऑथेंटिकेशनसाठी उपकरणांना सुरक्षितपणे युनिक आयडेंटिटी देण्यासाठी MDM प्लॅटफॉर्मद्वारे वापरले जाते.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सर्वात सुरक्षित 802.1X ऑथेंटिकेशन पद्धत, ज्यामध्ये क्लायंट आणि RADIUS सर्व्हर दोघांनाही वैध डिजिटल सर्टिफिकेट्स सादर करणे आवश्यक असते.

टार्गेट ऑथेंटिकेशन प्रोटोकॉल ज्याला सपोर्ट करण्यासाठी SCEP सर्टिफिकेट्स प्रोव्हिजन केले जातात.

802.1X

पोर्ट-आधारित नेटवर्क अ‍ॅक्सेस कंट्रोलसाठीचा एक IEEE मानक जो LAN किंवा WLAN शी जोडले जाऊ इच्छिणाऱ्या उपकरणांना ऑथेंटिकेशन यंत्रणा प्रदान करतो.

अनधिकृत अ‍ॅक्सेसपासून एंटरप्राइझ नेटवर्क सुरक्षित ठेवणारी मुख्य फ्रेमवर्क.

RADIUS

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा कनेक्ट करणाऱ्या आणि वापरणाऱ्या युजर्ससाठी सेंट्रलाइज्ड ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग मॅनेजमेंट प्रदान करतो.

सर्व्हर घटक जो क्लायंट सर्टिफिकेट प्रमाणित करतो आणि उपकरणाने कोणत्या VLAN मध्ये सामील व्हावे हे ठरवतो.

CSR (Certificate Signing Request)

SSL/TLS सर्टिफिकेटसाठी अर्ज करताना सर्टिफिकेट ऑथॉरिटीला दिला जाणारा एन्कोडेड मजकुराचा ब्लॉक, ज्यामध्ये पब्लिक की आणि आयडेंटिटी माहिती असते.

SCEP एनरोलमेंट प्रक्रियेदरम्यान उपकरणावर स्थानिक पातळीवर जनरेट केले जाते.

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server रोल जो ब्रिज म्हणून काम करतो आणि उपकरणांना SCEP द्वारे सर्टिफिकेट्स मिळवण्याची परवानगी देतो.

गेटवे जो उपकरणाकडून CSR प्राप्त करतो आणि तो अंतर्गत सर्टिफिकेट ऑथॉरिटीकडे पाठवतो.

CRL (Certificate Revocation List)

सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली एक सूची ज्यामध्ये रद्द केलेल्या आणि यापुढे विश्वास ठेवू नये अशा सर्टिफिकेट्सचे सिरीयल नंबर्स असतात.

नोकरीवरून काढलेल्या कर्मचाऱ्याचे उपकरण कनेक्ट होणार नाही याची खात्री करण्यासाठी ऑथेंटिकेशन दरम्यान RADIUS सर्व्हरद्वारे तपासले जाते.

VLAN (Virtual Local Area Network)

एक लॉजिकल सबनेटवर्क जे वेगवेगळ्या फिजिकल LAN मधील उपकरणांच्या समूहाला एकत्र आणते.

SCEP सर्टिफिकेटमध्ये सादर केलेल्या आयडेंटिटीच्या आधारे नेटवर्क ट्रॅफिकचे डायनॅमिकली विभाजन करण्यासाठी RADIUS च्या संयोगाने वापरले जाते.

सोडवलेली उदाहरणे

एक ४०० खोल्यांच्या हॉटेलला १५० कर्मचारी उपकरणांसाठी (टॅब्लेट्स आणि लॅपटॉप) सुरक्षित ऑपरेशनल WiFi तैनात करायचे आहे, तसेच Guest WiFi नेटवर्कपासून पूर्णपणे वेगळे ठेवण्याची खात्री करायची आहे.

आयटी टीम त्यांच्या MDM सह समाकलित केलेले क्लाउड SCEP गेटवे कॉन्फिगर करते. ते 'Trusted Root' प्रोफाइल तैनात करतात, त्यानंतर 'Hotel Operations' डिव्हाइस ग्रुपला लक्ष्य करणारे SCEP प्रोफाइल तैनात करतात. त्यानंतर 'Staff-Secure' SSID साठी WiFi प्रोफाइल तैनात केले जाते, जे WPA3-Enterprise आणि EAP-TLS साठी कॉन्फिगर केलेले असते. RADIUS सर्व्हर या ऑथेंटिकेट केलेल्या उपकरणांना VLAN 40 मध्ये नियुक्त करण्यासाठी कॉन्फिगर केला जातो, ज्यामुळे ते Guest WiFi (VLAN 50) पासून पूर्णपणे वेगळे होतात.

परीक्षकाचे भाष्य: हा दृष्टिकोन कर्मचाऱ्यांनी पाहुण्यांसोबत PSK शेअर करण्याचा धोका दूर करतो. SCEP चा वापर करून, प्रायव्हेट कीज ऑपरेशनल उपकरणांवर सुरक्षित राहतात आणि डायनॅमिक VLAN असाइनमेंट अनेक SSIDs प्रसारित न करता योग्य नेटवर्कचे वर्गीकरण सुनिश्चित करते.

२५,००० विद्यार्थी आणि ३,००० कर्मचारी असलेल्या एका मोठ्या युनिव्हर्सिटी कॅम्पसला त्यांचे 'Edu-Secure' नेटवर्क सुरक्षित करायचे आहे. ते सध्या युझरनेम आणि पासवर्डसह PEAP वापरत आहेत, ज्यामुळे पासवर्ड एक्स्पायर झाल्यामुळे दरमहा ५०० हून अधिक हेल्पडेस्क तिकिटे तयार होतात.

युनिव्हर्सिटी Intune आणि SCEP वापरून कर्मचारी आणि प्राध्यापकांची उपकरणे EAP-TLS वर स्थलांतरित करते. ते कर्मचाऱ्यांच्या युझर ग्रुप्सवर प्रमाणपत्र प्रोफाइल्स कडक अनुक्रमाने (Root -> SCEP -> WiFi) तैनात करतात. अनमॅनेज्ड विद्यार्थ्यांच्या BYOD उपकरणांसाठी, ते एक वेगळे ऑनबोर्डिंग पोर्टल तैनात करतात जे तात्पुरती प्रमाणपत्रे प्रदान करते किंवा अखंड, सुरक्षित प्रवेशासाठी प्रोफाइल-आधारित ऑथेंटिकेशनसह Purple चे Guest WiFi प्लॅटफॉर्म वापरतात.

परीक्षकाचे भाष्य: मॅनेज्ड उपकरणांना SCEP/EAP-TLS वर स्थलांतरित केल्याने पासवर्ड-संबंधित तिकिटांची संख्या त्वरित कमी होते. हायब्रिड दृष्टिकोनातून हे मान्य केले जाते की SCEP साठी MDM नावनोंदणी आवश्यक आहे, ज्यामुळे अनमॅनेज्ड BYOD ट्रॅफिकला योग्य प्रकारे उद्देशपूर्वक तयार केलेल्या ऑनबोर्डिंग फ्लोकडे वळवले जाते.

सराव प्रश्न

Q1. तुमची टीम ५०० Windows लॅपटॉपच्या समूहावर नवीन SCEP प्रमाणपत्र प्रोफाइल तैनात (deploy) करत आहे. Trusted Root प्रोफाइल 'All Corporate Devices' ग्रुपवर तैनात केले गेले होते. SCEP प्रोफाइल 'All Corporate Users' ग्रुपवर तैनात केले गेले होते. लॅपटॉपवर WiFi प्रोफाइल 'Not Applicable' असे दिसत आहे. याचे मूळ कारण काय आहे?

टीप: Intune प्रोफाइल अवलंबित्व (dependency) नियम आणि ग्रुप टार्गेटिंगच्या आवश्यकतांचा विचार करा.

नमुना उत्तर पहा

याचे मूळ कारण ग्रुप टार्गेटिंगमधील विसंगती हे आहे. Intune साठी हे आवश्यक आहे की अवलंबून असलेली प्रोफाईल्स (Root, SCEP, WiFi) अगदी एकाच ग्रुप प्रकारावर तैनात केलेली असावीत. Root प्रोफाइल डिव्हाइसेसना टार्गेट करत असल्याने आणि SCEP प्रोफाइल युजर्सना टार्गेट करत असल्याने, अवलंबित्व साखळी (dependency chain) तुटते. तिन्ही प्रोफाईल्स एकतर एकाच Device ग्रुपला किंवा एकाच User ग्रुपला टार्गेट करणारी असणे आवश्यक आहे.

Q2. एका हॉटेल ऑपरेशन्स डायरेक्टरला EAP-TLS वापरून स्टाफ WiFi नेटवर्क सुरक्षित करायचे आहे. ते SCEP ऐवजी PKCS वापरण्याची शिफारस करतात कारण त्यासाठी NDES सर्व्हरची आवश्यकता नसते. नेटवर्क आर्किटेक्ट म्हणून, तुम्ही WiFi ऑथेंटिकेशनसाठी याच्या विरोधात का सल्ला दिला पाहिजे?

टीप: प्राइवेट की (private key) कोठे जनरेट होते आणि ती कशी प्रवास करते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही WiFi ऑथेंटिकेशनसाठी PKCS च्या विरोधात सल्ला दिला पाहिजे कारण त्यासाठी CA द्वारे मध्यवर्ती पद्धतीने प्राइवेट की जनरेट करणे आणि नेटवर्कवरून डिव्हाइसवर पाठवणे आवश्यक असते. SCEP लक्षणीयरीत्या अधिक सुरक्षित आहे कारण डिव्हाइस स्थानिक पातळीवर (locally) प्राइवेट की जनरेट करते आणि ती एका सुरक्षित हार्डवेअर एन्क्लेव्हमध्ये स्टोअर करते; प्राइवेट की कधीही डिव्हाइस सोडत नाही.

Q3. नेटवर्क ऑडिट दरम्यान, तुम्हाला आढळले की RADIUS सर्व्हर CRL (Certificate Revocation List) चेकिंग त्रुटींकडे दुर्लक्ष करण्यासाठी कॉन्फिगर केला आहे. जेव्हा एखादा कर्मचारी कामावरून काढला जातो तेव्हा यामुळे नेमका कोणता सुरक्षा धोका निर्माण होतो?

टीप: जर MDM ने डिव्हाइस अन-एनरोल केले परंतु RADIUS सर्व्हर रिव्होकेशन (रद्दीकरण) स्थिती तपासू शकला नाही, तर प्रमाणपत्राच्या वैधतेचे काय होते याचा विचार करा.

नमुना उत्तर पहा

जर CRL चेकिंगकडे दुर्लक्ष केले गेले किंवा ते अयशस्वी झाले, तर ज्या कर्मचाऱ्याला कामावरून काढले आहे आणि ज्याचे डिव्हाइस अन-एनरोल केले गेले आहे (आणि CA द्वारे प्रमाणपत्र रद्द केले गेले आहे), तो कर्मचारी तरीही WiFi नेटवर्कशी कनेक्ट होऊ शकतो. RADIUS सर्व्हरला एक तांत्रिकदृष्ट्या वैध प्रमाणपत्र दिसेल आणि CRL न तपासता तो प्रवेश मंजूर करेल, ज्यामुळे एक गंभीर सुरक्षा त्रुटी निर्माण होईल.

या मालिकेमध्ये पुढे वाचा

स्वयंचलित Enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP कसे कॉन्फिगर करावे

हे मार्गदर्शक स्वयंचलित enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP (Simple Certificate Enrollment Protocol) कसे कॉन्फिगर करावे हे स्पष्ट करते, ज्यामध्ये PKI आणि NDES पासून ते MDM प्रोफाइल उपयोजन आणि RADIUS प्रमाणीकरणापर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. हे हॉटेल्स, रिटेल चेन्स, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील संस्थांमधील आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs ना उद्देशून आहे ज्यांना प्री-शेअर्ड कीजच्या पलीकडे जाऊन स्केलेबल, ओळख-आधारित 802.1X EAP-TLS प्रमाणीकरण लागू करायचे आहे. Purple चे हार्डवेअर-अज्ञेयवादी, क्लाउड ओव्हरले प्लॅटफॉर्म थेट या आर्किटेक्चरसह समाकलित होते, जे तुमच्या प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्कसह गेस्ट आणि BYOD WiFi स्तर प्रदान करते.

मार्गदर्शिका वाचा →

SCEP साठी एंटरप्राइझ मार्गदर्शक: स्वयंचलित कॅम्पस WiFi सुरक्षेसाठी सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल तैनात करणे

हे तांत्रिक संदर्भ मार्गदर्शक SCEP चा वापर करून एंटरप्राइझ WiFi प्रमाणपत्र तैनातीसाठी एक निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि टप्प्याटप्प्याने अंमलबजावणीची रणनीती प्रदान करते. यामध्ये SCEP आणि PKCS मधील महत्त्वपूर्ण फरक, यशस्वीतेसाठी आवश्यक असलेला अचूक तैनातीचा क्रम आणि IT नेत्यांसाठी प्रत्यक्ष जगातील जोखीम कमी करण्याच्या धोरणांचा समावेश आहे.

मार्गदर्शिका वाचा →

स्वयंचलित WiFi प्रमाणपत्र नोंदणीसाठी SCEP कसे लागू करावे

हे मार्गदर्शक एंटरप्राइझ ठिकाणांवर स्वयंचलित WiFi प्रमाणपत्र नोंदणीसाठी SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) कसे लागू करावे हे स्पष्ट करते. यामध्ये PKI डिझाइन आणि MDM इंटिग्रेशनपासून ते अनिवार्य तीन-चरण डिप्लॉयमेंट क्रमापर्यंतच्या संपूर्ण आर्किटेक्चरल ब्ल्यूप्रिंटचा समावेश आहे - आणि IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्सना सामायिक क्रेडेंशियल्स कसे काढून टाकावे, प्रमाणपत्र लाइफसायकल व्यवस्थापन स्वयंचलित कसे करावे आणि मोठ्या प्रमाणावर PCI DSS आणि GDPR आवश्यकता कशा पूर्ण कराव्यात हे दाखवते.

मार्गदर्शिका वाचा →