मुख्य मजकुराकडे जा

EAP-TLS WiFi ऑथेंटिकेशनसाठी डिजिटल सर्टिफिकेट्स व्यवस्थापित करणे

हे तांत्रिक संदर्भ मार्गदर्शक EAP-TLS WiFi ऑथेंटिकेशनसाठी डिजिटल सर्टिफिकेट्सच्या लाइफसायकल व्यवस्थापनाचा तपशील देते. हे SCEP आणि MDM इंटिग्रेशन्सचा वापर करून एंटरप्राइझ नेटवर्कवर मोठ्या प्रमाणावर सर्टिफिकेट्स तैनात करणे, त्यांचे नूतनीकरण करणे आणि ते रद्द करण्यासाठी कृतीयोग्य धोरणे प्रदान करते.

📖 4 मिनिट वाचन📝 892 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
आत्मविश्वासू, अधिकारयुक्त आणि संभाषणात्मक सुरात ब्रिटिश इंग्रजीमध्ये बोला - जसे की एखादे ज्येष्ठ सल्लागार क्लायंटला माहिती देत आहेत. मोजलेला वेग, स्पष्ट शब्दोच्चार, उबदार पण थेट. जोड देण्यासाठी आवश्यकतेनुसार नैसर्गिक थांबे: Purple च्या तांत्रिक माहिती पत्रक मालिकेत आपले स्वागत आहे. आज आपण EAP-TLS प्रमाणपत्र व्यवस्थापनाबद्दल बोलत आहोत - विशेषतः, प्रमाणपत्र-आधारित WiFi प्रमाणीकरण कार्यक्रम मोठ्या प्रमाणावर कसा चालवायचा जेणेकरून तो एक पूर्णवेळचा परिचालन भार बनणार नाही. [medium pause] जर तुम्ही मल्टिपल साईट्सवर कॉर्पोरेट किंवा स्टाफ WiFi साठी जबाबदार असाल - मग ते हॉटेल ग्रुप असो, रिटेल इस्टेट असो, युनिव्हर्सिटी कॅम्पस असो किंवा पब्लिक-सेक्टर इस्टेट असो - हे माहिती पत्रक तुमच्यासाठी आहे. आम्ही प्रमाणपत्राच्या संपूर्ण जीवनचक्राचा समावेश करणार आहोत: तुमच्या CA हायरार्की सेट अप करण्यापासून ते SCEP आणि MDM द्वारे स्वयंचलित उपयोजनापर्यंत, आणि नूतनीकरण व निरसनापर्यंत (revocation). आणि गोष्टी कुठे चुकतात याबद्दलही आम्ही बोलू, कारण त्या नक्कीच चुकतात, आणि सर्वात सामान्य चुका कशा टाळायच्या याबद्दल जाणून घेऊ. [medium pause] चला मूलभूत गोष्टींपासून सुरुवात करूया. EAP-TLS - म्हणजेच ट्रान्सपोर्ट लेयर सिक्युरिटीसह एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - हा 802.1X WiFi प्रमाणीकरणासाठी सुवर्ण मानक आहे. PEAP च्या उलट, जे युझरनेम आणि पासवर्डवर अवलंबून असते, EAP-TLS परस्पर प्रमाणपत्र-आधारित प्रमाणीकरण वापरते. डिव्हाइस क्लायंट प्रमाणपत्रासह स्वतःची ओळख सिद्ध करते. RADIUS सर्व्हर सर्व्हर प्रमाणपत्रासह स्वतःची ओळख सिद्ध करतो. दोन्ही बाजू एकमेकांची पडताळणी करतात. फिशिंग करण्यासाठी कोणताही पासवर्ड नाही. चोरीला जाण्यासाठी कोणतीही क्रेडेंशियल नाही. म्हणूनच PCI-DSS 4.0 आणि NCSC चे झिरो-ट्रस्ट मार्गदर्शन हे दोन्ही कर्मचारी नेटवर्कसाठी प्रमाणपत्र-आधारित प्रमाणीकरणाकडे निर्देश करतात. [medium pause] आता, आर्किटेक्चर. EAP-TLS कार्यक्षम करण्यासाठी तुम्हाला तीन गोष्टींची आवश्यकता आहे. पहिली, पब्लिक की इन्फ्रास्ट्रक्चर - तुमची CA हायरार्की. दुसरी, डिव्हाइसेसवर प्रमाणपत्रे मिळविण्याची यंत्रणा - म्हणजेच SCEP किंवा तुमचे MDM प्लॅटफॉर्म. तिसरी, एक RADIUS सर्व्हर जो तुमच्या CA वर विश्वास ठेवतो आणि रिअल-टाइममध्ये क्लायंट प्रमाणपत्रांची पडताळणी करू शकतो. [medium pause] CA हायरार्की ही अशी जागा आहे जिथे बहुतेक संस्था सुरुवातीलाच अडचणीत येतात. योग्य पॅटर्न थ्री-टियर मॉडेल आहे. तुमच्याकडे वरच्या बाजूला एक रूट CA आहे - हा ऑफलाइन, एअर-गॅप असावा आणि केवळ तुमच्या इंटरमीडिएट CA प्रमाणपत्रावर स्वाक्षरी करण्यासाठी ऑनलाइन आणला जावा. इंटरमीडिएट CA - ज्याला कधीकधी इश्यूइंग CA म्हटले जाते - तो प्रत्यक्षात दैनंदिन प्रमाणपत्रांवर स्वाक्षरी करतो. तो ऑनलाइन असतो, पण त्याची खाजगी की (private key) सुरक्षित ठेवली जाते. त्याखाली, तुम्ही दोन प्रकारची प्रमाणपत्रे जारी करता: तुमच्या RADIUS इन्फ्रास्ट्रक्चरसाठी सर्व्हर प्रमाणपत्रे, आणि तुमच्या डिव्हाइसेस व युझर्ससाठी क्लायंट प्रमाणपत्रे. [medium pause] हे का महत्त्वाचे आहे? कारण जर तुमच्या रूट CA शी तडजोड झाली, तर तुम्हाला तुमचे संपूर्ण PKI सुरुवातीपासून पुन्हा तयार करावे लागेल आणि प्रत्येक डिव्हाइस पुन्हा नोंदवावे लागेल. ते ऑफलाइन ठेवल्याने हा धोका टळतो. रूटला स्पर्श न करता इंटरमीडिएट CA बदलला जाऊ शकतो. थ्री-टियर मॉडेलसाठी हाच ऑपरेशनल लवचिकतेचा तर्क आहे. [medium pause] चला सर्टिफिकेटच्या वैधतेच्या कालावधीबद्दल बोलूया. येथे उद्योगात एक लक्षणीय बदल झाला आहे. Apple, Google आणि Mozilla या सर्वांनी कमीत कमी कमाल सर्टिफिकेट आयुष्यमान लागू करण्यास सुरुवात केली आहे. TLS सर्व्हर सर्टिफिकेट्ससाठी, कमाल मर्यादा आता ३९८ दिवस आहे. एंटरप्राइझ WiFi मधील क्लायंट सर्टिफिकेट्ससाठी, तुमच्याकडे अधिक लवचिकता आहे - एक ते दोन वर्षे असणे सामान्य आहे - परंतु मॅन्युअली व्यवस्थापित केलेल्या दीर्घायुष्यी सर्टिफिकेट्सऐवजी कमी कालावधीचे आयुष्य आणि ऑटोमेटेड रिन्यूअलकडे कल वाढत आहे. याचे कारण सोपे आहे: सर्टिफिकेट धोक्यात आल्यास कमी कालावधीचे आयुष्य एक्सपोजरची विंडो मर्यादित करते. [medium pause] यामुळे आपण ऑटोमेशनकडे वळतो. मॅन्युअल सर्टिफिकेट व्यवस्थापन स्केल होत नाही. तुमच्याकडे ५०० डिव्हाइसेस असल्यास, तुम्ही रिन्यूअल्स हाताने व्यवस्थापित करू शकता. तुमच्याकडे ५० साइट्सवर ५,००० डिव्हाइसेस असल्यास, तुम्ही ते करू शकत नाही. तुम्हाला SCEP - Simple Certificate Enrolment Protocol - किंवा त्याचे आधुनिक उत्तराधिकारी, EST ची आवश्यकता आहे. SCEP थेट Microsoft Intune, Jamf Pro, आणि VMware Workspace ONE सह MDM प्लॅटफॉर्मसह इंटिग्रेट होते. MDM डिव्हाइसवर SCEP कॉन्फिगरेशन प्रोफाइल पाठवते. डिव्हाइस एक की पेअर जनरेट करते, तुमच्या SCEP सर्व्हरला सर्टिफिकेट साइनिंग रिक्वेस्ट पाठवते आणि स्वाक्षरी केलेले सर्टिफिकेट परत मिळवते - हे सर्व कोणत्याही युझर परस्परसंवादाशिवाय होते. [medium pause] Active Directory वातावरणातील Windows डिव्हाइसेससाठी, तुमच्याकडे एक पर्याय आहे: Active Directory Certificate Services द्वारे ग्रुप पॉलिसी-चालित ऑटो-एन्रोलमेंट. डिव्हाइस डोमेनवर ऑथेंटिकेट होते, CA स्वयंचलितपणे सर्टिफिकेट जारी करते, आणि कोणत्याही मॅन्युअल हस्तक्षेपाशिवाय कालबाह्य होण्यापूर्वी सर्टिफिकेट रिन्यू केले जाते. Windows-heavy इस्टेट्ससाठी हा सर्वात अखंड मार्ग आहे. [medium pause] आता, रेव्होकेशन (रद्द करणे). हा असा भाग आहे ज्यामध्ये संस्था बऱ्याचदा कमी गुंतवणूक करतात, आणि जेव्हा काहीतरी चुकीचे घडते तेव्हा हा भाग सर्वात महत्त्वाचा ठरतो. जर एखादे डिव्हाइस हरवले, चोरीला गेले किंवा एखादा कर्मचारी सोडून गेला, तर तुम्हाला त्यांचे सर्टिफिकेट त्वरित रद्द करावे लागेल. यासाठी दोन यंत्रणा आहेत: CRL - Certificate Revocation Lists - आणि OCSP - Online Certificate Status Protocol. [medium pause] CRL ही जुनी यंत्रणा आहे. तुमचे CA एका ज्ञात URL वर रद्द केलेल्या सर्टिफिकेट सिरीयल नंबरची यादी प्रकाशित करते. RADIUS सर्व्हर ही यादी ठराविक कालावधीने डाउनलोड करतो आणि त्याविरुद्ध तपासणी करतो. CRL मधील समस्या म्हणजे लेटन्सी (विलंब) - जर तुमच्या CRL चा वैधतेचा कालावधी २४ तासांचा असेल, तर रद्द केलेले सर्टिफिकेट रद्द केल्यानंतरही २४ तासांपर्यंत ऑथेंटिकेट होऊ शकते. [medium pause] OCSP हा रिअल-टाइम पर्याय आहे. RADIUS सर्व्हर प्रत्येक ऑथेंटिकेशनच्या प्रयत्नासाठी OCSP रिस्पॉन्डरला क्वेरी पाठवतो, आणि थेट लाइव्ह चांगले किंवा रद्द केलेले उत्तर मिळवतो. तडजोड अशी आहे की तुमचा OCSP रिस्पॉन्डर एक महत्त्वपूर्ण अवलंबित्व बनतो - जर तो अनुपलब्ध असेल, तर तुम्हाला फेल ओपन करायचे की फेल क्लोज करायचे हे ठरवावे लागेल. उच्च-सुरक्षा वातावरणासाठी, फेल क्लोज हे योग्य उत्तर आहे. उपलब्धता महत्त्वाची असलेल्या ऑपरेशनल वातावरणासाठी, तुम्ही लहान OCSP ग्रेस पिरियड कॉन्फिगर करू शकता. [medium pause] हे वास्तववादी करण्यासाठी मी तुम्हाला दोन ठोस उदाहरणे देतो. [medium pause] पहिला: १५०-प्रॉपर्टीचा हॉटेल समूह. ते कर्मचारी WiFi साठी शेअर केलेल्या पासवर्डसह PEAP चालवत होते. पासवर्ड रोटेशन त्रैमासिक होते, ज्याचा अर्थ प्रत्येक तिमाहीत दोन आठवड्यांचा असा कालावधी असायचा जिथे कर्मचारी लॉक आउट व्हायचे किंवा जुना पासवर्ड वापरायचे. ते सर्टिफिकेट डिप्लॉयमेंटसाठी Microsoft Intune वापरून EAP-TLS वर स्थलांतरित झाले. SCEP प्रोफाइल्स सर्व Windows आणि iOS डिव्हाइसेसवर पुश केले गेले. CA म्हणून Active Directory Certificate Services वापरले गेले. परिणाम: शून्य पासवर्ड रोटेशन इव्हेंट्स, कालबाह्य होण्याच्या ३० दिवस आधी सर्टिफिकेट रिन्यूअल स्वयंचलितपणे हाताळले गेले, आणि जेव्हा एखादा कर्मचारी नोकरी सोडून गेला, तेव्हा त्याचे सर्टिफिकेट Microsoft Entra ID मध्ये खाते निष्क्रिय केल्याच्या काही मिनिटांतच MDM मध्ये रद्द करण्यात आले. IT टीमच्या अंदाजानुसार त्यांनी पासवर्ड रिसेट आणि हेल्पडेस्क तिकिटांमध्ये प्रति तिमाही साधारणपणे ४० तास वाचवले. [medium pause] दुसरा: २०० स्टोअर्समध्ये ३,००० कर्मचारी डिव्हाइसेस असणारी एक मल्टी-साइट रिटेल साखळी. येथील आव्हान डिव्हाइसेसची विविधता हे होते - Windows लॅपटॉप, Android हँडहेल्ड आणि iOS डिव्हाइसेसचे मिश्रण. त्यांनी Apple डिव्हाइसेससाठी Jamf Pro आणि Windows व Android साठी Microsoft Intune वापरले, दोन्ही एकाच Microsoft ADCS इंटरमीडिएट CA द्वारे समर्थित SCEP सर्व्हरकडे निर्देश करत होते. WiFi इन्फ्रास्ट्रक्चर Cisco Meraki होते, ज्यामध्ये RADIUS ऑथेंटिकेशन Purple सोबत इंटिग्रेट केलेल्या क्लाउड-होस्टेड RADIUS सेवेद्वारे हाताळले जात होते. १२-महिन्यांच्या वैधतेसह सर्टिफिकेट जारी करणे आणि कालबाह्य होण्याच्या ६० दिवस आधी स्वयंचलित रिन्यूअल कॉन्फिगर करणे हा महत्त्वाचा डिझाइन निर्णय होता. यामुळे ऑपरेशनल ओव्हरहेड न वाढवता एक सुलभ रिन्यूअल विंडो मिळाली. [medium pause] आता, धोके. मला सातत्याने दिसणारे चार धोके आहेत. [medium pause] पहिला: रिव्होकेशन (रद्द करणे) ची चाचणी न घेणे. संस्था त्यांचे PKI सेट अप करतात, सर्टिफिकेट्स डिप्लॉय करतात, आणि रिव्होकेशन एंड-टू-एंड काम करते की नाही याची कधीही प्रत्यक्ष चाचणी घेत नाहीत. याची चाचणी घ्या. एक चाचणी सर्टिफिकेट रद्द करा, तुमच्या अपेक्षित वेळेत RADIUS सर्व्हर ते रिव्होकेशन स्वीकारतो की नाही याची खात्री करा, आणि डिव्हाइसला प्रवेश नाकारला गेल्याची पुष्टी करा. [medium pause] दुसरा: एक्स्पायरी क्लिफ एजेस (एकाच वेळी कालबाह्य होणे). जर तुम्ही तुमची सर्व सर्टिफिकेट्स एकाच वेळी समान वैधतेसह जारी केली, तर ती सर्व एकाच वेळी कालबाह्य होतील. तुमचे इश्यूअन्स वेगवेगळ्या टप्प्यांत करा, किंवा किमान तुमचे रिन्यूअल ट्रिगर्स टप्प्याटप्प्याने सेट करा. ५,००० डिव्हाइसेसवर एकाच वेळी १०% रिन्यूअल अपयशाचा दर ही एक मोठी समस्या बनू शकते. [medium pause] तिसरा: EAP-TLS डिप्लॉय करण्यापूर्वी सर्व डिव्हाइसेसवर Root CA सर्टिफिकेट वितरित न करणे. जर डिव्हाइस तुमच्या Root CA वर विश्वास ठेवत नसेल, तर ते RADIUS सर्व्हरचे सर्टिफिकेट नाकारेल आणि ऑथेंटिकेशन अयशस्वी होईल. हे स्पष्ट वाटते, परंतु जेव्हा संस्थांकडे MDM मध्ये नोंदणीकृत नसलेले BYOD डिव्हाइसेस किंवा कंत्राटदारांचे लॅपटॉप असतात तेव्हा त्यांच्याकडून ही चूक होते. [medium pause] चौथा: OCSP रिस्पॉन्डर उपलब्धता. जर तुमचा OCSP रिस्पॉन्डर बंद पडला आणि तुमचा RADIUS सर्व्हर OCSP त्रुटींवर बंद (fail closed) होण्यासाठी कॉन्फिगर केला असेल, तर तुमचे संपूर्ण WiFi नेटवर्क काम करणे थांबवते. तुमच्या OCSP इन्फ्रास्ट्रक्चरमध्ये रिडंडन्सी तयार करा, किंवा योग्य मॉनिटरिंगसह एक लहान ग्रेस पिरियड कॉन्फिगर करा. [medium pause] बरं, आता रॅपिड-फायर प्रश्न. [medium pause] मी EAP-TLS क्लायंट प्रमाणपत्रांसाठी सार्वजनिक CA वापरू शकतो का? तांत्रिकदृष्ट्या होय, पण प्रत्यक्षात नाही. सार्वजनिक CA कोणत्याही डिव्हाइससाठी क्लायंट प्रमाणपत्रे जारी करणार नाहीत. क्लायंट प्रमाणपत्रांसाठी तुम्हाला स्वतःच्या CA ची गरज आहे. RADIUS सर्व्हर प्रमाणपत्रासाठी, सार्वजनिक CA ठीक आहे आणि यामुळे विश्वासाचे वितरण सोपे होते. [medium pause] BYOD बद्दल काय? BYOD ही एक कठीण बाब आहे. तुम्ही MDM द्वारे अनमॅनेज्ड डिव्हाइसवर प्रमाणपत्रे पुश करू शकत नाही. पर्यायांमध्ये नेटवर्क ऍक्सेस कंट्रोल पोर्टल समाविष्ट आहे जे वापरकर्ता प्रमाणीकरणानंतर अल्पायुषी प्रमाणपत्रे जारी करते, किंवा BYOD ला वेगळ्या प्रमाणीकरण पद्धतीसह वेगळ्या SSID वर ठेवणे हा एक पर्याय आहे. [medium pause] हे WPA3 सोबत कसे कार्य करते? WPA3-Enterprise संवेदनशील वातावरणासाठी १९२-बिट सुरक्षा मोड अनिवार्य करते, ज्यासाठी विशिष्ट सायफर सूट आवश्यक असतात. EAP-TLS हे WPA3-Enterprise सोबत पूर्णपणे सुसंगत आहे आणि खरं तर ही शिफारस केलेली प्रमाणीकरण पद्धत आहे. [medium pause] थोडक्यात सांगायचे तर. EAP-TLS प्रमाणपत्र व्यवस्थापन सोपे नाही, परंतु जर तुम्ही सुरुवातीपासूनच आर्किटेक्चर योग्य ठेवले तर ते व्यवस्थापित करण्यायोग्य आहे. थ्री-टियर CA हायरार्की. SCEP किंवा MDM द्वारे स्वयंचलित नोंदणी. स्वयंचलित नूतनीकरणासह अल्प प्रमाणपत्र आयुष्य. OCSP द्वारे रिअल-टाइम रिव्होकेशन. प्रत्येक गोष्टीची चाचणी घ्या, विशेषतः रिव्होकेशनची. आणि तुमचे प्रमाणपत्र लाइफसायकल तुमच्या आयडेंटिटी प्रोव्हाइडरसह - Microsoft Entra ID, Okta, किंवा Google Workspace - समाकलित करा जेणेकरून खाते निष्क्रिय झाल्यावर प्रमाणपत्र रिव्होकेशन स्वयंचलितपणे ट्रिगर होईल. [medium pause] तुम्ही Purple शी लिंक केलेले RADIUS सर्व्हर चालवत असल्यास, तुमचे इंटिग्रेशन पॉईंट्स तुमचे SCEP सर्व्हर URL, तुमचे RADIUS सर्व्हर प्रमाणपत्र आणि तुमचे CRL किंवा OCSP एंडपॉईंट आहेत. Purple चे हार्डवेअर-अज्ञेयवादी आर्किटेक्चर म्हणजे हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist आणि इतर सर्व प्रमाणित हार्डवेअर सूचीवर कार्य करते - तुम्ही एकाच विक्रेत्याच्या PKI साधनांमध्ये अडकून राहत नाही. [medium pause] पुढील पायऱ्या: तुमच्या सध्याच्या प्रमाणपत्रांच्या यादीचे ऑडिट करा. तुमच्याकडे किती प्रमाणपत्रे आहेत, ती कधी कालबाह्य होतात आणि ती कोणी जारी केली आहेत हे तुम्हाला माहीत नसल्यास, सर्वप्रथम ती गोष्ट दुरुस्त करणे आवश्यक आहे. तिथून, पूर्ण ऑटोमेशनचा मार्ग स्पष्ट आहे. ऐकल्याबद्दल धन्यवाद.

header_image.png

कार्यकारी सारांश (Executive Summary)

EAP-TLS WiFi प्रमाणीकरणासाठी (authentication) डिजिटल प्रमाणपत्रे व्यवस्थापित करणे हे एंटरप्राइझ IT टीम्ससाठी एक मोठे ऑपरेशनल आव्हान आहे. Zero Trust अनुपालनाशी (compliance) जुळवून घेण्यासाठी संस्था जसे जसे क्रेडेंशियल-आधारित प्रमाणीकरण टप्प्याटप्प्याने बंद करत आहेत, तसा त्यांचा ऑपरेशनल भार पासवर्ड रीसेटवरून थेट प्रमाणपत्र जीवनचक्र व्यवस्थापनावर (certificate lifecycle management) सरकत आहे. हे मार्गदर्शक संपूर्ण जटिल इस्टेट वातावरणामध्ये मोठ्या प्रमाणावर क्लायंट-साइड प्रमाणपत्रे तैनात करणे, त्यांचे नूतनीकरण करणे आणि ती रद्द करणे यासाठी आवश्यक असलेल्या आर्किटेक्चरल पॅटर्नचे तपशीलवार वर्णन करते.

CTO आणि नेटवर्क आर्किटेक्ट्ससाठी उद्दिष्ट स्पष्ट आहे: एक मजबूत Public Key Infrastructure (PKI) लागू करणे जे सध्याच्या Mobile Device Management (MDM) प्लॅटफॉर्मसह अखंडपणे समाकलित (integrate) होते. Simple Certificate Enrolment Protocol (SCEP) द्वारे प्रमाणपत्र जारी करणे स्वयंचलित करून आणि रिअल-टाइममध्ये ते रद्द करण्याची प्रक्रिया राबवून, मानवी हस्तक्षेप पूर्णपणे काढून टाकला जातो. हा दृष्टिकोन नेटवर्क परिमिती (perimeter) सुरक्षित करतो, PCI-DSS 4.0 सह इतर अनुपालन फ्रेमवर्कचे समाधान करतो आणि कॉर्पोरेट हार्डवेअर चालवणाऱ्या 80,000 पेक्षा जास्त भौतिक ठिकाणांसाठी (venues) सतत कनेक्टिव्हिटी सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep Dive)

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) हे 802.1X नेटवर्क प्रवेश नियंत्रणासाठी (access control) सर्वोत्तम मानक मानले जाते. हे परस्पर प्रमाणीकरण (mutual authentication) लागू करते. RADIUS सर्व्हर क्लायंटकडे स्वतःची ओळख सिद्ध करण्यासाठी आपले प्रमाणपत्र सादर करतो, तर क्लायंट नेटवर्ककडे स्वतःची ओळख सिद्ध करण्यासाठी आपले प्रमाणपत्र सादर करतो.

थ्री-टियर PKI आर्किटेक्चर (Three-Tier PKI Architecture)

एक सपाट (flat) PKI पदानुक्रम अस्वीकार्य जोखीम निर्माण करतो. यासाठी शिफारस केलेला पॅटर्न म्हणजे थ्री-टियर आर्किटेक्चर आहे:

  1. रूट सर्टिफिकेट अथॉरिटी (Root CA): अंतिम विश्वासू अँकर (trust anchor). हा सर्व्हर ऑफलाइन राहतो आणि नेटवर्कपासून पूर्णपणे वेगळा (air-gapped) असतो. याचे एकमेव कार्य इंटरमीडिएट CA प्रमाणपत्रांवर स्वाक्षरी करणे हे आहे.
  2. इंटरमीडिएट CA (Issuing CA): हा सर्व्हर ऑनलाइन राहतो आणि दैनंदिन क्लायंट व सर्व्हर प्रमाणपत्र स्वाक्षरीचे काम सांभाळतो. तडजोड झाल्यास, संपूर्ण ट्रस्ट इन्फ्रास्ट्रक्चर पुन्हा न उभारता Root CA द्वारे हे रद्द केले जाऊ शकते.
  3. एंड-एंटिटी प्रमाणपत्रे (End-Entity Certificates): ही प्रत्यक्ष प्रमाणपत्रे असतात जी RADIUS सर्व्हर्स आणि क्लायंट डिव्हाइसेसवर तैनात केली जातात.

pki_trust_chain_diagram.png

प्रमाणपत्राचे आयुष्यमान आणि क्रिप्टोग्राफिक मानके (Certificate Lifespans and Cryptographic Standards)

जर एखादी की (key) तडजोड झाली, तर सुरक्षिततेचा धोका मर्यादित करण्यासाठी उद्योग आता कमी कालावधीच्या प्रमाणपत्र आयुष्यमानाची मागणी करत आहेत. सार्वजनिक TLS प्रमाणपत्रे जास्तीत जास्त 398 दिवसांपर्यंत मर्यादित असताना, WiFi प्रमाणीकरणासाठी वापरली जाणारी अंतर्गत क्लायंट प्रमाणपत्रे सामान्यतः 365 दिवसांच्या वैधता कालावधीसह वापरली जातात.

क्रिप्टोग्राफिक आवश्यकतांसाठी किमान RSA 2048-बिट की किंवा P-256 कर्व्ह वापरून Elliptic Curve Cryptography (ECC) आवश्यक आहे. WPA3-Enterprise 192-बिट मोडसाठी विशिष्ट सायफर सूट्स (cipher suites) आवश्यक असतात, आणि EAP-TLS ही एकमेव प्रमाणीकरण पद्धत आहे जी या आवश्यकता पूर्णपणे पूर्ण करते.

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

वितरित केलेल्या ठिकाणी EAP-TLS उपयोजित करण्यासाठी तुमचे आयडेंटिटी प्रोव्हाइडर, MDM प्लॅटफॉर्म आणि नेटवर्क हार्डवेअर यांच्यात मजबूत एकत्रीकरण असणे आवश्यक आहे. Purple चे क्लाउड ओव्हरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सोबत एकत्रित होते.

पायरी १: ट्रस्ट चेन स्थापित करा

कोणतेही डिव्हाइस प्रमाणित होण्यापूर्वी, त्याने RADIUS सर्व्हरवर विश्वास ठेवला पाहिजे. तुमच्या MDM द्वारे सर्व व्यवस्थापित डिव्हाइसेसवर Root CA प्रमाणपत्र उपयोजित करा. अव्यवस्थापित डिव्हाइसेससाठी, ट्रस्ट प्रोफाइल स्थापित करण्यासाठी तुम्ही ऑनबोर्डिंग पोर्टल प्रदान केले पाहिजे.

पायरी २: SCEP द्वारे जारी करणे स्वयंचलित करा

प्रमाणपत्रे मॅन्युअली तयार करणे व्यवहार्य नाही. हा वर्कफ्लो स्वयंचलित करण्यासाठी SCEP लागू करा:

१. MDM (उदा. Microsoft Intune) डिव्हाइसवर SCEP पेलोड पाठवते. २. डिव्हाइस स्थानिक पातळीवर एक खाजगी की (private key) तयार करते. ३. डिव्हाइस SCEP सर्व्हरकडे सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) सबमिट करते. ४. CA प्रमाणपत्र जारी करते आणि डिव्हाइस ते त्याच्या हार्डवेअर-बॅक्ड कीस्टोअरमध्ये स्थापित करते.

पायरी ३: RADIUS पॉलिसी कॉन्फिगर करा

EAP-TLS आवश्यक करण्यासाठी तुमचे RADIUS सर्व्हर कॉन्फिगर करा. वापरकर्ता खाते अद्याप सक्रिय असल्याची खात्री करण्यासाठी सर्व्हर क्लायंट प्रमाणपत्रातील सब्जेक्ट अल्टरनेटिव्ह नेम (SAN) तुमच्या आयडेंटिटी डिरेक्टरी (Microsoft Entra ID, Okta, किंवा Google Workspace) विरुद्ध प्रमाणित करत असल्याची खात्री करा.

certificate_lifecycle_infographic.png

सर्वोत्तम पद्धती

  • नूतनीकरण लवकर स्वयंचलित करा: मुदत संपण्याच्या किमान ३० दिवस आधी प्रमाणपत्र नूतनीकरण सुरू करण्यासाठी MDM प्रोफाइल कॉन्फिगर करा. हे संपूर्ण ठिकाणी अचानक येणारे ऑथेंटिकेशन अपयश टाळते.
  • हार्डवेअर कीस्टोअर लागू करा: खाजगी की डिव्हाइसच्या ट्रस्टेड प्लॅटफॉर्म मॉड्युल (TPM) किंवा सिक्युर एन्क्लेव्हमध्ये तयार केल्या जाव्यात आणि संचयित केल्या जाव्यात अशी आवश्यकता ठेवा. की नॉन-एक्सपोर्टेबल म्हणून कॉन्फिगर केल्या पाहिजेत.
  • रिअल-टाइम रिव्होकेशन लागू करा: स्टॅटिक सर्टिफिकेट रिव्होकेशन लिस्ट (CRLs) वर अवलंबून राहिल्याने विलंब होतो. ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) लागू करा जेणेकरून RADIUS सर्व्हर प्रमाणीकरणादरम्यान रिअल टाइममध्ये प्रमाणपत्राची स्थिती तपासू शकेल.

त्रुटी निवारण आणि जोखीम कमी करणे

EAP-TLS उपयोजनांमधील सर्वात सामान्य अपयश हे ट्रस्ट आणि वेळेच्या संदर्भात असते.

ट्रस्ट अँकर अपयश

जर क्लायंट डिव्हाइसने RADIUS सर्व्हर प्रमाणपत्र नाकारले, तर प्रमाणीकरण मूकपणे अपयशी ठरेल. जेव्हा डिव्हाइसच्या ट्रस्ट स्टोअरमधून Root CA प्रमाणपत्र गहाळ असते तेव्हा असे घडते. WiFi प्रोफाइल लागू करण्यापूर्वी ट्रस्ट प्रोफाइल लागू केले गेले आहे याची खात्री करण्यासाठी MDM उपयोजन लॉग तपासा. कनेक्टिव्हिटी समस्यांवरील पुढील निदानासाठी, Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures पहा.

एक्स्पायरी क्लिफ्स

एकाच वेळी हजारो प्रमाणपत्रे जारी केल्याने नूतनीकरणाची मोठी समस्या निर्माण होऊ शकते. या कालावधीत SCEP सर्व्हर डाउन असल्यास, डिव्हाइस नेटवर्कवरून डिस्कनेक्ट होतील. नूतनीकरणाचा भार विभागण्यासाठी सुरुवातीचे उपयोजन (deployments) वेगवेगळ्या टप्प्यांत करा.

OCSP Timeouts

जर RADIUS सर्व्हर OCSP रिस्पॉन्डरपर्यंत पोहोचू शकत नसेल, तर त्याला फेल ओपन (fail open) करायचे की फेल क्लोज्ड (fail closed) करायचे हे ठरवावे लागेल. एंटरप्राइझ नेटवर्कसाठी, फेल क्लोज्ड करणे ही एक मानक पद्धत आहे. तुमची OCSP इन्फ्रास्ट्रक्चर अत्यंत उपलब्ध आणि भौगोलिकदृष्ट्या वितरित असल्याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

EAP-TLS कडे स्थलांतरित होण्यासाठी सुरुवातीला इंजिनिअरिंगच्या प्रयत्नांची आवश्यकता असते, परंतु याचा ऑपरेशनल परतावा लक्षणीय आहे. 5,000 युजर्स असलेली संस्था सामान्यतः PEAP पासवर्ड रोटेशन्समुळे निर्माण होणारे पासवर्ड रिसेट आणि RADIUS लॉकआउट्स सोडवण्यासाठी दरमहा 40 तास खर्च करते.

प्रमाणपत्र लाइफसायकल स्वयंचलित करून, तुम्ही या सपोर्ट तिकिटांचे निवारण करू शकता. याव्यतिरिक्त, तुम्ही ISO 27001 आणि PCI DSS च्या कडक ॲक्सेस कंट्रोल आवश्यकता पूर्ण करता, ज्यामुळे ऑडिटचा ताण कमी होतो. Guest WiFi आणि WiFi Analytics सह एकत्रित केल्यावर, Purple सर्व प्रकारच्या युजर्ससाठी नेटवर्क ॲक्सेसचे एक युनिफाइड व्ह्यू प्रदान करते, ज्यामुळे वेगवेगळ्या ठिकाणी अनुपालन (compliance) रिपोर्टिंग सुलभ होते.

महत्वाच्या व्याख्या

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. एक ऑथेंटिकेशन फ्रेमवर्क ज्यामध्ये क्लायंट आणि सर्व्हर दोघांनाही डिजिटल सर्टिफिकेट्सचा वापर करून आपली ओळख सिद्ध करणे आवश्यक असते.

असुरक्षित पासवर्डवर अवलंबून न राहता एंटरप्राइझ WiFi नेटवर्क्स सुरक्षित करण्यासाठीचा उद्योग मानक.

SCEP

Simple Certificate Enrolment Protocol. डिव्हाइसेसवर डिजिटल सर्टिफिकेट्सची विनंती आणि इंस्टॉलेशन सुरक्षितपणे स्वयंचलित करण्यासाठी MDM प्लॅटफॉर्मद्वारे वापरला जाणारा एक प्रोटोकॉल.

मॅन्युअल सर्टिफिकेट हाताळणी काढून टाकून काही डझनपेक्षा जास्त डिव्हाइसेसवर EAP-TLS डिप्लॉयमेंट्स स्केलेबल करण्यासाठी अत्यंत आवश्यक.

RADIUS

Remote Authentication Dial-In User Service. नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग व्यवस्थापन प्रदान करतो.

सर्व्हर घटक जो क्लायंट सर्टिफिकेट वैध करतो आणि ॲक्सेस पॉईंटला नेटवर्क ॲक्सेस मंजूर करण्यास सांगतो.

OCSP

Online Certificate Status Protocol. रिअल टाइममध्ये X.509 डिजिटल सर्टिफिकेटची रिव्होकेशन स्थिती मिळवण्यासाठी वापरला जाणारा एक इंटरनेट प्रोटोकॉल.

रद्द केलेले सर्टिफिकेट नेटवर्कवरून त्वरित ब्लॉक केले जाईल याची खात्री करण्यासाठी स्थिर CRLs ची जागा घेतो.

Root CA

Root Certificate Authority. Public Key Infrastructure मधील सर्वोच्च-स्तरीय क्रिप्टोग्राफिक ऑथॉरिटी, ज्याचा वापर सबऑर्डिनेट CAs वर स्वाक्षरी करण्यासाठी केला जातो.

संस्थेच्या संपूर्ण ट्रस्ट चेनचे रक्षण करण्यासाठी अत्यंत सुरक्षित आणि ऑफलाइन ठेवले पाहिजे.

SAN

Subject Alternative Name. X.509 चा एक विस्तार जो सुरक्षा सर्टिफिकेटशी ईमेल पत्ते किंवा UPNs सारखी विविध मूल्ये जोडण्याची परवानगी देतो.

आयडेंटिटी डिरेक्टरीमधील विशिष्ट युझर खात्याशी सर्टिफिकेट मॅप करण्यासाठी RADIUS सर्व्हरद्वारे वापरले जाते.

MDM

Mobile Device Management. कर्मचाऱ्यांच्या मोबाईल उपकरणांवर लक्ष ठेवण्यासाठी, त्यांचे व्यवस्थापन करण्यासाठी आणि ती सुरक्षित करण्यासाठी IT विभागांद्वारे वापरले जाणारे सॉफ्टवेअर.

डिलिव्हरी मेकॅनिझम जो SCEP कॉन्फिगरेशन आणि WiFi प्रोफाइल्स एंड-युझर डिव्हाइसेसवर पुश करतो.

CRL

Certificate Revocation List. जारी करणाऱ्या CA द्वारे त्यांच्या नियोजित समाप्ती तारखेपूर्वी रद्द केलेल्या डिजिटल प्रमाणपत्रांची सूची.

प्रमाणपत्राची वैधता तपासण्याची एक जुनी पद्धत जी OCSP च्या तुलनेत लेटन्सीच्या समस्यांना सामोरे जाते.

सोडवलेली उदाहरणे

एक १५०-प्रॉपर्टी असलेल्या हॉटेल ग्रुपला ३,००० डिव्हाइसेसवर स्टाफ ॲक्सेस सुरक्षित करण्याची आवश्यकता आहे. ते सध्या त्रैमासिक रोटेट होणाऱ्या शेअर केलेल्या पासवर्डसह PEAP वापरतात, ज्यामुळे हेल्पडेस्कवर कामाचा मोठा ताण पडतो. त्यांनी EAP-TLS कसे लागू करावे?

सर्व कॉर्पोरेट डिव्हाइसेस व्यवस्थापित करण्यासाठी Microsoft Intune तैनात करा. Intune Certificate Connector द्वारे Intune शी इंटिग्रेट केलेले Microsoft ADCS Intermediate CA स्थापित करा. Root CA सर्टिफिकेट सर्व डिव्हाइसेसवर पुश करा, त्यानंतर ३६५ दिवसांच्या वैधतेसह क्लायंट सर्टिफिकेटची विनंती करणारी SCEP प्रोफाइल पाठवा. WiFi प्रोफाइल EAP-TLS वापरण्यासाठी कॉन्फिगर करा आणि Purple-लिंक केलेल्या RADIUS सर्व्हर्सकडे निर्देशित करा. SCEP प्रोफाइल २०% उर्वरित लाइफ (७३ दिवस) असताना स्वयंचलितपणे नूतनीकरण करण्यासाठी सेट करा.

परीक्षकाचे भाष्य: हा दृष्टिकोन त्रैमासिक पासवर्ड रोटेशन पूर्णपणे काढून टाकतो. लवकर नूतनीकरणाचा ट्रिगर सेट करून, आयटी टीम मुदत संपण्याच्या अगदी शेवटच्या क्षणाची धावपळ टाळू शकते. थेट Intune शी इंटिग्रेट केल्याने हे सुनिश्चित होते की जेव्हा एखादा कर्मचारी नोकरी सोडतो आणि त्याचे Entra ID खाते निष्क्रिय केले जाते, तेव्हा MDM सर्टिफिकेट रद्द करते आणि WiFi प्रोफाइल स्वयंचलितपणे पुसून टाकते.

एका रिटेल चेनला २०० ठिकाणी पॉईंट-ऑफ-सेल हँडहेल्ड्ससाठी सुरक्षित WiFi आवश्यक आहे. हे डिव्हाइसेस Android वर चालतात आणि बऱ्याचदा सेंट्रल मॅनेजमेंट सर्व्हरशी त्यांची कनेक्टिव्हिटी तुटते. तुम्ही सर्टिफिकेट रद्द करण्याची प्रक्रिया कशी हाताळाल?

RADIUS सर्व्हर स्तरावर रिअल-टाइम रिव्होकेशन तपासणीसाठी OCSP लागू करा. प्रत्येक ऑथेंटिकेशनच्या प्रयत्नासाठी OCSP रिस्पॉन्डरकडे चौकशी करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. हँडहेल्ड गहाळ झाल्याची नोंद झाल्यास, सुरक्षा टीम CA मधील सर्टिफिकेट रद्द करते. पुढच्या वेळी जेव्हा डिव्हाइस ॲक्सेस पॉईंटशी जोडण्याचा प्रयत्न करेल, तेव्हा RADIUS सर्व्हरला OCSP कडून "revoked" (रद्द) असा प्रतिसाद मिळेल आणि तो त्वरित प्रवेश नाकारेल.

परीक्षकाचे भाष्य: डिव्हाइस ऑफलाइन असल्यास किंवा कव्हरेज क्षेत्राबाहेर असल्यास गहाळ झालेले डिव्हाइस पुसून टाकण्यासाठी केवळ MDM वर अवलंबून राहणे अपुरे आहे. OCSP द्वारे नेटवर्कच्या सीमेवर रिव्होकेशन तपासणी सक्तीची करून, RADIUS सर्व्हर अंमलबजावणी बिंदू म्हणून काम करतो, ज्यामुळे डिव्हाइस स्वतः MDM च्या संपर्कात येऊ शकत नसले तरीही तडजोड केलेल्या सर्टिफिकेटचा वापर केला जाऊ शकत नाही याची खात्री होते.

सराव प्रश्न

Q1. तुम्ही २,००० कॉर्पोरेट लॅपटॉपसाठी EAP-TLS उपयोजित करत आहात. SCEP इन्फ्रास्ट्रक्चर कॉन्फिगर केले आहे, परंतु चाचणी दरम्यान, लॅपटॉप WiFi शी कनेक्ट होऊ शकत नाहीत. RADIUS लॉग 'Unknown CA' दाखवतात. याचे सर्वात संभाव्य कारण काय आहे?

टीप: ट्रस्ट प्रोफाइल विरुद्ध ऑथेंटिकेशन प्रोफाइल लागू करताना ऑपरेशन्सच्या क्रमाचा विचार करा.

नमुना उत्तर पहा

लॅपटॉपच्या ट्रस्टेड रूट स्टोअरमध्ये Root CA प्रमाणपत्र स्थापित केलेले नाही. SCEP पेलोड किंवा EAP-TLS WiFi प्रोफाइल पुश करण्यापूर्वी उपकरणांवर Root CA प्रमाणपत्र पेलोड पुश करण्यासाठी MDM कॉन्फिगर केले जाणे आवश्यक आहे. Root CA शिवाय, क्लायंट RADIUS सर्व्हरचे प्रमाणपत्र नाकारतो.

Q2. एक तडजोड केलेले (compromised) उपकरण गहाळ झाल्याची नोंद केली आहे. IT टीम उपकरणाला MDM मधून काढून टाकते आणि CA मधील प्रमाणपत्र रद्द करते. तथापि, चाचणीवरून असे दिसून येते की ते उपकरण अजूनही १२ तासांपर्यंत नेटवर्कशी कनेक्ट होऊ शकते. तुम्ही याचे निराकरण कसे कराल?

टीप: RADIUS सर्व्हर प्रमाणपत्राची स्थिती कशी सत्यापित करतो ते पहा.

नमुना उत्तर पहा

RADIUS सर्व्हर बहुधा Certificate Revocation List (CRL) वर अवलंबून असतो जी केवळ दर १२ ते २४ तासांनी प्रकाशित किंवा डाउनलोड केली जाते. याचे निराकरण करण्यासाठी, Online Certificate Status Protocol (OCSP) लागू करा आणि प्रत्येक ऑथेंटिकेशनच्या प्रयत्नादरम्यान रिअल - टाइम वैधतेसाठी OCSP रिस्पॉन्डरला क्वेरी करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.

Q3. तुम्ही प्रमाणपत्र लाइफसायकल पॉलिसी डिझाइन करत आहात. सुरक्षा टीमला जोखीम कमी करण्यासाठी ३० दिवसांचे प्रमाणपत्र लाइफटाईम हवे आहे, परंतु नेटवर्क टीमला SCEP सर्व्हर लोड आणि कनेक्टिव्हिटी खंडित होण्याची काळजी वाटत आहे. शिफारस केलेले संतुलन काय आहे?

टीप: सार्वजनिक वेब प्रमाणपत्रे आणि अंतर्गत व्यवस्थापित PKI मधील फरकाचा विचार करा.

नमुना उत्तर पहा

समाप्तीपूर्वी ६० किंवा ९० दिवसांनी स्वयंचलित नूतनीकरण ट्रिगरसह ३६५ दिवसांचा वैधता कालावधी सर्वोत्तम संतुलन प्रदान करतो. WiFi प्रमाणपत्रांसाठी ३० दिवसांचे लाइफटाईम अत्यंत जास्त ऑपरेशनल जोखीम निर्माण करते जर उपकरणे त्यांच्या नूतनीकरणाच्या मर्यादित वेळेत ऑफलाइन असतील. आक्रमकपणे लहान लाइफटाईम ठेवण्याऐवजी मजबूत, रिअल - टाइम OCSP रिव्होकेशनद्वारे सुरक्षा राखली जाते.

या मालिकेमध्ये पुढे वाचा

Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे

हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.

मार्गदर्शिका वाचा →

Passpoint आणि OpenRoaming: संपूर्ण मार्गदर्शक

हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi नेटवर्कमधील Passpoint (Hotspot 2.0) आणि WBA OpenRoaming फ्रेमवर्कचे सर्वसमावेशक विश्लेषण प्रदान करते. हे सुरक्षित, विनाव्यत्यय अतिथी कनेक्टिव्हिटी स्थापित करण्यासाठी आवश्यक असणारे मूलभूत ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटक आणि डिप्लॉयमेंट धोरणांचे सविस्तर वर्णन करते. नेटवर्क आर्किटेक्ट्स आणि IT लीडर्स एंटरप्राइझ-दर्जाची सुरक्षा राखून मॅन्युअल लॉगिनचे अडथळे दूर करण्यासाठी या मानकांची रचना, अंमलबजावणी आणि ट्रबलशूटिंग कसे करावे हे शिकतील.

मार्गदर्शिका वाचा →

उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे

हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.

मार्गदर्शिका वाचा →