Skip to main content
Português (Brasil)
Sign up for free Guest WiFi

Como o Passpoint (Hotspot 2.0) transforma a experiência de Wi-Fi para convidados

Um guia de referência técnica abrangente detalhando como os protocolos Passpoint (Hotspot 2.0) e 802.11u substituem os Captive Portal tradicionais por um roaming Wi-Fi contínuo, seguro e semelhante ao celular. Ele fornece aos líderes de TI visões gerais de arquitetura, frameworks de implementação e o caso de negócio para a adoção de autenticação baseada em credenciais para resolver desafios de randomização de MAC e melhorar a experiência do convidado.

📖 6 min de leitura📝 1,359 palavras🔧 2 exemplos3 perguntas📚 8 termos-chave

🎧 Ouça este Guia

Ver Transcrição
How Passpoint Transforms the Guest Wi-Fi Experience A Purple Technical Briefing — Approximately 10 Minutes --- INTRODUCTION AND CONTEXT — approximately 1 minute Welcome to the Purple Technical Briefing series. I'm going to spend the next ten minutes walking you through something that, frankly, should have replaced the captive portal years ago — Passpoint, also known as Hotspot 2.0. If you're managing Wi-Fi infrastructure at a hotel group, a retail estate, a stadium, or any venue where guests connect repeatedly, you've almost certainly hit the same wall: guests complaining about having to log in every single time, your IT helpdesk fielding calls about Wi-Fi that "used to work," and a growing realisation that iOS 14 and Android 10's MAC address randomisation has quietly broken your re-authentication logic. Passpoint is the answer to all of those problems. But it's not a magic switch — it's a properly engineered protocol that requires deliberate deployment. So let's get into it. --- TECHNICAL DEEP-DIVE — approximately 5 minutes Let's start with the core problem Passpoint solves, which engineers call the network selection problem. In traditional Wi-Fi, your device scans for a known SSID — a network name — and if it recognises one, it connects. That's simple, but it's brittle. It requires prior connection, it tells you nothing about the network's security posture, and it doesn't support roaming between venues. Every time a guest walks into your hotel, their device has to be manually pointed at your network, then intercepted by a captive portal, then authenticated through a web form. That's friction. And in 2026, friction is a competitive disadvantage. Passpoint shifts the paradigm entirely. Instead of looking for a network name, the device looks for a network that supports its credentials. Before even attempting to connect, the device asks the access point: "Do you support my identity provider?" If the answer is yes, authentication proceeds automatically. No login page. No password prompt. No manual selection. It's the cellular roaming model, applied to Wi-Fi. The mechanism that makes this possible is called the Generic Advertisement Service — GAS — combined with the Access Network Query Protocol, or ANQP. When a Passpoint-enabled access point broadcasts its beacon, it includes what's called an Interworking Element — essentially a flag that says "I speak 802.11u," which is the IEEE amendment that underpins all of this. Your device sees that flag, sends a GAS request, and inside that request, an ANQP query asks: "What Roaming Consortium Organisational Identifiers do you support?" The access point responds. If there's a match with a profile already on the device, the full WPA2 or WPA3 Enterprise authentication handshake begins. That authentication uses IEEE 802.1X — the same port-based access control standard used in enterprise wired networks — combined with an EAP method. The most common are EAP-TLS, which uses certificates; EAP-TTLS, which tunnels username and password securely; and EAP-SIM or EAP-AKA for mobile operator SIM-based authentication. The result is a mutually authenticated, fully encrypted session. The device proves its identity to the network, and the network proves its identity to the device. That mutual authentication is what prevents evil twin attacks and man-in-the-middle attacks that plague open Wi-Fi environments. Now, a term you'll hear alongside Passpoint is OpenRoaming — the Wireless Broadband Alliance's federation framework. Here's the distinction that matters: Passpoint is the vehicle. OpenRoaming is the highway system. Passpoint defines how a device discovers and authenticates to a network. OpenRoaming defines the trust ecosystem that allows an identity provider — say, Google, Samsung, or a mobile operator — and an access provider — your hotel, your stadium, your retail estate — to trust each other's credentials without a bilateral agreement between every pair. OpenRoaming uses a hub-and-spoke PKI model with RadSec tunnels — that's RADIUS over TLS — to proxy authentication requests across the federation. The key Roaming Consortium OI for settlement-free OpenRoaming is 5A-03-BA. You'll also want to broadcast the legacy Cisco OI, 00-40-96, for compatibility with older devices and Samsung OneUI profiles. From a security compliance perspective, Passpoint is a significant upgrade. WPA3-Enterprise uses 192-bit security mode and mandates forward secrecy — every session uses unique encryption keys, so compromising one session doesn't expose historical traffic. For organisations subject to PCI DSS — particularly retail environments processing card payments — or GDPR obligations around personal data, Passpoint's certificate-based authentication means you're not collecting credentials through a web form, which substantially reduces your data handling surface area. And then there's MAC address randomisation. Modern iOS and Android devices randomise their MAC address by default. This breaks traditional captive portal re-authentication flows — the device looks new on every visit. Passpoint is immune to this. Authentication is credential-based, not MAC-based. Your returning guest connects seamlessly on every visit, regardless of what their device's MAC address happens to be that day. This also has a significant implication for your Wi-Fi analytics — if you're using Purple's analytics platform, credential-based authentication restores the accuracy of your returning visitor data. --- IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — approximately 2 minutes Let me give you the practical deployment picture. The infrastructure requirements are more involved than a captive portal, but they're well within reach for any organisation running enterprise-class hardware. You need Passpoint-certified access points — most enterprise APs from Cisco, Aruba, Ruckus, and Ubiquiti support this today. You need a RADIUS server with EAP support, AAA infrastructure for credential management, and ideally an OSU — Online Sign-Up — server for self-service profile provisioning. The configuration work centres on four elements: your ANQP settings, which define what the AP advertises pre-association; your Roaming Consortium OIs; your NAI realm definitions, which tell devices which EAP methods you support; and your venue information, which is used by devices to display context about the network. My strongest recommendation for most venues is a dual SSID strategy. Run a Passpoint SSID for returning guests and enrolled users, and maintain a captive portal SSID for first-time visitors. Use the captive portal as an onboarding funnel — present the option to install a Passpoint profile at the end of the first-visit authentication flow. This progressive onboarding model gives you the best of both worlds: easy first access, seamless return visits. Now, the pitfalls. The most common deployment failure I see is treating Passpoint as a drop-in replacement for captive portals without building the onboarding journey. If guests don't know how to install a profile, or if the OSU flow is clunky, adoption stalls. Invest in the provisioning experience. The second pitfall is certificate management. If you're using EAP-TLS with device certificates, you need a robust PKI lifecycle. Expired certificates will silently break authentication for affected devices — and your helpdesk will be the last to know. Automate certificate renewal and monitor expiry proactively. Third: don't neglect legacy device support. Passpoint requires iOS 7 or later, Android 6 or later, and Windows 10 or later. That covers the vast majority of modern devices, but IoT devices and some older corporate-issued hardware will need alternative access paths. --- RAPID-FIRE Q AND A — approximately 1 minute Does Passpoint work with existing access points? If they're enterprise-class hardware from the last five years, almost certainly yes — check for Wi-Fi Alliance Passpoint certification in the spec sheet. Can I still collect guest data with Passpoint? Yes, but the mechanism shifts. Data collection happens at profile provisioning time — in the OSU flow or app-based enrolment — rather than at every login. This is actually more GDPR-friendly, as consent is captured once, explicitly. What about venues that want branded splash pages? Passpoint connections are invisible by design, so traditional splash pages don't apply. However, you can trigger in-app notifications or push messages post-connection if you have a loyalty app integration. Some operators use a hybrid model where the first visit still goes through a branded portal before Passpoint enrolment. Is OpenRoaming free to join? The settlement-free tier of OpenRoaming, using the 5A-03-BA OI, is available at no cost through the Wireless Broadband Alliance. Commercial tiers with analytics and monetisation features are available through WBA members. --- SUMMARY AND NEXT STEPS — approximately 1 minute To summarise: Passpoint is not a future technology — it's a mature, standards-based protocol that is already deployed at major airports, hotel chains, and stadiums globally. The question for your organisation is not whether to adopt it, but when and how. If you're running a hotel group, a retail chain, or a large venue with recurring visitors, the ROI case is clear: reduced helpdesk burden, improved guest satisfaction, compliance risk mitigation, and accurate analytics data that isn't broken by MAC randomisation. Your next steps are straightforward. First, audit your current AP estate for Passpoint certification. Second, evaluate your RADIUS infrastructure and determine whether you need an OSU server for self-service provisioning. Third, design your dual SSID strategy and onboarding journey. And fourth, if you're considering OpenRoaming federation, engage with the Wireless Broadband Alliance or a platform provider like Purple who can handle the federation plumbing on your behalf. This is Purple's Technical Briefing on Passpoint and Hotspot 2.0. For the full written guide, architecture diagrams, and worked deployment examples, visit purple.ai. Thank you for listening.

header_image.png

Resumo Executivo

Para o local empresarial moderno, o atrito é uma desvantagem competitiva. Os Captive Portal tradicionais, embora tenham sido o padrão para acesso à rede de convidados, agora representam um gargalo operacional significativo e uma fonte de frustração persistente para o usuário. O Passpoint, também conhecido como Hotspot 2.0, transforma fundamentalmente esse paradigma ao substituir a autenticação manual baseada na web por um roaming contínuo, semelhante ao celular. Ao aproveitar o padrão IEEE 802.11u e a criptografia WPA3-Enterprise, o Passpoint permite que os dispositivos dos convidados descubram, autentiquem e se conectem a redes Wi-Fi empresariais de forma automática e segura.

Para líderes de TI nos setores de Hospitalidade , Varejo e grandes locais públicos, a transição para o Passpoint não é mais opcional. A randomização de endereço MAC padrão implementada em dispositivos iOS e Android modernos quebrou efetivamente a lógica de reautenticação dos Captive Portal legados, o que significa que os convidados que retornam aparecem como novos dispositivos a cada visita. O Passpoint resolve isso autenticando o perfil de credencial do usuário em vez de seu endereço de hardware. Este guia detalha a arquitetura técnica do Passpoint, o impacto comercial da implantação e um framework de implementação neutro em relação ao fornecedor, projetado para melhorar a experiência de Wi-Fi para Convidados e, ao mesmo tempo, reduzir a carga de trabalho do suporte técnico.

Aprofundamento Técnico

O Problema da Seleção de Rede e o 802.11u

Em implantações de Wi-Fi legadas, os dispositivos dependem de um mecanismo fundamentalmente frágil para a seleção de rede: a varredura de Identificadores de Conjunto de Serviços (SSID) conhecidos. Essa abordagem exige que o usuário tenha se conectado anteriormente à rede ou selecione manualmente a rede em uma lista. Ela não fornece visibilidade pré-associação sobre a postura de segurança da rede, requisitos de autenticação ou disponibilidade de internet upstream. O Passpoint aborda essa limitação por meio da emenda IEEE 802.11u, que introduz o Interworking com Redes Externas.

Em vez de escanear passivamente por SSID, um dispositivo habilitado para Passpoint consulta ativamente a infraestrutura de rede antes de tentar a associação. Quando um ponto de acesso transmite seu beacon, ele inclui um Elemento de Interworking — uma sinalização indicando suporte para 802.11u. O dispositivo cliente detecta essa sinalização e inicia uma solicitação de Generic Advertisement Service (GAS). Encapsulada nesta solicitação está uma consulta de Access Network Query Protocol (ANQP). O dispositivo pergunta à infraestrutura: "Quais Identificadores Organizacionais (OIs) de Consórcio de Roaming você suporta?" Se a resposta do ponto de acesso corresponder a um perfil de credencial armazenado no dispositivo, a autenticação automática prossegue.

passpoint_architecture_overview.png

Arquitetura de Autenticação e Segurança

O Passpoint exige segurança de nível empresarial, eliminando completamente a fase de "rede aberta" inerente às implantações de Captive Portal. A autenticação é tratada via controle de acesso à rede baseado em porta IEEE 802.1X, combinado com um método de Extensible Authentication Protocol (EAP). Os métodos mais prevalentes em implantações empresariais são EAP-TLS (baseado em certificados de cliente e servidor), EAP-TTLS (credenciais tuneladas) e EAP-SIM/AKA (para cenários de offload de celular).

Esta arquitetura fornece autenticação mútua. O dispositivo prova criptograficamente sua identidade para a rede e, crucialmente, a rede prova sua identidade para o dispositivo. Essa verificação mútua é a defesa primária contra pontos de acesso "evil twin" e tentativas de interceptação man-in-the-middle. Além disso, o Passpoint exige criptografia WPA2-Enterprise ou WPA3-Enterprise. O WPA3-Enterprise introduz o modo de segurança de 192 bits e exige o sigilo de encaminhamento (forward secrecy), garantindo que, mesmo que as chaves de sessão sejam comprometidas no futuro, o tráfego histórico permaneça criptografado.

A Federação OpenRoaming

Enquanto o Passpoint define o mecanismo técnico para descoberta e autenticação, o OpenRoaming fornece o framework de confiança. Desenvolvido pela Wireless Broadband Alliance (WBA), o OpenRoaming é uma federação global que permite que Provedores de Identidade (como operadoras de rede móvel, Google ou Apple) e Provedores de Acesso (como hotéis, estádios e redes de varejo) confiem nas credenciais uns dos outros sem exigir acordos bilaterais entre cada entidade.

O OpenRoaming opera em um modelo de Infraestrutura de Chaves Públicas (PKI) hub-and-spoke. As solicitações de autenticação são enviadas por proxy pela federação usando túneis RadSec (RADIUS sobre TLS). Ao transmitir o OI do OpenRoaming livre de custos de liquidação (5A-03-BA), um local empresarial pode fornecer instantaneamente acesso Wi-Fi contínuo e seguro a milhões de usuários globalmente que já possuem um perfil de identidade compatível em seus dispositivos.

Guia de Implementação

A implantação do Passpoint requer uma base de infraestrutura mais sofisticada do que uma rede aberta tradicional, mas os componentes são padrão em ambientes empresariais modernos.

Pré-requisitos de Infraestrutura

  1. Pontos de Acesso Certificados para Passpoint: A infraestrutura sem fio deve suportar as especificações 802.11u e Hotspot 2.0. A grande maioria dos pontos de acesso empresariais fabricados nos últimos cinco anos por fornecedores como Cisco, Aruba e Ruckus atende a esse requisito.
  2. Infraestrutura RADIUS/AAA: Um servidor RADIUS robusto capaz de lidar com autenticação EAP e rotear solicitações para os repositórios de identidade apropriados. Se estiver participando do OpenRoaming, o servidor RADIUS deve suportar RadSec para proxy seguro.
  3. Servidor de Inscrição Online (OSU): Para ambientes que emitem suas próprias credenciais (em vez de depender apenas de identidades federadas), um servidor OSU fornece o mecanismo para provisionar perfis Passpoint com segurança para dispositivos de convidados.

A Estratégia de SSID Duplo

O modelo de implantação mais eficaz para locais em transição para o Passpoint é a estratégia de SSID duplo. Essa abordagem mantém um SSID de Captive Portal tradicional para o onboarding inicial, enquanto fornece um SSID Passpoint para conexões subsequentes contínuas.

Quando um convidado se conecta ao SSID do Captive Portal pela primeira vez, ele conclui o fluxo de autenticação padrão (por exemplo, aceitando termos e condições, fornecendo um endereço de e-mail). Após a autenticação bem-sucedida, o portal apresenta uma opção para baixar um perfil Passpoint. Uma vez instalado, o dispositivo preferirá automaticamente o SSID Passpoint seguro em todas as visitas futuras. Este modelo de onboarding progressivo garante a acessibilidade para dispositivos legados enquanto migra a maioria dos usuários para a rede Passpoint segura e sem atrito.

passpoint_vs_captive_portal_comparison.png

Melhores Práticas

Ao projetar uma arquitetura Passpoint, os líderes de TI devem aderir a várias melhores práticas críticas para garantir estabilidade operacional e segurança.

Em primeiro lugar, a gestão do ciclo de vida dos certificados é fundamental. Se estiver utilizando EAP-TLS, a expiração dos certificados do cliente ou do servidor resultará em falhas de autenticação silenciosas que são difíceis de diagnosticar pelos suportes técnicos de linha de frente. Implemente protocolos automatizados de renovação de certificados e monitoramento proativo. Como destacado em nosso guia sobre Avaliação de Postura de Dispositivo para Controle de Acesso à Rede , a visibilidade robusta do endpoint é essencial ao gerenciar o acesso baseado em certificados.

Em segundo lugar, garanta a compatibilidade com dispositivos legados. Embora iOS 7+, Android 6+ e Windows 10+ suportem nativamente o Passpoint, certos dispositivos IoT, hardware legado e dispositivos estritamente gerenciados por empresas podem não ter suporte. A estratégia de SSID duplo mitiga esse risco, fornecendo um método de acesso alternativo.

Em terceiro lugar, ao configurar elementos ANQP, certifique-se de que as Informações do Local sejam precisas e descritivas. Esses metadados são frequentemente exibidos pelo sistema operacional do dispositivo cliente para fornecer contexto sobre a rede à qual o usuário está se conectando.

Solução de Problemas e Mitigação de Riscos

A complexidade do Passpoint introduz domínios de falha específicos que diferem das implantações de Captive Portal.

Modo de Falha 1: Tempo de Espera ou Inacessibilidade do RADIUS Se o servidor RADIUS local não conseguir alcançar o Provedor de Identidade upstream (especialmente em cenários federados de OpenRoaming), o handshake EAP expirará. Mitigação: Implemente infraestrutura RADIUS redundante e garanta um monitoramento robusto dos túneis RadSec. Revise nossa documentação técnica sobre RadSec: Protegendo o tráfego de autenticação RADIUS com TLS para orientação de configuração.

Modo de Falha 2: Falhas no Provisionamento de Perfil Os usuários podem encontrar erros ao tentar baixar o perfil Passpoint do servidor OSU, muitas vezes devido a limitações do navegador do Captive Portal em dispositivos móveis. Mitigação: Projete o fluxo do Captive Portal para sair do assistente de rede cativa (CNA) para o navegador nativo do sistema do dispositivo antes de iniciar o download do perfil.

Modo de Falha 3: Impacto da Randomização de MAC nas Análises Embora o Passpoint resolva a quebra de autenticação causada pela randomização de MAC, as plataformas de análise legadas que dependem exclusivamente de endereços MAC ainda relatarão contagens de visitantes imprecisas. Mitigação: Integre os logs de autenticação RADIUS com sua plataforma de Análise de WiFi . Ao rastrear identificadores de credenciais exclusivos (como a Identidade de Usuário Cobrável ou NAI anonimizado) em vez de endereços MAC, os locais podem restaurar métricas precisas de fluxo de pessoas e fidelidade.

ROI e Impacto nos Negócios

O caso de negócio para a implantação do Passpoint baseia-se em três pilares mensuráveis: eficiência operacional, redução de riscos e experiência do usuário.

Do ponto de vista operacional, a eliminação do atrito do Captive Portal correlaciona-se diretamente com uma redução nos chamados de suporte de TI relacionados à conectividade Wi-Fi. Em grandes ambientes de Saúde ou Transporte , isso representa uma economia de custos significativa.

Em relação à mitigação de riscos, a mudança de redes abertas para a criptografia WPA3-Enterprise reduz substancialmente a exposição de responsabilidade do local. Para ambientes de varejo sujeitos ao PCI DSS, a redução na área de superfície de tratamento de dados (ao eliminar a coleta de credenciais baseada na web) simplifica as auditorias de conformidade.

Finalmente, a melhoria na experiência do usuário é profunda. Na hospitalidade, estudos mostram consistentemente que um Wi-Fi contínuo e confiável é um dos principais impulsionadores da satisfação dos hóspedes e das reservas repetidas. Ao implementar o Passpoint, os locais oferecem uma experiência de conectividade que reflete a confiabilidade das redes celulares, transformando o Wi-Fi de um serviço utilitário frustrante em uma comodidade premium e transparente.

deployment_decision_framework.png

Termos-Chave e Definições

IEEE 802.11u

The wireless networking standard amendment that enables Interworking with External Networks, allowing devices to query APs before associating.

When configuring wireless controllers, engineers must enable 802.11u to allow devices to discover Passpoint capabilities.

ANQP (Access Network Query Protocol)

A query and response protocol used by devices to discover network services, roaming agreements, and venue information before connecting.

IT teams configure ANQP profiles on the wireless controller to broadcast their supported Roaming Consortium OIs and NAI Realms.

Roaming Consortium OI

An Organisational Identifier broadcast by the access point that indicates which identity providers or federations the network supports.

If an enterprise joins OpenRoaming, they must ensure their APs broadcast the specific OpenRoaming OI (5A-03-BA).

OSU (Online Sign-Up)

A standardized process and server infrastructure for securely provisioning Passpoint credentials and certificates to a user's device.

When building a self-service onboarding flow for a loyalty programme, developers will integrate with an OSU server to push the profile to the device.

RadSec

A protocol that encapsulates RADIUS authentication traffic within a TLS tunnel to ensure secure transmission over untrusted networks.

Required when proxying authentication requests from a local venue to a cloud-based OpenRoaming hub.

NAI Realm

Network Access Identifier Realm; indicates the domain of the user and the specific EAP authentication methods supported by the network.

Configured alongside ANQP to tell client devices whether the network requires EAP-TLS, EAP-TTLS, or EAP-SIM.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; a highly secure authentication method requiring both client and server certificates.

Often used in enterprise employee Wi-Fi deployments where IT can push certificates to managed devices via MDM.

MAC Address Randomisation

A privacy feature in modern mobile operating systems that generates a fake, temporary hardware address for each Wi-Fi network connection.

The primary catalyst driving venues away from captive portals, as it breaks the ability to recognize returning visitors based on their hardware.

Estudos de Caso

A 400-room enterprise hotel chain is experiencing a high volume of helpdesk tickets from returning guests who complain they must manually reconnect to the Wi-Fi in the lobby, restaurant, and their rooms, despite having connected previously. The hotel currently uses a traditional open SSID with a captive portal. How should the network architect resolve this?

The architect should implement a Dual-SSID strategy. First, deploy a secure Passpoint SSID broadcasting the hotel's specific Roaming Consortium OI. Second, modify the existing captive portal on the open SSID to serve as an onboarding funnel. When a guest logs in via the portal, they are prompted to download a Passpoint configuration profile to their device. Once installed, the device will automatically and securely authenticate via 802.1X/EAP to the Passpoint SSID as they move between the lobby, restaurant, and room, eliminating manual re-authentication.

Notas de Implementação: This approach directly addresses the friction caused by MAC address randomisation breaking captive portal session persistence. By using the captive portal to provision the profile, the hotel ensures a smooth transition for users while maintaining an access path for legacy devices that do not support Passpoint.

A national retail chain wants to offer secure, seamless Wi-Fi across its 500 locations to drive loyalty app engagement. However, managing custom certificates or individual credentials for millions of potential customers is deemed operationally unfeasible. What is the recommended deployment architecture?

The retailer should deploy Passpoint and federate with OpenRoaming. By configuring their access points to broadcast the settlement-free OpenRoaming OI (5A-03-BA) and establishing RadSec tunnels from their RADIUS infrastructure to an OpenRoaming hub, the retailer allows any customer with a compatible identity provider profile (such as a modern Samsung device or a mobile carrier profile) to connect automatically. The retailer can then integrate this with their loyalty app to trigger push notifications upon successful network association.

Notas de Implementação: Federation via OpenRoaming is the optimal solution for scale. It offloads the burden of identity management and credential provisioning to established Identity Providers, allowing the retailer to focus on the access layer and the resulting engagement analytics.

Análise de Cenário

Q1. A hospital IT director wants to deploy Passpoint to ensure doctors' mobile devices connect securely to the clinical network, while patients connect to a separate guest network. The doctors use unmanaged personal devices (BYOD). Which EAP method and provisioning strategy should the architect recommend?

💡 Dica:Consider the balance between security and the operational overhead of managing certificates on unmanaged personal devices.

Mostrar Abordagem Recomendada

The architect should recommend EAP-TTLS with an Online Sign-Up (OSU) server provisioning flow. EAP-TLS requires client certificates, which are operationally difficult to deploy and manage on unmanaged BYOD devices. EAP-TTLS allows the doctors to authenticate securely using their existing Active Directory/LDAP credentials (username and password) tunneled inside a secure TLS session. The OSU server can provide a self-service portal where doctors log in once to download the profile, enabling automatic connection thereafter.

Q2. During a Passpoint deployment pilot, Android devices are successfully authenticating and connecting, but iOS devices are failing during the EAP handshake. The RADIUS logs show 'Unknown CA' errors. What is the most likely cause and solution?

💡 Dica:Apple's iOS has strict requirements regarding the trust chain for RADIUS server certificates.

Mostrar Abordagem Recomendada

The most likely cause is that the RADIUS server is using a self-signed certificate or a certificate issued by a private internal Certificate Authority (CA) that the iOS devices do not inherently trust. Android devices sometimes allow users to bypass or ignore certificate validation (though this is poor security practice), whereas iOS strictly enforces it for Passpoint profiles. The solution is to replace the RADIUS server certificate with one issued by a publicly trusted commercial CA (e.g., DigiCert, Let's Encrypt), or ensure the private CA root certificate is explicitly bundled within the Passpoint configuration profile pushed to the iOS devices.

Q3. A stadium venue has implemented OpenRoaming. A user with a valid Google OpenRoaming profile walks into the venue, but their device does not attempt to connect automatically. What specific configuration on the stadium's wireless LAN controller should the network engineer verify first?

💡 Dica:How does the device know that the access point supports the OpenRoaming federation before it attempts to connect?

Mostrar Abordagem Recomendada

The engineer should verify the ANQP configuration, specifically checking that the Access Points are broadcasting the correct Roaming Consortium Organisational Identifier (OI) for OpenRoaming, which is 5A-03-BA. If this OI is not included in the AP's beacon or GAS response, the device will not recognize the network as an OpenRoaming participant and will not attempt to authenticate.

Principais Conclusões

  • Passpoint (Hotspot 2.0) replaces manual captive portal logins with automatic, cellular-like Wi-Fi roaming.
  • It uses IEEE 802.11u for pre-association network discovery and WPA3-Enterprise for encrypted, mutually authenticated connections.
  • Passpoint solves the MAC address randomisation issue by authenticating the user's credential profile rather than their hardware address.
  • OpenRoaming is the global federation framework that allows Passpoint devices to connect across different venues seamlessly.
  • A dual-SSID strategy (Captive Portal for onboarding, Passpoint for returning users) is the recommended deployment model for enterprise venues.
Sobre nós
Carreiras
Relatório B Corp
Planos
Recursos de WiFi para Visitantes
Preços de WiFi para Visitantes
Serviços Profissionais
Agendar uma demonstração
Políticas
Jurídico
Política de privacidade
Termos de uso
Meus dados
Política de cookies
SLA Padrão
Suporte e Orientação
Calculadora de ROI
Calculadora de Preços
Suporte Purple
WhatsApp
© 2026 Purple. Todos os direitos reservados.
Gerenciar preferências de cookies