Skip to main content
Português
Preços

Autenticação EAP-TLS Explicada: Segurança WiFi Baseada em Certificados

O EAP-TLS é o padrão de excelência para a segurança WiFi empresarial, substituindo a autenticação vulnerável baseada em palavras-passe por certificados digitais robustos e mutuamente autenticados. Este guia oferece aos gestores de TI e arquitetos de rede uma análise técnica aprofundada sobre o handshake EAP-TLS, requisitos de arquitetura e estratégias práticas de implementação para ambientes de dispositivos mistos.

📖 6 min de leitura📝 1,285 palavras🔧 2 exemplos3 perguntas📚 8 termos-chave

🎧 Ouça este Guia

Ver Transcrição
Welcome to the Purple technical briefing. I’m your host, and today we are diving deep into EAP-TLS authentication—the gold standard for certificate-based WiFi security. If you’re an IT manager, network architect, or CTO dealing with enterprise environments like hotels, retail chains, or public-sector venues, this session is for you. We’ll cover what EAP-TLS is, how it compares to older methods like PEAP, and exactly what you need to deploy it successfully across a mixed-device fleet. Let's start with the context. Why are we talking about EAP-TLS right now? For years, many organisations relied on PEAP-MSCHAPv2—essentially, username and password authentication over WiFi. But in today’s threat landscape, passwords are a massive vulnerability. They can be phished, shared, or stolen. Enter EAP-TLS. EAP stands for Extensible Authentication Protocol, and TLS is Transport Layer Security. Together, they create a mutual authentication framework using X.509 digital certificates instead of passwords. Think of it like a digital passport control. The network access point, or authenticator, asks the device for its ID. The device doesn't just hand over a password; it presents a cryptographically signed certificate. But crucially, it’s mutual. The server also presents its certificate to the device. Both sides verify each other against a trusted Certificate Authority before any network access is granted. This eliminates credential theft and makes man-in-the-middle attacks virtually impossible. Now, let's get into the technical deep-dive. How does the handshake actually work? When a device, known as the supplicant, tries to connect, the Access Point blocks all traffic except EAP messages. The AP sends an EAP-Request/Identity. The device responds, and the AP forwards this to the RADIUS server. The RADIUS server then initiates a TLS tunnel. It sends its server certificate down to the device. The device validates this certificate. If it checks out, the device sends its own client certificate back up the tunnel. The RADIUS server validates the client certificate against the CA or Identity Provider. Once both sides are satisfied, the TLS handshake completes, a master secret is established for encryption, and the RADIUS server sends an Access-Accept message. The AP then opens the port, and the device is on the network. So, how does this compare to PEAP? PEAP only requires a server-side certificate. The client still uses a password inside the TLS tunnel. This makes PEAP easier to deploy initially, especially for unmanaged devices, but it leaves you vulnerable to credential harvesting if a user connects to a spoofed AP. EAP-TLS requires certificates on both sides. Yes, it’s slightly more complex to deploy, but the security posture is infinitely stronger. It’s why EAP-TLS is the recommended standard for PCI DSS compliance in retail, and ISO 27001 in enterprise environments. Let’s talk implementation. Deploying EAP-TLS requires three main components: a Public Key Infrastructure or PKI to issue certificates, a RADIUS server to handle authentication, and a Mobile Device Management or MDM platform to distribute the certificates to your endpoints. If you’re managing a fleet of corporate laptops and smartphones, your MDM is your best friend here. You configure a profile that pushes both the Root CA certificate and the individual client certificate to the device, along with the WiFi profile. The user doesn't have to do anything. They just open their laptop, and it connects securely. However, there are pitfalls to avoid. The biggest one is certificate lifecycle management. Certificates expire. If you don't have an automated renewal process via your MDM or an automated enrollment protocol like SCEP or EST, you will have a bad day when all your devices drop off the network simultaneously. Another common issue is the dreaded 'mixed-device fleet'. What do you do with BYOD or guest devices? You can't easily push certificates to unmanaged devices. For guests, you use a captive portal—like Purple’s Guest WiFi solution. For BYOD staff, you might use an onboarding portal that temporarily provisions a certificate, or you might keep them on a separate, less privileged SSID using a different authentication method. Time for a rapid-fire Q&A based on common client questions. Question one: Do I need to build my own on-premise CA? Answer: Not anymore. Cloud PKI solutions integrated with Azure AD or Okta are much easier to manage and scale. Question two: Does EAP-TLS impact roaming performance? Answer: The initial handshake is slightly heavier than PEAP due to certificate exchange, but once connected, fast roaming protocols like 802.11r handle AP transitions seamlessly. Question three: Can I use EAP-TLS for IoT devices? Answer: Yes, if the device supports 802.1X and certificate installation. But many legacy IoT devices don't, which is why you often need a separate MAC Auth Bypass or pre-shared key network for those specific devices. To summarise: EAP-TLS is the definitive standard for secure enterprise WiFi. It replaces vulnerable passwords with robust, mutually authenticated digital certificates. While the initial setup requires coordination between your PKI, RADIUS, and MDM, the long-term benefits in security, compliance, and user experience are undeniable. It completely mitigates credential theft and provides a seamless, zero-touch connection experience for managed devices. Thank you for joining this Purple technical briefing. For more insights on securing your network and leveraging WiFi analytics, visit our resource center.

header_image.png

Resumo Executivo

Para ambientes empresariais que vão desde sedes corporativas a cadeias de Retail e instalações de Healthcare , a proteção do acesso sem fios já não é apenas um requisito operacional — é um mandato de conformidade crítico. Historicamente, as organizações têm dependido do PEAP-MSCHAPv2, que protege um nome de utilizador e uma palavra-passe dentro de um túnel TLS. No entanto, numa era de recolha desenfreada de credenciais e ataques de phishing sofisticados, a autenticação baseada em palavras-passe através de WiFi representa uma vulnerabilidade significativa.

Surge o EAP-TLS (Extensible Authentication Protocol - Transport Layer Security). O EAP-TLS representa o padrão de excelência no controlo de acesso à rede 802.1X. Em vez de depender de palavras-passe geradas pelo utilizador, o EAP-TLS exige a autenticação mútua através de certificados digitais X.509. Tanto o dispositivo cliente como o servidor de autenticação devem provar a sua identidade antes de ser concedido qualquer acesso à rede. Esta abordagem elimina o risco de roubo de credenciais, mitiga ataques man-in-the-middle (MitM) e proporciona uma experiência de ligação simples e sem intervenção (zero-touch) para dispositivos geridos. Este guia de referência técnica explora a mecânica do handshake EAP-TLS, compara-o com métodos legados e descreve uma arquitetura de implementação prática para empresas modernas.

Ouça o nosso podcast de briefing técnico complementar para uma visão geral executiva:

Análise Técnica Aprofundada

O Handshake EAP-TLS Explicado

A vantagem fundamental do EAP-TLS reside no seu rigor criptográfico. O processo de autenticação é uma conversação em várias etapas entre o Suplicante (o dispositivo cliente), o Autenticador (o Ponto de Acesso WiFi ou switch) e o Servidor de Autenticação (normalmente um servidor RADIUS).

eap_tls_handshake_diagram.png

  1. Inicialização: Quando um dispositivo tenta ligar-se ao SSID, o Ponto de Acesso bloqueia todo o tráfego, exceto os frames EAP over LAN (EAPoL). O AP envia um EAP-Request/Identity para o dispositivo.
  2. Resposta de Identidade: O dispositivo responde com um EAP-Response/Identity (frequentemente uma identidade externa anónima para privacidade), que o AP encaminha para o servidor RADIUS.
  3. Estabelecimento do Túnel TLS: O servidor RADIUS inicia o handshake TLS enviando um TLS ServerHello juntamente com o seu próprio certificado digital.
  4. Validação do Servidor: O dispositivo cliente examina o certificado do servidor. Verifica as datas de validade, o subject alternative name (SAN) e, crucialmente, verifica se o certificado foi assinado por uma Autoridade de Certificação (CA) Raiz fidedigna instalada no seu repositório de confiança local.
  5. Apresentação do Certificado do Cliente: Assim que o servidor é validado, o dispositivo cliente envia o seu próprio certificado X.509 (e, opcionalmente, a sua cadeia de certificados) de volta para o servidor RADIUS.
  6. Autenticação Mútua: O servidor RADIUS valida o certificado do cliente face à sua integração com a CA ou Fornecedor de Identidade (IdP). Verifica a revogação (via CRL ou OCSP) e valida a identidade do utilizador ou dispositivo.
  7. Derivação de Chave: Após a validação mútua bem-sucedida, o handshake TLS é concluído. Ambos os lados derivam independentemente uma Master Session Key (MSK).
  8. Acesso à Rede: O servidor RADIUS envia uma mensagem RADIUS Access-Accept para o AP, contendo a MSK. O AP utiliza esta chave para estabelecer as chaves de encriptação WPA2/WPA3 finais (PTK/GTK) com o cliente e abre a porta de rede para o tráfego IP padrão.

EAP-TLS vs. PEAP-MSCHAPv2

Compreender a distinção entre EAP-TLS e PEAP é fundamental para os arquitetos de rede que planeiam uma migração.

eap_tls_vs_peap_comparison.png

Embora o PEAP estabeleça um túnel TLS seguro (autenticação do lado do servidor), a autenticação interna ainda depende do MSCHAPv2, um protocolo baseado em palavra-passe. Se um utilizador se ligar a um Ponto de Acesso malicioso "Evil Twin" e ignorar o aviso do certificado do servidor, a sua palavra-passe em hash pode ser capturada e decifrada offline. O EAP-TLS elimina totalmente este vetor; sem a chave privada correspondente ao certificado do cliente, um atacante não consegue autenticar-se, mesmo que possua a palavra-passe do utilizador.

Guia de Implementação

A implementação do EAP-TLS requer a orquestração de três pilares principais de infraestrutura: a Camada de Rede, a Camada de Autenticação e a Camada de Gestão de Identidade/Endpoints.

eap_tls_deployment_architecture.png

1. Infraestrutura de Chaves Públicas (PKI)

Deve ter um mecanismo para emitir e gerir certificados X.509. Historicamente, isto significava implementar um ambiente on-premise de Microsoft Active Directory Certificate Services (AD CS). Hoje, as arquiteturas modernas tiram partido de soluções de Cloud PKI integradas com Fornecedores de Identidade (IdPs) como o Azure AD, Okta ou Google Workspace. Estas CAs nativas na nuvem simplificam o ciclo de vida de emissão e revogação.

2. Servidor de Autenticação RADIUS

O servidor RADIUS (por exemplo, FreeRADIUS, Cisco ISE, Aruba ClearPass ou RADIUS baseado na nuvem) deve estar configurado para suportar EAP-TLS. Requer o seu próprio certificado de servidor, assinado por uma CA fidedigna por todos os dispositivos cliente. Se estiver a integrar com um IdP moderno, poderá considerar o nosso guia sobre Okta and RADIUS: Extending Your Identity Provider to WiFi Authentication particularmente útil para ligar a identidade na nuvem ao hardware de rede on-premise.

3. Gestão de Dispositivos Móveis (MDM)

O maior obstáculo na implementação do EAP-TLS é o fornecimento de certificados aos dispositivos cliente. A instalação manual não é escalável. Deve utilizar uma plataforma de MDM (como o Microsoft Intune, Jamf Pro ou VMware Workspace ONE) para automatizar este processo. O perfil de MDM deve implementar:

  • O certificado da CA Raiz (para confiar no servidor RADIUS).
  • O Certificado de Cliente individual (frequentemente gerado através dos protocolos SCEP ou EST).
  • O perfil WiFi configurado para utilizar WPA2/WPA3-Enterprise, EAP-TLS, e referenciando especificamente os certificados implementados.

Boas Práticas

  1. Automatizar a Gestão do Ciclo de Vida dos Certificados: Os certificados expiram. Se não tiver um mecanismo de renovação automatizado (como SCEP/EST via MDM), os dispositivos deixarão de se ligar à rede silenciosamente quando os seus certificados expirarem, levando a picos massivos de pedidos de suporte. Defina períodos de validade que equilibrem a segurança (por exemplo, 1 ano) com a carga operacional.
  2. Impor Validação Estrita do Servidor: Configure os perfis WiFi dos clientes para validar estritamente o certificado do servidor RADIUS. Especifique os nomes exatos dos servidores e as CAs Raiz fidedignas no perfil. Não permita que os utilizadores ignorem avisos de certificados.
  3. Implementar Revogação Robusta: Certifique-se de que o seu servidor RADIUS verifica as Listas de Revogação de Certificados (CRLs) ou utiliza o Online Certificate Status Protocol (OCSP). Quando um funcionário sai ou um dispositivo é perdido, a revogação do certificado deve terminar imediatamente o acesso à rede.
  4. Gerir a Frota de Dispositivos Mistos: O EAP-TLS é perfeito para dispositivos corporativos geridos. No entanto, encontrará dispositivos BYOD (Bring Your Own Device) não geridos e dispositivos de convidados. Para convidados, implemente uma solução de Captive Portal robusta como o Guest WiFi da Purple. Para o BYOD dos funcionários, considere um portal de integração que forneça temporariamente um certificado, ou utilize um SSID separado com um método de autenticação diferente, isolado da rede corporativa principal.

Resolução de Problemas e Mitigação de Riscos

Quando EAP-TLS falha, os sintomas são frequentemente opacos para o utilizador final. O dispositivo simplesmente não se liga. As equipas de TI devem recorrer aos registos do RADIUS para o diagnóstico.

  • Erro: "CA Desconhecida" ou "Raiz Não Fidedigna": O dispositivo cliente não tem o certificado da CA Raiz que assinou o certificado do servidor RADIUS no seu repositório de confiança. Verifique o payload do MDM.
  • Erro: "Certificado Expirado": Ou o certificado do cliente ou o do servidor ultrapassou a sua data NotAfter. Verifique a automação do ciclo de vida do certificado.
  • Erro: "Certificado de Cliente Não Encontrado": O dispositivo está a tentar o EAP-TLS mas não consegue localizar um certificado válido que corresponda aos critérios especificados no perfil WiFi. Certifique-se de que o certificado foi implementado com sucesso pelo MDM e que o Subject Alternative Name (SAN) corresponde ao formato esperado (por exemplo, User Principal Name ou endereço MAC).
  • Desvio de Relógio (Clock Skew): O TLS depende de uma cronometragem precisa. Se o relógio do sistema de um dispositivo estiver significativamente dessincronizado com o servidor RADIUS, a validação do certificado falhará porque os certificados parecerão "ainda não válidos" ou "expirados."

ROI e Impacto no Negócio

A transição para o EAP-TLS representa uma maturação significativa da postura de segurança de uma organização. O principal Retorno sobre o Investimento (ROI) é a mitigação de riscos. Ao eliminar a autenticação WiFi baseada em palavras-passe, reduz drasticamente a superfície de ataque para o roubo de credenciais e o movimento lateral dentro da rede. Isto é particularmente crítico em Hospitality e ambientes empresariais onde a segmentação da rede é primordial.

Além disso, o EAP-TLS melhora a experiência do utilizador final. Uma vez configurada via MDM, a ligação é totalmente zero-touch. Os utilizadores nunca precisam de atualizar as palavras-passe do WiFi quando a sua palavra-passe corporativa expira, reduzindo as chamadas para o suporte relacionadas com problemas de conectividade. Ao combinar o EAP-TLS para dispositivos de funcionários geridos com WiFi Analytics inteligentes e Captive Portals para convidados, os espaços podem alcançar um ambiente sem fios seguro e de alto desempenho que suporta tanto a segurança operacional como o envolvimento do cliente.

Termos-Chave e Definições

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

An 802.1X authentication method that requires mutual authentication using digital certificates on both the client and the server, eliminating the need for passwords.

The most secure standard for enterprise WiFi authentication, widely mandated for compliance in high-security environments.

Supplicant

The client device (laptop, smartphone, tablet) attempting to connect to the secure network.

The supplicant software must support EAP-TLS and have access to the device's certificate store.

Authenticator

The network device (typically a WiFi Access Point or network switch) that facilitates the authentication process by passing EAP messages between the Supplicant and the Authentication Server.

The AP does not perform the authentication itself; it acts as a gatekeeper until the RADIUS server issues an Access-Accept.

RADIUS Server

Remote Authentication Dial-In User Service. The central server that validates the credentials (certificates in the case of EAP-TLS) and authorizes network access.

The RADIUS server integrates with the PKI or Identity Provider to verify the validity and revocation status of the client certificate.

PKI (Public Key Infrastructure)

The framework of roles, policies, hardware, software, and procedures needed to create, manage, distribute, use, store, and revoke digital certificates.

You need a PKI (either on-premise or cloud-based) to issue the certificates required for EAP-TLS.

X.509 Certificate

A standard format for public key certificates, digital documents that securely associate cryptographic key pairs with identities such as websites, individuals, or organizations.

This is the 'digital passport' used in EAP-TLS instead of a password.

SCEP / EST

Simple Certificate Enrollment Protocol / Enrollment over Secure Transport. Protocols used by MDM platforms to automate the request and installation of certificates onto client devices.

Crucial for scaling EAP-TLS deployments, ensuring devices receive and renew certificates without user intervention.

Evil Twin Attack

A rogue WiFi access point that masquerades as a legitimate corporate network to eavesdrop on wireless communications or harvest credentials.

EAP-TLS defeats Evil Twin attacks because the rogue AP cannot present a valid server certificate signed by the company's trusted Root CA.

Estudos de Caso

A large [Retail](/industries/retail) chain with 500 locations needs to secure WiFi access for their corporate-issued point-of-sale (POS) tablets. They currently use a single Pre-Shared Key (PSK) across all stores, which was recently leaked. They use Microsoft Intune for device management. How should they secure the network?

  1. Deploy a Cloud PKI integrated with their Azure AD environment.
  2. Configure Intune to use SCEP (Simple Certificate Enrollment Protocol) to automatically generate and push unique device certificates to each POS tablet.
  3. Push a new WiFi profile via Intune configured for WPA3-Enterprise and EAP-TLS, specifying the new client certificate and the trusted Root CA.
  4. Configure the central RADIUS server to authenticate the tablets based on these certificates.
  5. Once all tablets are successfully authenticating via EAP-TLS, disable the legacy PSK SSID.
Notas de Implementação: This is the optimal approach for managed devices. Moving from a global PSK to EAP-TLS eliminates the risk of a single leaked password compromising the entire network. Using SCEP via Intune ensures zero-touch provisioning, which is essential for scaling across 500 locations without manual IT intervention at each site.

A [Transport](/industries/transport) hub (airport) wants to provide secure WiFi for its operational staff (baggage handlers, security) using managed iPads, while keeping guest traffic completely separate.

  1. Implement EAP-TLS on a dedicated, hidden SSID (e.g., 'Airport-Ops-Secure') for the managed iPads, pushing certificates via their MDM platform.
  2. Ensure the RADIUS server maps these authenticated devices to a specific, restricted VLAN that only has access to necessary operational servers.
  3. Deploy a separate, open SSID (e.g., 'Airport-Free-WiFi') for passengers, utilizing a captive portal for terms-of-service acceptance and bandwidth limiting.
Notas de Implementação: This demonstrates proper network segmentation. EAP-TLS provides strong authentication for the critical operational devices, while the guest network is kept entirely separate. The use of a hidden SSID for operations adds a minor layer of obscurity, but the true security relies on the cryptographic certificates.

Análise de Cenários

Q1. Your organisation is migrating from PEAP to EAP-TLS. During the pilot phase, several Windows laptops fail to connect. The RADIUS logs show 'Unknown CA' errors during the TLS handshake. What is the most likely cause?

💡 Dica:Think about the 'Mutual' part of mutual authentication. What does the client need to trust the server?

Mostrar Abordagem Recomendada

The client devices are missing the Root CA certificate in their local trust store that signed the RADIUS server's certificate. The MDM payload needs to be updated to ensure the Root CA is pushed to the devices alongside the client certificate.

Q2. A hotel wants to use EAP-TLS for all devices, including guest smartphones, to ensure maximum security. Is this a viable strategy?

💡 Dica:Consider the provisioning process for EAP-TLS.

Mostrar Abordagem Recomendada

No, this is not a viable strategy. EAP-TLS requires client certificates to be installed on the device. While this is easy for managed corporate devices via MDM, you cannot force guests to install certificates or MDM profiles on their personal devices. For guests, a captive portal (like Purple Guest WiFi) combined with WPA2/WPA3-Personal (or OWE) is the industry standard.

Q3. You have successfully deployed EAP-TLS. An employee reports their corporate laptop was stolen. What is the immediate technical action required to secure the network?

💡 Dica:How do you invalidate a digital certificate before its expiration date?

Mostrar Abordagem Recomendada

You must revoke the client certificate associated with that specific laptop within your PKI/CA. Ensure that your RADIUS server is configured to check the Certificate Revocation List (CRL) or use OCSP, so that the revoked certificate is immediately rejected upon the next connection attempt.

Principais Conclusões

  • EAP-TLS is the most secure 802.1X authentication method, replacing passwords with mutual certificate-based authentication.
  • It eliminates the risk of credential theft and Evil Twin attacks inherent in password-based protocols like PEAP-MSCHAPv2.
  • A successful deployment requires coordination between a PKI (to issue certificates), a RADIUS server (to authenticate), and an MDM platform (to provision devices).
  • Automated certificate lifecycle management (via SCEP/EST) is critical to prevent mass connectivity outages when certificates expire.
  • EAP-TLS is ideal for managed corporate devices; unmanaged BYOD and guest devices require separate onboarding or captive portal strategies.
  • Implementing EAP-TLS strongly aligns with compliance mandates like PCI DSS and ISO 27001 by securing network access control.
Sobre nós
Carreiras
Relatório B Corp
Planos
Funcionalidades de WiFi para Convidados
Preços de WiFi para Convidados
Serviços Profissionais
Agendar uma Demonstração
Políticas
Jurídico
Política de privacidade
Termos de utilização
Os meus dados
Política de cookies
SLA Padrão
Suporte e Aconselhamento
Calculadora de ROI
Calculadora de Preços
Suporte Purple
WhatsApp
© 2026 Purple. Todos os direitos reservados.
Gerir Preferências de Cookies