Automatizando a Segurança de WiFi Corporativa: O Guia de Implantação de Certificados SCEP
Este guia técnico explica como automatizar a segurança de WiFi corporativa usando a implantação de certificados SCEP. Ele fornece um blueprint arquitetônico detalhado e as etapas de implementação para implantar a autenticação 802.1X EAP-TLS em redes corporativas e de convidados.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Visão Técnica Aprofundada: Arquitetura SCEP e EAP-TLS
- As Vantagens do SCEP sobre o PKCS
- Autenticação 802.1X e EAP-TLS
- Guia de Implementação: A Sequência de Implantação
- Passo 1: Implantar o Certificado Raiz Confiável
- Passo 2: Configurar o Perfil de Certificado SCEP
- Passo 3: Implantar o Perfil de WiFi 802.1X
- Melhores Práticas para Ambientes Corporativos
- Proteja o Gateway SCEP
- Imponha uma Verificação Estrita de CRL
- Integração de Hardware
- Resolução de Problemas e Mitigação de Riscos
- Falhas de Dependência
- Erros de Inscrição
- ROI e Impacto no Negócio

Resumo Executivo
Para empresas nos setores de hotelaria, varejo e setor público, depender de chaves pré-compartilhadas ou de um captive portal básico para acesso à rede introduz vulnerabilidades graves de segurança. A arquitetura de rede moderna exige autenticação 802.1X usando EAP-TLS, garantindo que cada dispositivo seja verificado criptograficamente antes de acessar a rede. Para gerentes de TI e arquitetos de rede, o desafio reside em implantar com eficiência certificados de cliente exclusivos em milhares de dispositivos Windows, iOS e Android.
Este guia fornece o modelo arquitetônico definitivo e a estratégia de implementação passo a passo para a implantação automatizada de certificados WiFi usando o Simple Certificate Enrolment Protocol (SCEP). Ao integrar sua plataforma de gerenciamento de dispositivos móveis (MDM) com um gateway SCEP e uma Autoridade Certificadora (CA), você pode enviar silenciosamente certificados raiz e de cliente confiáveis para endpoints gerenciados. Exploramos as diferenças críticas entre SCEP e PKCS, detalhamos a sequência precisa de etapas necessárias para uma implantação bem-sucedida e descrevemos estratégias práticas de mitigação de riscos para manter sua rede WiFi segura e eficiente.
Ouça o podcast de briefing complementar:
Visão Técnica Aprofundada: Arquitetura SCEP e EAP-TLS
Ao projetar uma estratégia de implantação de certificados WiFi corporativos, a decisão arquitetônica central é como os certificados são entregues com segurança. O padrão do setor para esse processo é o SCEP. O SCEP automatiza o processo de inscrição de certificados, permitindo que os dispositivos solicitem certificados com segurança de uma Autoridade Certificadora usando um protocolo padronizado.
As Vantagens do SCEP sobre o PKCS
Embora plataformas como o Microsoft Intune suportem tanto SCEP quanto Public Key Cryptography Standards (PKCS), seus mecanismos de operação são fundamentalmente diferentes. No fluxo de trabalho do SCEP, o serviço MDM instrui o endpoint a gerar seu próprio par de chaves pública e privada. O dispositivo então cria uma Solicitação de Assinatura de Certificado (CSR) e a envia para sua CA por meio de um servidor Network Device Enrolment Service (NDES). A CA assina a solicitação e retorna o certificado de chave pública para o dispositivo.
A principal vantagem de segurança do SCEP é que a chave privada nunca sai do dispositivo. Ela é gerada localmente e armazenada no enclave seguro do dispositivo. Isso torna o SCEP o método fortemente recomendado para autenticação 802.1X. Por outro lado, com o PKCS, a CA gera ambas as chaves de forma centralizada e as transmite pela rede. O PKCS é mais adequado para casos de uso que exigem custódia de chaves (como criptografia de e-mail S/MIME) em vez de autenticação de rede.

Autenticação 802.1X e EAP-TLS
O padrão IEEE 802.1X fornece a estrutura para o gerenciamento centralizado de acesso à rede. Ele define como os pacotes Extensible Authentication Protocol (EAP) são transportados sobre a LAN (EAPoL) para permitir a autenticação entre o cliente, o ponto de acesso e o servidor de autenticação - normalmente um servidor RADIUS.
O EAP-TLS é o protocolo de autenticação mais seguro para redes 802.1X. Ele exige autenticação mútua: o cliente valida o certificado do servidor RADIUS e o servidor RADIUS valida o certificado do cliente. Esse processo de validação rigoroso garante que apenas usuários autenticados e autorizados em dispositivos registrados tenham acesso, protegendo a rede contra ameaças como ataques Evil Twin.
Guia de Implementação: A Sequência de Implantação
Configurar com sucesso a implantação automatizada de certificados para 802.1X exige adesão estrita a uma sequência específica. As dependências de perfil ditam que a confiança deve ser estabelecida antes que a autenticação seja configurada. Isso se aplica independentemente de você estar usando Microsoft Intune, Jamf ou outra plataforma MDM.
Passo 1: Implantar o Certificado Raiz Confiável
Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, ele deve confiar na Autoridade Certificadora (CA) que emite os certificados.
- Exporte seu certificado de CA raiz e quaisquer certificados de CA intermediária.
- Na sua plataforma MDM, crie um perfil de certificado confiável.
- Faça o upload dos arquivos de certificado e implante este perfil nos seus grupos de dispositivos de destino.
Passo 2: Configurar o Perfil de Certificado SCEP
Com a confiança estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter seus certificados de cliente.
- Crie um novo perfil de configuração de certificado SCEP.
- Configure o formato do nome do assunto. Para autenticação baseada em usuário, use o User Principal Name (UPN). Para autenticação de dispositivo, use o ID do dispositivo.
- Defina o uso da chave para assinatura digital e criptografia de chave.
- Especifique a autenticação do cliente para o uso estendido da chave.
- Vincule este perfil ao perfil de certificado raiz confiável criado no Passo 1.
- Forneça a URL externa do seu gateway SCEP ou servidor NDES.
Passo 3: Implantar o Perfil de WiFi 802.1X
O passo final é enviar a configuração de WiFi que vincula o certificado ao SSID da rede.
- Crie um perfil de configuração de WiFi.
- Insira o SSID exatamente como transmitido pelos seus pontos de acesso.
- Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
- Defina o tipo de EAP como EAP-TLS.
- Selecione o perfil de certificado SCEP criado na Etapa 2 para autenticação de clientes.
- Especifique o certificado raiz confiável para validação do servidor, garantindo que os dispositivos se conectem apenas ao seu servidor RADIUS legítimo.

Melhores Práticas para Ambientes Corporativos
Ao implementar a implantação de certificados SCEP, siga estas melhores práticas independentes de fornecedor para garantir conformidade e confiabilidade.
Proteja o Gateway SCEP
O gateway SCEP ou servidor NDES deve estar acessível pela internet para que os dispositivos remotos possam provisionar certificados antes de chegarem ao local. No entanto, expor um servidor interno diretamente à internet apresenta um risco de segurança significativo. Publique a URL usando um proxy de aplicativo. Isso fornece acesso remoto seguro sem abrir portas de firewall de entrada e permite aplicar políticas de acesso condicional ao fluxo de inscrição.
Imponha uma Verificação Estrita de CRL
A implantação de certificados é apenas metade da equação de segurança; a revogação é igualmente crítica. Se um funcionário sair, desativar sua conta de diretório pode não revogar imediatamente seu acesso WiFi se o certificado do cliente continuar válido. Configure seu servidor RADIUS para impor uma verificação estrita de Lista de Revogação de Certificados (CRL). Garanta que seus pontos de distribuição de CRL estejam altamente disponíveis; se o servidor RADIUS não puder acessar a CRL, a autenticação falhará, causando uma interrupção generalizada do serviço.
Integração de Hardware
Garanta que sua infraestrutura de rede suporte os protocolos necessários. O Purple integra-se perfeitamente com o hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configure esses sistemas para encaminhar solicitações de autenticação para sua infraestrutura RADIUS centralizada.
Resolução de Problemas e Mitigação de Riscos
Mesmo com um planejamento cuidadoso, as implantações de certificados podem encontrar problemas. Abaixo estão os modos de falha comuns e as estratégias de mitigação.
Falhas de Dependência
Um problema comum é quando um dispositivo recebe os certificados raiz confiável e SCEP, mas o perfil de WiFi falha ao ser aplicado. Isso é quase sempre causado por uma incompatibilidade de direcionamento de grupo dentro do MDM. Se o perfil SCEP for atribuído a um grupo de usuários enquanto o perfil de WiFi for atribuído a um grupo de dispositivos, o MDM não conseguirá resolver a dependência. Audite suas atribuições e garanta que todos os perfis relacionados sejam implantados exatamente nos mesmos grupos de diretório.
Erros de Inscrição
Se os dispositivos não conseguirem recuperar os certificados SCEP e os logs do gateway mostrarem erros HTTP 403, a conta de serviço pode não ter as permissões necessárias no modelo de certificado, ou a filtragem de URL no firewall pode estar bloqueando os parâmetros específicos de query string usados pelo SCEP. Verifique se a conta do conector tem permissões de leitura e inscrição no modelo de CA e verifique os logs do firewall para garantir que a URL do SCEP não esteja sendo bloqueada.
ROI e Impacto no Negócio
A transição para a implantação automatizada de certificados 802.1X oferece retornos mensuráveis tanto em segurança quanto em operações.
O WiFi baseado em senha gera um grande volume de chamados de suporte devido à expiração de senhas, bloqueios e erros de digitação. A autenticação baseada em certificado é invisível para o usuário e normalmente reduz o volume de chamados de helpdesk relacionados a WiFi de 70% a 80%.
Além disso, o EAP-TLS elimina o risco de roubo de credenciais e ataques man-in-the-middle. Isso é essencial para a conformidade com frameworks como PCI DSS e GDPR. Para operações de varejo multi-site ou grandes redes de hotéis, a automatização deste processo garante uma experiência de provisionamento consistente e sem toque (zero-touch) desde o primeiro dia, protegendo o perímetro da rede e reduzindo significativamente a sobrecarga operacional.
Definições principais
SCEP
Simple Certificate Enrolment Protocol. Um protocolo que automatiza o processo de solicitação e instalação de certificados digitais em dispositivos, onde a chave privada é gerada localmente.
O método recomendado para implantar certificados de autenticação WiFi em escala via plataformas MDM.
PKCS
Public Key Cryptography Standards. Um método de implantação em que a Autoridade Certificadora gera as chaves pública e privada e as transmite para o endpoint.
Frequentemente usado para criptografia de e-mail S/MIME, mas menos ideal para WiFi devido à transmissão da chave privada pela rede.
802.1X
Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.
A linha de base obrigatória para a segurança de WiFi corporativa, substituindo chaves pré-compartilhadas vulneráveis.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação que exige que tanto o cliente quanto o servidor apresentem certificados digitais válidos.
Considerado o método de autenticação mais seguro para redes 802.1X, eliminando vulnerabilidades baseadas em senha.
NDES
Network Device Enrolment Service. Uma função de servidor que atua como um gateway, permitindo que dispositivos sem credenciais de domínio obtenham certificados via SCEP.
Um componente de infraestrutura obrigatório ao implementar a implantação de certificados SCEP com o Microsoft Intune.
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e tarifação.
O servidor que valida os certificados de cliente em relação ao diretório e concede acesso à rede.
CRL
Certificate Revocation List. Uma lista publicada pela Autoridade Certificadora que contém os números de série dos certificados que foram revogados.
Os servidores RADIUS devem verificar a CRL para garantir que um certificado apresentado ainda seja válido e não tenha sido comprometido.
CSR
Certificate Signing Request. Um bloco de texto codificado enviado a uma Autoridade Certificadora ao solicitar um certificado SSL/TLS.
Gerado pelo dispositivo durante o processo de registro do SCEP para solicitar um certificado assinado.
Exemplos práticos
Um hotel de 200 quartos precisa implantar um WiFi seguro para funcionários em 150 dispositivos iOS gerenciados usados pela governança e manutenção. Atualmente, eles usam uma rede WPA2-PSK, mas a equipe vive compartilhando a senha com os hóspedes. Como o Diretor de TI deve implementar uma solução segura e automatizada?
O Diretor de TI deve migrar o WiFi dos funcionários para WPA2-Enterprise usando autenticação 802.1X EAP-TLS. Ele deve configurar seu MDM (por exemplo, Jamf) para enviar um payload SCEP para os dispositivos iOS. A sequência de implantação é: 1) Enviar o certificado Root CA para que os dispositivos confiem na rede. 2) Enviar o perfil SCEP, instruindo os dispositivos a solicitar um certificado de cliente da CA por meio do gateway SCEP. 3) Enviar o perfil de WiFi configurado para WPA2-Enterprise e EAP-TLS, vinculando-o ao certificado SCEP. Os pontos de acesso de rede (por exemplo, HPE Aruba) são configurados para autenticar os clientes em um servidor RADIUS central. Quando os funcionários chegam, seus dispositivos se autenticam automaticamente usando o certificado, sem necessidade de senha.
Uma rede de varejo está lançando novos tablets de ponto de venda (PDV) em 50 locais. Para cumprir com os requisitos do PCI DSS, os tablets devem se conectar a uma rede sem fio segura. O arquiteto de rede planeja usar o Microsoft Intune para a implantação. Quais escolhas arquitetônicas garantem conformidade e segurança?
Para atender aos requisitos do PCI DSS para criptografia forte e autenticação, o arquiteto deve implantar 802.1X EAP-TLS. Usando o Microsoft Intune, ele deve selecionar SCEP em vez de PKCS para a implantação de certificados. Isso garante que a chave privada seja gerada no TPM do tablet de PDV e nunca transmitida pela rede. Eles devem configurar um servidor NDES publicado com segurança via Azure AD Application Proxy. Por fim, devem configurar o servidor RADIUS para impor uma verificação rigorosa de CRL, garantindo que, se um tablet de PDV for comprometido, seu certificado possa ser revogado e o acesso à rede bloqueado imediatamente.
Questões práticas
Q1. Você está implantando uma nova rede WiFi 802.1X para um campus corporativo usando o Microsoft Intune. Você configurou o perfil de Raiz Confiável, o perfil SCEP e o perfil de WiFi. No entanto, durante os testes, os dispositivos recebem os certificados, mas o perfil de WiFi é exibido como "Erro" no console do Intune. Qual é a causa mais provável?
Dica: Considere como o MDM resolve dependências entre perfis.
Ver resposta modelo
A causa mais provável é uma divergência no direcionamento de grupos. O Intune exige que os perfis dependentes sejam atribuídos exatamente ao mesmo grupo do Azure AD. Se o perfil SCEP for atribuído a um grupo de Usuários e o perfil de WiFi for atribuído a um grupo de Dispositivos, o Intune não conseguirá resolver a dependência, resultando em um erro.
Q2. Uma empresa de varejo deseja automatizar a implantação de certificados para os tablets dos gerentes de loja. Eles estão em dúvida entre usar SCEP ou PKCS. A segurança é a principal preocupação deles, especificamente a proteção das chaves privadas. Qual protocolo eles devem escolher e por quê?
Dica: Pense sobre onde a chave privada é gerada em cada protocolo.
Ver resposta modelo
Eles devem escolher o SCEP. Em um fluxo de trabalho SCEP, a chave privada é gerada localmente no tablet e armazenada em seu enclave seguro; ela nunca sai do dispositivo. Com o PKCS, a Autoridade Certificadora gera a chave privada e a transmite pela rede para o dispositivo, o que introduz uma vulnerabilidade de segurança potencial.
Q3. Um funcionário sai da empresa e sua conta do Active Directory é desativada. No entanto, a equipe de TI percebe que o dispositivo do funcionário ainda está conectado à rede WiFi corporativa. A rede usa autenticação EAP-TLS. Qual configuração está faltando no servidor RADIUS?
Dica: Desativar uma conta não invalida automaticamente um certificado emitido anteriormente.
Ver resposta modelo
O servidor RADIUS não possui a verificação estrita da Lista de Certificados Revogados (CRL). Mesmo se a conta do diretório for desativada, o certificado do cliente permanece criptograficamente válido até expirar ou ser explicitamente revogado. O servidor RADIUS deve ser configurado para verificar a CRL para garantir que os certificados revogados tenham o acesso à rede negado.
Continue a ler esta série
Como Segregar com Segurança Redes WiFi de Funcionários e Convidados
Este guia técnico de autoridade fornece aos líderes de TI estratégias acionáveis para segregar com segurança redes WiFi de funcionários, convidados e IoT usando VLANs e 802.1X. Detalha como proteger a infraestrutura corporativa, manter a conformidade com o PCI-DSS e aproveitar captive portals para capturar dados primários.
Best DNS filtering: a comprehensive guide for businesses
Este guia de referência técnica explica como o DNS filtering empresarial protege redes públicas bloqueando domínios maliciosos na camada de resolução - antes mesmo que uma conexão seja estabelecida. Ele fornece a diretores de TI, arquitetos de rede e equipes de operações de locais a arquitetura de implantação, configuração de firewall e contexto de conformidade que precisam para proteger o Guest WiFi em ambientes de hospitalidade, varejo e setor público. O Purple Shield bloqueia malware, botnets e conteúdo inadequado no nível de DNS em mais de 80.000 locais ativos.
Entendendo o Cisco SUDI: Identidade Ancorada em Hardware no Controle de Acesso a Redes Seguras
Este guia explica como o Cisco SUDI fornece uma identidade criptograficamente segura e ancorada em hardware para a infraestrutura de rede corporativa. Saiba como substituir endereços MAC clonáveis por certificados 802.1AR imutáveis para proteger o controle de acesso à rede do seu local.