Pular para o conteúdo principal

Como configurar SCEP para WiFi corporativo seguro e provisionamento de BYOD

Este guia técnico explica como configurar o Simple Certificate Enrolment Protocol (SCEP) para automatizar a autenticação segura de WiFi corporativo 802.1X e o provisionamento de BYOD. Ele fornece a arquitetos de rede e gerentes de TI uma sequência definitiva de implantação, cenários de implementação do mundo real nos setores de hotelaria e varejo, e estratégias de mitigação de riscos para eliminar chaves pré-compartilhadas vulneráveis e MAC Authentication Bypass de redes corporativas.

📖 8 min de leitura📝 1,754 palavras🔧 2 exemplos práticos4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
Boas-vindas a este informativo técnico da Purple. Sou o seu anfitrião e hoje vamos nos aprofundar na configuração do SCEP para WiFi corporativo seguro e provisionamento de BYOD. Para gerentes de TI, arquitetos de rede e CTOs que atuam nos setores de hotelaria, varejo e público, gerenciar o acesso à rede é um equilíbrio constante entre segurança e eficiência operacional. Vocês lidam com centenas, às vezes milhares de dispositivos se conectando à sua rede todos os dias - smartphones de funcionários, notebooks de prestadores de serviços, tablets de ponto de venda. E as formas antigas de lidar com isso simplesmente não são mais suficientes. Depender de Pre-Shared Keys, ou PSKs, para o WiFi de funcionários e BYOD é uma vulnerabilidade de segurança esperando para ser explorada. Uma senha compartilhada, uma vez comprometida, dá a qualquer pessoa acesso à sua rede. E o MAC Authentication Bypass, ou MAB, não é melhor. Os smartphones modernos usam endereços MAC aleatórios por padrão, o que quebra o MAB completamente, além de endereços MAC poderem ser clonados em segundos. A arquitetura de rede moderna exige autenticação 802.1X usando EAP-TLS. Isso garante que cada dispositivo seja verificado criptograficamente antes de tocar na rede. Mas aqui está o desafio: como distribuir certificados de cliente exclusivos para milhares de dispositivos não gerenciados sem sobrecarregar seu suporte técnico? A resposta é o Simple Certificate Enrolment Protocol, ou SCEP. Vamos começar com a arquitetura. O SCEP é o padrão da indústria para registro de dispositivos corporativos, definido na RFC 8894. Ele existe desde 1999, criado originalmente pela VeriSign, e resistiu ao teste do tempo porque resolve um problema genuinamente difícil de forma elegante. Em um fluxo de trabalho SCEP, o dispositivo gera seu próprio par de chaves privada e pública localmente. Ele cria uma Certificate Signing Request, ou CSR, e a envia por meio de um Network Device Enrolment Service, conhecido como NDES, para a sua Autoridade Certificadora, ou CA. A CA valida a solicitação e retorna o certificado público assinado para o dispositivo. A vantagem crítica de segurança aqui é que a chave privada nunca sai do dispositivo. Ela é gerada localmente e armazenada no enclave de hardware seguro do dispositivo. Em um notebook Windows, esse é o Trusted Platform Module, ou TPM. Em um iPhone, é o Secure Enclave. A chave privada nunca é transmitida pela rede. É isso que torna o SCEP amplamente superior a alternativas como PKCS para autenticação de rede, onde a CA gera o par de chaves de forma centralizada e o transmite para o dispositivo. Agora, vamos falar sobre BYOD. É aqui que as coisas ficam genuinamente interessantes do ponto de vista operacional. Você quer que os funcionários possam usar seus dispositivos pessoais para acessar ferramentas internas, mas não quer forçá-los a se registrar no MDM corporativo. Isso é uma preocupação de privacidade e encontra forte resistência por parte dos funcionários. A solução é um portal de integração self-service. Veja como funciona. O usuário conecta seu dispositivo pessoal a um SSID de provisionamento dedicado. Esta rede é um jardim murado (walled garden), restringindo o acesso a tudo, exceto ao portal de integração e ao seu provedor de identidade. O usuário se autentica usando suas credenciais corporativas, normalmente por meio de integração SAML com Microsoft Entra ID, Okta ou Google Workspace. Após a autenticação bem-sucedida, o sistema gera um certificado de cliente exclusivo e específico do dispositivo via SCEP. Um perfil de configuração é enviado ao dispositivo contendo o certificado, o certificado CA raiz e as configurações de rede. O dispositivo se conecta automaticamente ao SSID corporativo seguro usando EAP-TLS. É integrado para o usuário e seguro para a empresa. Eles não precisam saber nada sobre certificados ou 802.1X. Eles apenas fazem o login uma vez e estão conectados. Agora, vamos detalhar a implementação. A sequência de implantação é crítica, e errar nesta etapa é a causa mais comum de falhas. Passo um: implante o Certificado Raiz Confiável. Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar em seu servidor RADIUS, ele deve confiar na Autoridade Certificadora emissora. Exporte o certificado Root CA como um arquivo .cer e implante-o em seus grupos de dispositivos de destino. Este passo é inegociável. Sem ele, toda a cadeia falha. Passo dois: configure o Perfil de Certificado SCEP. Isso instrui os dispositivos sobre como obter seu certificado de cliente. Você precisa configurar o formato do nome do assunto. Para autenticação orientada pelo usuário, o padrão é CN igual a UserPrincipalName. Para autenticação de dispositivo, use CN igual ao Azure AD Device ID. Defina o uso da chave como assinatura digital e criptografia de chave. Em uso estendido da chave, especifique Autenticação de Cliente com o OID 1.3.6.1.5.5.7.3.2. Vincule este perfil ao perfil de certificado Raiz Confiável do passo um. E forneça a URL externa do seu servidor NDES. Passo três: implante o Perfil de WiFi 802.1X. Isso vincula os certificados ao SSID da rede. Insira o nome da rede exatamente como ele é transmitido pelos seus pontos de acesso. Defina o tipo de segurança como WPA2-Enterprise ou WPA3-Enterprise. Defina o tipo de EAP como EAP-TLS. Selecione o perfil de certificado SCEP como o certificado de autenticação do cliente. E especifique o certificado Raiz Confiável para validação do servidor. Esta sequência é o ponto mais importante a ser lembrado de toda esta apresentação. Confiança, depois certificado, depois WiFi. Nessa ordem, sempre. Agora, permita-me apresentar algumas práticas recomendadas que pouparão dores de cabeça significativas em produção. Primeiro, publique seu servidor NDES via Azure AD Application Proxy. O servidor NDES deve estar acessível pela internet para permitir que dispositivos remotos provisionem certificados antes de chegarem ao local físico. No entanto, expor um servidor interno diretamente à internet é um risco de segurança significativo. O Application Proxy oferece acesso remoto seguro sem a necessidade de abrir portas de entrada no firewall. Segundo, implemente certificados de curta duração para dispositivos BYOD. Em vez de um certificado válido por três anos, emita certificados válidos por 90 dias. Quando o certificado expirar, o usuário deverá autenticar-se novamente por meio do portal de integração. Isso elimina naturalmente os dispositivos inativos da rede. Um dispositivo que não é usado há 90 dias simplesmente perde o acesso. Nenhuma limpeza manual é necessária. Terceiro, e isso é absolutamente crítico, configure seu servidor RADIUS para impor uma verificação rigorosa da Lista de Revogação de Certificados. Quando um funcionário sai da organização, desativar sua conta no Active Directory pode não revogar imediatamente seu acesso WiFi se o certificado do cliente continuar válido. Seu servidor RADIUS deve verificar a CRL antes de conceder o acesso. Certifique-se de que seus Pontos de Distribuição de CRL estejam altamente disponíveis. Se o servidor RADIUS não conseguir acessar a CRL, a autenticação falhará para todos. Isso representa uma interrupção generalizada. Agora, vamos analisar alguns modos de falha comuns e como evitá-los. O problema mais frequente é o perfil de WiFi que não se aplica. O dispositivo recebe os certificados Trusted Root e SCEP, mas o perfil de WiFi é exibido como Erro no console do MDM. Nove em cada dez vezes, trata-se de uma incompatibilidade de direcionamento de grupo. Se o perfil SCEP for atribuído a um Grupo de Usuários, mas o perfil de WiFi for atribuído a um Grupo de Dispositivos, o MDM não conseguirá resolver a dependência. Audite suas atribuições. Certifique-se de que todos os três perfis tenham como destino exatamente o mesmo grupo. O segundo problema comum são os erros NDES 403 Forbidden. Os dispositivos não conseguem recuperar o certificado SCEP e os logs do IIS do NDES exibem erros HTTP 403. Isso geralmente é causado pela conta de serviço do conector que não possui as permissões necessárias no modelo de certificado, ou por um firewall que bloqueia os parâmetros específicos de string de consulta usados pelo SCEP. Verifique se a conta do conector tem permissões de Leitura e Inscrição no modelo da CA. Verifique os logs do seu firewall para garantir que as URLs que contêm o parâmetro operation equals GetCACaps não estejam sendo bloqueadas. Deixe-me apresentar dois cenários do mundo real para ilustrar como isso funciona na prática. Cenário um: um hotel de 200 quartos com 50 funcionários de limpeza usando smartphones pessoais para acessar o aplicativo de escala de trabalho. O gerente de TI quer evitar o registro completo no MDM para respeitar a privacidade dos funcionários. A solução é um portal de autoatendimento integrado ao Microsoft Entra ID. Os funcionários se conectam ao SSID de provisionamento, fazem login com suas credenciais do Microsoft Entra ID e baixam um perfil SCEP. O servidor SCEP emite um certificado de cliente de 30 dias diretamente para o dispositivo. O dispositivo se conecta ao SSID do WiFi dos funcionários usando EAP-TLS. O servidor RADIUS atribui esses dispositivos a uma VLAN restrita que permite apenas o acesso ao aplicativo de escala de trabalho. Quando um funcionário se demite, sua conta do Microsoft Entra ID é desativada e o servidor RADIUS nega instantaneamente o acesso à rede. Cenário dois: uma cadeia de varejo nacional com 500 lojas implantando WiFi seguro para tablets de ponto de venda de propriedade corporativa. O arquiteto de rede precisa garantir que, mesmo se um tablet for roubado, as credenciais não possam ser extraídas. A solução é o Microsoft Intune implantando certificados via SCEP. O Intune envia o certificado de Raiz Confiável, seguido por um perfil SCEP que instrui o tablet a gerar sua própria chave privada em seu enclave seguro de hardware. O tablet envia um CSR para o servidor NDES, recebe o certificado de cliente e se conecta ao SSID do PDV de Varejo usando EAP-TLS. Como a chave privada é gerada localmente e nunca transmitida, as credenciais de um tablet roubado não podem ser usadas em outro lugar. Isso atende aos requisitos de conformidade com o PCI-DSS. Agora, vamos falar sobre o caso de negócios. A transição para a implantação de certificados SCEP 802.1X proporciona retornos mensuráveis em termos de segurança e operações. O WiFi baseado em senha gera um volume significativo de chamados no suporte. Expirações de senha, bloqueios, erros de digitação. A autenticação baseada em certificado é invisível para o usuário. Os dispositivos se conectam automaticamente. Isso normalmente reduz o volume de suporte relacionado a WiFi em 70%. Essa é uma redução material no custo operacional. O EAP-TLS elimina o risco de colheita de credenciais e ataques de Man-in-the-Middle. Isso é fundamental para a conformidade com o PCI-DSS em ambientes de varejo e com o GDPR em todos os setores. O custo de uma violação de dados supera em muito o custo de implantar uma infraestrutura de PKI adequada. E para organizações que já utilizam a plataforma de análise e WiFi de Visitantes da Purple, estender o onboarding seguro para os dispositivos BYOD da equipe fornece uma estratégia unificada de gerenciamento de rede. O overlay de nuvem independente de hardware da Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet, para que você não fique preso a um único fornecedor de hardware. A Purple opera em 80.000 locais ativos e processou 440 milhões de logins em 2024, possuindo certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Deixe-me encerrar com um resumo rápido das principais decisões que você precisa tomar. Você deve usar SCEP ou PKCS? Use SCEP para autenticação WiFi. A chave privada permanece no dispositivo. Use PKCS apenas para criptografia de e-mail onde o depósito de chaves é necessário. Qual deve ser a validade dos certificados? 90 dias para BYOD. Um a dois anos para dispositivos gerenciados corporativos. Você deve usar o direcionamento por usuário ou por dispositivo no seu MDM? Use o direcionamento por dispositivo para dispositivos corporativos que precisam se conectar antes do login do usuário. Use o direcionamento por usuário para BYOD, onde o certificado deve estar vinculado ao indivíduo. Como lidar com a fragmentação do Android? Use Passpoint, também conhecido como Hotspot 2.0, sempre que possível. Ele fornece uma experiência de conexão consistente entre os fabricantes de dispositivos Android. E finalmente, qual é a coisa mais importante a ser feita corretamente? A verificação de CRL no seu servidor RADIUS. Sem ela, um certificado revogado ainda pode conceder acesso à rede. Chegamos ao fim do briefing de hoje. Se você quiser se aprofundar em algum desses tópicos, os guias técnicos da Purple sobre segurança de WiFi corporativo e autenticação de certificado EAP-TLS estão disponíveis no site da Purple em purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para estabelecimentos corporativos que operam nos setores de hospitalidade, varejo e setor público, depender de chaves pré-compartilhadas (PSK) ou MAC Authentication Bypass (MAB) para fornecer acesso WiFi a funcionários e BYOD é um risco de segurança. A arquitetura de rede moderna exige autenticação 802.1X usando EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), garantindo que cada dispositivo seja verificado criptograficamente antes de acessar a rede. O desafio operacional reside em distribuir certificados de cliente exclusivos para milhares de dispositivos não gerenciados sem sobrecarregar a equipe de suporte de TI com chamados.

O Simple Certificate Enrolment Protocol (SCEP), definido na RFC 8894, resolve esse problema de distribuição por meio do gerenciamento automatizado do ciclo de vida dos certificados. Ao aproveitar o SCEP, as equipes de TI podem enviar certificados raiz confiáveis e certificados de cliente para os endpoints, garantindo que a chave privada nunca saia do dispositivo. Este guia fornece o modelo arquitetônico definitivo e a estratégia de implementação passo a passo para a implantação de certificados WiFi via SCEP. Cobrimos a sequência de implantação crítica necessária para o sucesso, cenários do mundo real em hospitalidade e varejo, e estratégias de mitigação de riscos para manter seu Guest WiFi e redes corporativas seguros e com alto desempenho.

Imersão Técnica: Arquitetura SCEP

O SCEP é o padrão da indústria para registro de dispositivos corporativos, criado pela VeriSign e publicado como um rascunho de internet da IETF em 1999. Ele automatiza a emissão de certificados X.509 em um ambiente de infraestrutura de chaves públicas (PKI), eliminando a necessidade de gerenciar certificados manualmente em escala.

scep_architecture_overview.png

Em um fluxo de trabalho SCEP, o dispositivo gera seu próprio par de chaves pública e privada localmente. Ele cria uma Solicitação de Assinatura de Certificado (CSR) e a envia por meio de um servidor de Serviço de Registro de Dispositivo de Rede (NDES) para a sua Autoridade Certificadora (CA). A CA valida a solicitação usando um segredo compartilhado e retorna o certificado público assinado para o dispositivo. A vantagem crítica de segurança é que a chave privada nunca sai do dispositivo. Ela é gerada localmente e armazenada no enclave seguro de hardware do dispositivo - o Trusted Platform Module (TPM) no Windows, ou o Secure Enclave no iOS. Isso torna o SCEP o método altamente recomendado para autenticação 802.1X, em contraste com o PKCS (Public Key Cryptography Standards), onde a CA gera o par de chaves centralmente e o transmite pela rede.

As quatro etapas do registro de certificado SCEP são as seguintes. Primeiro, o dispositivo se conecta à URL do endpoint SCEP hospedada pelo servidor NDES. Segundo, o dispositivo apresenta o segredo compartilhado SCEP (uma senha estática ou um desafio dinâmico gerado pela plataforma MDM) para validar a solicitação de registro. Terceiro, o dispositivo gera uma CSR contendo sua chave pública e informações de identificação. Quarto, a CA valida a CSR e emite um certificado X.509 assinado, que é retornado ao dispositivo.

SCEP vs PKCS: Escolhendo o Mecanismo Certo

Ao projetar sua estratégia de implantação de certificados, a escolha entre SCEP e PKCS impacta diretamente a segurança. A tabela abaixo resume as principais diferenças.

Atributo SCEP PKCS
Geração de chave privada No dispositivo (enclave seguro) No servidor CA
Transmissão de chave privada Nunca transmitida Transmitida pela rede
Requisitos de infraestrutura Requer um servidor NDES Sem necessidade de NDES
Mais adequado para Autenticação de WiFi e VPN Criptografia de e-mail S/MIME
Postura de segurança para 802.1X Recomendado Não recomendado

Para WiFi empresarial com SCEP, escolha sempre o SCEP. Manter a chave privada no dispositivo é a propriedade fundamental de segurança que torna a autenticação 802.1X baseada em certificado superior a qualquer método de autenticação baseado em credenciais.

O Fluxo de Integração de Autoatendimento para BYOD

A base de uma integração BYOD segura é a transição da autenticação legada para o EAP-TLS sem exigir o registro completo no Gerenciamento de Dispositivos Móveis (MDM). Forçar os funcionários a registrar smartphones pessoais no MDM corporativo levanta preocupações legítimas de privacidade e gera forte resistência. Um portal de integração de autoatendimento resolve esse problema.

Os usuários conectam seus dispositivos pessoais a um SSID de provisionamento dedicado, que funciona como um "walled garden" (jardim murado), restringindo o acesso apenas ao portal de integração e ao provedor de identidade. Os usuários se autenticam por meio de integração SAML ou OAuth com Microsoft Entra ID, Okta ou Google Workspace. Após a autenticação bem-sucedida, o sistema gera um certificado de cliente exclusivo e específico do dispositivo via SCEP. Um perfil de configuração (um arquivo .mobileconfig para Apple ou um perfil Android Passpoint) é enviado ao dispositivo. Em seguida, o dispositivo se conecta automaticamente ao SSID corporativo seguro usando EAP-TLS. O usuário nunca precisa entender nada sobre certificados ou 802.1X.

Guia de Implementação: A Sequência de Implantação

A configuração bem-sucedida do SCEP para 802.1X exige a adesão estrita a uma sequência de implantação específica. A confiança deve ser estabelecida antes que a autenticação possa ser configurada. Desviar-se dessa sequência é a causa mais comum de falhas nas implantações.

Etapa 1: Implantar o Certificado Raiz Confiável. Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, ele deve primeiro confiar na Autoridade Certificadora (CA) emissora. Exporte o certificado da sua CA raiz (e quaisquer certificados de CA intermediários) como um arquivo .cer. Implante esse perfil nos seus grupos de dispositivos de destino por meio da sua plataforma de MDM. Esta etapa é inegociável.

Etapa 2: Configurar o Perfil de Certificado SCEP. Isso instrui os dispositivos sobre como obter o certificado de cliente. Configure o formato do nome do assunto - para autenticação baseada no usuário, o padrão é CN={{UserPrincipalName}}; para autenticação de dispositivo, use CN={{AAD_Device_ID}}. Defina o uso da chave como Digital signature e Key encipherment. Em "extended key usage", especifique Client Authentication (OID: 1.3.6.1.5.5.7.3.2). Vincule este perfil ao perfil de certificado raiz confiável da Etapa 1. Insira a URL externa do seu servidor NDES.

Etapa 3: Implantar o Perfil de WiFi 802.1X. Envie a configuração de WiFi que vincula o certificado ao SSID da rede. Insira o nome da rede exatamente como ele é transmitido pelos seus pontos de acesso (APs). Defina o tipo de segurança como WPA2-Enterprise ou WPA3-Enterprise. Defina o tipo de EAP como EAP-TLS. Selecione o perfil de certificado SCEP como o certificado de autenticação do cliente. Especifique o certificado raiz confiável para validação do servidor, garantindo que os dispositivos se conectem apenas ao seu servidor RADIUS legítimo.

Essa sequência se aplica a todas as plataformas de hardware compatíveis: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A sobreposição de nuvem agnóstica de hardware da Purple se integra a todas essas plataformas, o que significa que sua infraestrutura de certificados não fica presa a um único fornecedor de hardware.

Melhores Práticas

Publique o NDES via Azure AD Application Proxy. O servidor NDES deve ser acessível a partir da internet para que os dispositivos remotos possam provisionar certificados antes de chegarem ao local. Expor um servidor interno diretamente à internet apresenta um risco de segurança significativo. A publicação via Azure AD Application Proxy fornece acesso remoto seguro sem abrir portas de entrada no firewall, e permite que você aplique políticas de Acesso Condicional ao fluxo de inscrição.

Emita certificados de curta duração para BYOD. Como os dispositivos BYOD não são gerenciados, o risco de um dispositivo comprometido permanecer na rede é maior. Emita certificados válidos por 90 dias em vez de anos. Quando um certificado expira, o usuário deve se autenticar novamente através do portal de onboarding. Isso elimina naturalmente os dispositivos inativos da rede sem a intervenção manual de TI.

Imponha verificação estrita de CRL no servidor RADIUS. A implantação de certificados é apenas metade da equação de segurança. Se um funcionário sair, desativar sua conta do Active Directory pode não revogar imediatamente seu acesso ao WiFi enquanto seu certificado de cliente permanecer válido. Configure seu servidor RADIUS para impor uma verificação estrita de Lista de Revogação de Certificados (CRL). Certifique-se de que seu Ponto de Distribuição de CRL (CDP) esteja altamente disponível. Se o servidor RADIUS não conseguir acessar a CRL, a autenticação falhará para todos os usuários, causando uma interrupção em grande escala.

Segmente o BYOD em uma VLAN dedicada. Os dispositivos BYOD não são gerenciados. Você não tem controle sobre as atualizações do sistema operacional, status do antivírus ou aplicativos instalados. Aloque os dispositivos BYOD em uma VLAN dedicada que forneça apenas acesso à internet, restrita aos aplicativos internos específicos exigidos para a função do funcionário. Nunca coloque dispositivos BYOD na mesma VLAN que os servidores corporativos ou dispositivos gerenciados.

byod_vs_psk_comparison.png

Solução de problemas e mitigação de riscos

Falha ao aplicar o perfil de WiFi. O dispositivo recebeu o certificado raiz confiável e o certificado SCEP, mas o perfil de WiFi aparece como "Erro" no console de MDM. Isso quase sempre é causado por uma incompatibilidade de direcionamento de grupo. Se o perfil SCEP for atribuído a um "grupo de usuários" enquanto o perfil de WiFi for atribuído a um "grupo de dispositivos", o MDM não conseguirá resolver a dependência. Audite suas atribuições e garanta que a raiz confiável, o SCEP e os perfis de WiFi tenham como alvo exatamente o mesmo grupo do Azure AD.

Erros NDES 403 Forbidden. Os dispositivos não conseguem recuperar certificados SCEP, e os logs do NDES IIS mostram erros HTTP 403. Isso provavelmente ocorre porque a conta de serviço do conector não possui as permissões necessárias no modelo de certificado, ou seu firewall está bloqueando os parâmetros de string de consulta específicos usados pelo SCEP. Verifique se a conta do conector possui permissões de "Leitura" e "Inscrição" no modelo de CA. Verifique os logs do firewall para garantir que as URLs que contêm ?operation=GetCACaps não estejam sendo bloqueadas.

Fragmentação do Android. Dispositivos Apple iOS lidam com perfis .mobileconfig de forma muito consistente. O Android, no entanto, é altamente fragmentado - diferentes fabricantes e versões de sistema operacional lidam com perfis WiFi e instalação de certificados de maneiras distintas. Forneça instruções claras e específicas por sistema operacional no portal de integração. O uso de Passpoint (Hotspot 2.0) oferece um fluxo de conexão consistente entre os fabricantes, melhorando significativamente a experiência no Android.

Atrasos na revogação de certificados. Quando um funcionário sai, seu acesso deve ser revogado imediatamente. Desativar sua conta de IdP é o primeiro passo, mas o servidor RADIUS também deve validar o status do certificado. Configure seu servidor RADIUS para usar o protocolo OCSP (Online Certificate Status Protocol) além da verificação de CRL. O OCSP fornece o status de revogação em tempo real, em vez de depender de uma lista atualizada periodicamente.

ROI e Impacto nos Negócios

A transição para a implantação de certificados SCEP 802.1X proporciona retornos mensuráveis tanto em segurança quanto em operações. O WiFi baseado em senha gera um grande volume de chamados de suporte técnico devido à expiração de senhas, bloqueios e erros de digitação. A autenticação baseada em certificado é invisível para o usuário - os dispositivos se conectam automaticamente. Isso normalmente reduz a carga de trabalho de suporte técnico relacionada ao WiFi em 70%, liberando a equipe de TI para focar em tarefas estratégicas.

O EAP-TLS elimina o risco de roubo de credenciais e ataques man-in-the-middle (MitM). Isso é crítico para a conformidade com o PCI-DSS em ambientes de varejo e conformidade com o GDPR em todos os setores. No setor de hospitalidade , onde a equipe lida com dados de pagamento e informações pessoais de hóspedes, o custo de uma violação de dados supera em muito o custo de implantar uma infraestrutura PKI bem estruturada. Os mesmos fatores de conformidade se aplicam a operadores de transporte e estabelecimentos de saúde .

Para estabelecimentos que já utilizam as plataformas Guest WiFi e WiFi Analytics da Purple, estender a integração segura para dispositivos BYOD de funcionários oferece uma estratégia unificada e robusta de gerenciamento de rede. A Purple opera em mais de 80.000 locais físicos em todo o mundo, processou 440 milhões de logins em 2024 (dados internos da Purple) e possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Nossos complementos de segurança SecurePass e Shield se integram diretamente à arquitetura de autenticação baseada em certificado descrita neste guia.

Para uma perspectiva mais ampla sobre segurança de rede corporativa, consulte nosso Segurança de WiFi Corporativa: O Guia Completo de 2026 . Para considerações de conformidade com o GDPR específicas para administradores de rede, consulte O Guia do Administrador de Rede para Conformidade com GDPR e Privacidade de Dados de Visitantes .

Definições principais

SCEP (Simple Certificate Enrolment Protocol)

Um protocolo definido no RFC 8894 que automatiza a emissão de certificados digitais X.509 para dispositivos dentro de um ambiente de PKI. O dispositivo gera sua própria chave privada localmente, a qual nunca sai do dispositivo.

Usado para implantar certificados de autenticação de WiFi em dispositivos corporativos e BYOD em escala, sem intervenção manual de TI. O padrão da indústria para provisionamento de certificados 802.1X.

802.1X

Um padrão IEEE (IEEE Std 802.1X-2020) para controle de acesso à rede baseado em porta. Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN antes que recebam acesso aos recursos de rede.

A base do WiFi corporativo seguro, substituindo chaves pré-compartilhadas vulneráveis. Requer um servidor RADIUS, um suplicante no dispositivo cliente e um autenticador no ponto de acesso.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Uma estrutura de autenticação que exige que tanto o servidor quanto o cliente apresentem certificados digitais válidos. Fornece autenticação mútua, garantindo que o dispositivo confie na rede e que a rede confie no dispositivo.

O método mais seguro para autenticação 802.1X. Elimina o roubo de credenciais e ataques de Man-in-the-Middle. O protocolo de autenticação de destino que a implantação de certificado SCEP foi projetada para habilitar.

NDES (Serviço de Registro de Dispositivo de Rede)

Uma função do Microsoft Windows Server que atua como uma ponte, permitindo que dispositivos sem credenciais de domínio obtenham certificados de uma CA de Serviços de Certificado do Active Directory via SCEP.

Um componente de infraestrutura obrigatório ao implementar SCEP com o Microsoft Intune. Deve ser publicado via Proxy de Aplicativo do Microsoft Entra ID para permitir o provisionamento seguro de certificados remotos.

BYOD (Traga seu Próprio Dispositivo)

A prática de permitir que os funcionários usem seus smartphones, tablets ou laptops pessoais para acessar redes e aplicativos corporativos.

Exige segmentação de rede cuidadosa e integração segura para evitar que dispositivos não gerenciados comprometam a rede corporativa. O registro completo em MDM geralmente é inviável para dispositivos pessoais devido a preocupações com a privacidade.

CRL (Lista de Revogação de Certificados)

Uma lista publicada pela Autoridade Certificadora contendo os números de série de certificados que foram revogados antes da sua data de expiração.

Deve ser verificada pelo servidor RADIUS durante cada tentativa de autenticação para garantir que funcionários desligados ou dispositivos comprometidos não consigam acessar a rede. Os Pontos de Distribuição de CRL devem ser altamente disponíveis.

CSR (Requisição de Assinatura de Certificado)

Uma mensagem gerada por um dispositivo e enviada a uma Autoridade Certificadora para solicitar um certificado de identidade digital. Contém a chave pública do dispositivo e as informações de identidade.

Gerada pelo dispositivo durante o processo SCEP. A chave privada usada para assinar a CSR permanece no dispositivo e nunca é transmitida.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários e dispositivos que se conectam a uma rede.

O servidor que valida o certificado do cliente durante a autenticação 802.1X e concede ou nega o acesso à rede. Deve ser configurado para impor uma verificação rigorosa de CRL ou OCSP.

PKCS (Padrões de Criptografia de Chave Pública)

Um conjunto de padrões onde tanto a chave pública quanto a privada são geradas pela Autoridade Certificadora e, em seguida, entregues com segurança ao endpoint.

Menos adequado que o SCEP para autenticação WiFi porque a chave privada é transmitida pela rede. Mais adequado para criptografia de e-mail S/MIME, onde a custódia de chave é necessária.

OCSP (Protocolo de Status de Certificado Online)

Um protocolo que fornece o status de revogação de certificado em tempo real, como uma alternativa à CRL atualizada periodicamente.

Preferível em relação à CRL para ambientes de alta segurança porque fornece o status de revogação instantâneo em vez de depender de uma lista que pode ter horas de atraso.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer acesso seguro de WiFi para 50 funcionários de governança usando seus smartphones pessoais (BYOD) para acessar o aplicativo de escala de trabalho. O gerente de TI deseja evitar o registro completo em MDM para respeitar a privacidade da equipe, mas precisa garantir que o acesso seja revogado imediatamente quando um funcionário se desligar.

O hotel implanta um portal de autoatendimento para integração integrado ao Microsoft Entra ID. A equipe se conecta a um SSID de provisionamento aberto, autentica-se com suas credenciais do Entra ID e baixa um perfil SCEP. O servidor SCEP emite um certificado de cliente de 30 dias diretamente para o dispositivo, com a chave privada gerada e armazenada localmente no enclave seguro do smartphone. O dispositivo se conecta automaticamente ao SSID 'Staff_WiFi' usando EAP-TLS. O servidor RADIUS atribui esses dispositivos a uma VLAN restrita que permite acesso apenas ao aplicativo de escala e à internet. Quando um funcionário se desliga, sua conta do Entra ID é desativada. O servidor RADIUS, configurado para verificação rigorosa de CRL, nega o acesso à rede na próxima tentativa de autenticação. A validade de 30 dias do certificado garante que, mesmo que a verificação de CRL fosse atrasada, o acesso expiraria dentro de um mês.

Comentário do examinador: Essa abordagem equilibra segurança com a privacidade da equipe. Ao usar SCEP por meio de um Captive Portal em vez do registro completo em MDM, o hotel evita a instalação de um perfil de gerenciamento em dispositivos pessoais. A validade de certificado de 30 dias e a verificação rigorosa de CRL oferecem controle de acesso em camadas. A segmentação por VLAN garante que mesmo um dispositivo BYOD comprometido não consiga acessar servidores corporativos ou sistemas de pagamento.

Uma rede nacional de varejo com 500 lojas precisa implantar WiFi seguro para tablets de ponto de venda (POS) de propriedade corporativa executando Windows. O arquiteto de rede deve garantir que, mesmo se um tablet for roubado, as credenciais de rede não possam ser extraídas e usadas para acessar a rede corporativa a partir de outro dispositivo. A conformidade com PCI-DSS é obrigatória.

O arquiteto de rede configura o Microsoft Intune para implantar certificados via SCEP. O Intune envia o certificado Trusted Root para o grupo 'POS Devices', seguido por um perfil SCEP que instrui cada tablet a gerar sua própria chave privada no TPM do Windows. O tablet envia um CSR para o servidor NDES, recebe o certificado de cliente e se conecta ao SSID 'Retail_POS' usando WPA3 e EAP-TLS. O servidor RADIUS autentica o certificado e coloca o dispositivo na VLAN de POS isolada, que só permite tráfego para o processador de pagamentos e para o sistema de gerenciamento de estoque. Todos os três perfis do Intune - Trusted Root, SCEP e WiFi - são atribuídos ao mesmo grupo de dispositivos 'POS Devices' para evitar falhas de dependência. O NDES é publicado via Azure AD Application Proxy para permitir a renovação do certificado sem exigir que o tablet esteja no local.

Comentário do examinador: Esta é a arquitetura ideal para dispositivos corporativos em um ambiente PCI-DSS. Como o SCEP garante que a chave privada seja gerada localmente no TPM e nunca seja transmitida, as credenciais de um tablet roubado não podem ser extraídas e reproduzidas a partir de outro dispositivo. O padrão WPA3 oferece forward secrecy, garantindo que o tráfego capturado não possa ser descriptografado retroativamente. O isolamento de VLAN limita o raio de alcance de qualquer dispositivo comprometido apenas ao segmento de rede do POS.

Questões práticas

Q1. Você está implantando um perfil SCEP via Intune para uma frota de laptops Windows. Os dispositivos recebem com sucesso o certificado Trusted Root, mas o perfil de WiFi falha ao ser aplicado e aparece como 'Erro' no console do Intune. O perfil SCEP está atribuído ao grupo do Azure AD 'Todos os Usuários', enquanto o perfil de WiFi está atribuído ao grupo de dispositivos 'Laptops Corporativos'. Qual é a causa da falha e como você a resolve?

Dica: Considere as dependências entre os perfis e como o Intune resolve o direcionamento de grupo quando um perfil depende de outro perfil.

Ver resposta modelo

A falha é causada por uma incompatibilidade de direcionamento de grupo. O Intune não consegue resolver a dependência entre o perfil SCEP e o perfil de WiFi porque eles direcionam para tipos de grupos diferentes - um direciona para usuários e o outro para dispositivos. Para resolver isso, audite as atribuições de todos os três perfis e garanta que os perfis Trusted Root, SCEP e WiFi estejam todos implantados exatamente no mesmo grupo do Azure AD. Escolha de forma consistente o direcionamento por usuário ou por dispositivo em todos os perfis.

Q2. Um estabelecimento de varejo deseja proteger seus tablets de PDV. O diretor de TI sugere o uso de PKCS em vez de SCEP porque simplifica a infraestrutura ao eliminar a necessidade de um servidor NDES. Como arquiteto de rede, por que você deve recomendar SCEP para autenticação WiFi 802.1X, e em que circunstâncias o PKCS seria a escolha correta?

Dica: Pense em onde a chave privada é gerada e armazenada em ambos os protocolos, e considere as implicações de segurança para autenticação de rede em oposição à criptografia de e-mail.

Ver resposta modelo

Recomende SCEP para autenticação WiFi 802.1X porque a chave privada é gerada localmente no dispositivo e armazenada em seu enclave seguro de hardware. A chave privada nunca sai do dispositivo e nunca é transmitida pela rede. Se um tablet for roubado, as credenciais não podem ser extraídas e usadas a partir de outro dispositivo. Com o PKCS, a CA gera o par de chaves centralmente e o transmite para o dispositivo, introduzindo um risco de transmissão que é inaceitável para autenticação de rede. O PKCS é a escolha correta apenas para criptografia de e-mail S/MIME, onde a custódia de chave é necessária para permitir que e-mails criptografados sejam descriptografados caso o dispositivo original seja perdido.

Q3. Você está projetando um portal de integração BYOD para um hospital de 500 leitos. A equipe clínica usará seus smartphones pessoais para acessar aplicativos internos não críticos, como a escala de funcionários e mensagens internas. Você precisa minimizar o risco de dispositivos inativos permanecerem na rede após a saída de funcionários, sem exigir intervenção manual da TI para cada desligamento. Qual configuração específica de certificado você deve implementar?

Dica: Considere o ciclo de vida do certificado e como você pode forçar os dispositivos a se reautenticarem periodicamente sem exigir que a TI revogue manualmente cada certificado.

Ver resposta modelo

Implemente certificados de curta duração com um período de validade de 30 a 90 dias. Quando o certificado expira, o dispositivo BYOD é forçado a se reautenticar através do Captive Portal usando as credenciais do IdP corporativo do funcionário. Se o funcionário tiver saído e sua conta no IdP tiver sido desativada, ele não conseguirá concluir a reautenticação e não receberá um novo certificado. Isso elimina naturalmente os dispositivos inativos da rede sem exigir que a TI revogue manualmente certificados individuais. Combine isso com a verificação OCSP no servidor RADIUS para garantir a revogação imediata quando uma conta for desativada, proporcionando defesa em profundidade entre os ciclos de expiração dos certificados.

Q4. Seu servidor NDES está retornando erros HTTP 403 Forbidden para todas as solicitações de certificado SCEP. O servidor NDES está acessível a partir da internet via Azure AD Application Proxy. Quais são as duas causas mais prováveis para esse erro e como você diagnostica cada uma delas?

Dica: Considere tanto as permissões no modelo de certificado quanto o caminho de rede entre o dispositivo e o servidor NDES.

Ver resposta modelo

As duas causas mais prováveis são: primeiro, a conta de serviço do Intune Certificate Connector não possui as permissões necessárias no modelo de certificado da CA. Verifique se a conta de serviço possui permissões de 'Leitura' e 'Inscrição' no modelo no console da CA. Segundo, o firewall ou o Application Proxy está bloqueando os parâmetros de string de consulta específicos usados pelo SCEP. Verifique os logs do firewall e do Application Proxy para solicitações contendo parâmetros como '?operation=GetCACaps' ou '?operation=PKIOperation'. Essas são operações padrão do SCEP que devem ser permitidas. Se o Application Proxy estiver removendo as strings de consulta, ajuste as configurações de pré-autenticação para permitir a passagem para o caminho da URL do NDES.