Pular para o conteúdo principal

Gerenciamento de Certificados Digitais para Autenticação WiFi EAP-TLS

Este guia de referência técnica detalha a gestão do ciclo de vida de certificados digitais para autenticação WiFi EAP-TLS. Ele fornece estratégias práticas para implantar, renovar e revogar certificados em escala em redes corporativas usando integrações SCEP e MDM.

📖 4 min de leitura📝 892 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e conversacional - como um consultor sênior orientando um cliente. Ritmo cadenciado, dicção clara, caloroso mas direto. Pausas naturais ocasionais para ênfase: Bem-vindo à série de briefings técnicos da Purple. Hoje vamos falar sobre o gerenciamento de certificados EAP-TLS - especificamente, como executar um programa de autenticação WiFi baseado em certificados em escala sem que isso se torne um fardo operacional em tempo integral. [pausa média] Se você é responsável pelo WiFi corporativo ou de funcionários em vários locais - seja um grupo hoteleiro, uma rede de varejo, um campus universitário ou órgãos do setor público - este briefing é para você. Vamos cobrir todo o ciclo de vida do certificado: desde a configuração de sua hierarquia de CA, passando pela implantação automatizada via SCEP e MDM, até a renovação e revogação. E falaremos sobre onde as coisas dão errado, porque elas dão errado, e como evitar as armadilhas mais comuns. [pausa média] Vamos começar com os fundamentos. O EAP-TLS - ou seja, Extensible Authentication Protocol com Transport Layer Security - é o padrão-ouro para autenticação WiFi 802.1X. Ao contrário do PEAP, que depende de um nome de usuário e senha, o EAP-TLS usa autenticação mútua baseada em certificados. O dispositivo comprova sua identidade com um certificado de cliente. O servidor RADIUS comprova sua identidade com um certificado de servidor. Ambos os lados verificam o outro. Sem senha para phish. Sem credencial para roubar. É por isso que o PCI-DSS 4.0 e as orientações de zero-trust do NCSC apontam para a autenticação baseada em certificados para redes de funcionários. [pausa média] Agora, a arquitetura. Você precisa de três coisas para fazer o EAP-TLS funcionar. Primeiro, uma Infraestrutura de Chaves Públicas - sua hierarquia de CA. Segundo, um mecanismo para colocar certificados nos dispositivos - ou seja, SCEP ou sua plataforma de MDM. Terceiro, um servidor RADIUS que confie na sua CA e possa validar certificados de clientes em tempo real. [pausa média] A hierarquia de CA é onde a maioria das organizações enfrenta problemas logo no início. O padrão correto é um modelo de três camadas. Você tem uma Root CA no topo - ela deve estar offline, isolada e somente ser colocada online para assinar o certificado de sua Intermediate CA. A Intermediate CA - às vezes chamada de Issuing CA - é aquela que realmente assina os certificados do dia a dia. Ela está online, mas sua chave privada está bem protegida. Abaixo disso, você emite dois tipos de certificado: certificados de servidor para sua infraestrutura RADIUS e certificados de cliente para seus dispositivos e usuários. [pausa média] Por que isso importa? Porque se sua Root CA for comprometida, você terá que reconstruir toda a sua PKI do zero e registrar novamente todos os dispositivos. Mantê-la offline elimina esse risco. A Intermediate CA pode ser substituída sem tocar na Root. Esse é o argumento de resiliência operacional para o modelo de três camadas. [pausa média] Vamos falar sobre os períodos de validade dos certificados. Houve uma mudança significativa no setor aqui. Apple, Google e Mozilla decidiram impor tempos máximos de vida de certificados mais curtos. Para certificados de servidor TLS, o máximo agora é de 398 dias. Para certificados de cliente em WiFi corporativo, você tem mais flexibilidade - um a dois anos é comum - mas a tendência é para tempos de vida mais curtos e renovação automatizada, em vez de certificados de longa duração gerenciados manualmente. O motivo é simples: um tempo de vida mais curto limita a janela de exposição se um certificado for comprometido. [medium pause] Isso nos traz à automação. O gerenciamento manual de certificados não é escalável. Se você tem 500 dispositivos, consegue gerenciar as renovações manualmente. Se você tem 5.000 dispositivos em 50 locais, você não consegue. Você precisa de SCEP - o Simple Certificate Enrolment Protocol - ou seu sucessor moderno, EST. O SCEP se integra diretamente com plataformas MDM, incluindo Microsoft Intune, Jamf Pro e VMware Workspace ONE. O MDM envia um perfil de configuração SCEP para o dispositivo. O dispositivo gera um par de chaves, envia uma solicitação de assinatura de certificado para o seu servidor SCEP e recebe um certificado assinado de volta - tudo sem qualquer interação do usuário. [medium pause] Para dispositivos Windows em um ambiente Active Directory, você tem uma alternativa: auto-registro direcionado por Diretiva de Grupo via Active Directory Certificate Services. O dispositivo se autentica no domínio, a autoridade certificadora emite um certificado automaticamente e o certificado é renovado antes do vencimento sem qualquer intervenção manual. Este é o caminho mais simples para ambientes com forte presença de Windows. [medium pause] Agora, a revogação. Esta é a parte em que as organizações costumam investir menos do que deveriam, e é a parte que mais importa quando algo dá errado. Se um dispositivo for perdido, roubado ou se um funcionário sair, você precisa revogar o certificado dele imediatamente. Existem dois mecanismos: CRL - Certificate Revocation Lists - e OCSP - Online Certificate Status Protocol. [medium pause] CRL é o mecanismo mais antigo. Sua autoridade certificadora publica uma lista de números de série de certificados revogados em uma URL conhecida. O servidor RADIUS baixa essa lista periodicamente e faz a verificação comparativa. O problema com a CRL é a latência - se a sua CRL tiver um período de validade de 24 horas, um certificado revogado ainda poderá autenticar por até 24 horas após a revogação. [medium pause] O OCSP é a alternativa em tempo real. O servidor RADIUS envia uma consulta ao respondedor OCSP para cada tentativa de autenticação e obtém uma resposta ativa de válido ou revogado. O contraponto é que o seu respondedor OCSP se torna uma dependência crítica - se ele estiver indisponível, você precisa decidir se permite o acesso livre ou se bloqueia o acesso por padrão. Para ambientes de alta segurança, bloquear por padrão é a resposta correta. Para ambientes operacionais onde a disponibilidade é importante, você pode configurar um curto período de tolerância do OCSP. [medium pause] Deixe-me apresentar dois cenários concretos para tornar isso real. [medium pause] Primeiro: um grupo hoteleiro de 150 propriedades. Eles operavam PEAP com uma senha compartilhada para o WiFi da equipe. A rotação de senha era trimestral, o que significava uma janela de duas semanas a cada trimestre em que a equipe ficava bloqueada ou usando a senha antiga. Eles mudaram para EAP-TLS usando o Microsoft Intune para implantação de certificados. Perfis SCEP enviados para todos os dispositivos Windows e iOS. Active Directory Certificate Services como a CA. O resultado: zero eventos de rotação de senha, renovação de certificado tratada automaticamente 30 dias antes do vencimento e, quando um funcionário saía, seu certificado era revogado no MDM poucos minutos após sua conta ser desativada no Microsoft Entra ID. A equipe de TI estimou que economizou aproximadamente 40 horas por trimestre em redefinições de senha e chamados de suporte. [medium pause] Segundo: uma rede de varejo multi-site com 3.000 dispositivos de funcionários em 200 lojas. O desafio aqui era a diversidade de dispositivos - uma mistura de notebooks Windows, coletores de dados Android e dispositivos iOS. Eles usavam o Jamf Pro para dispositivos Apple e o Microsoft Intune para Windows e Android, ambos apontando para o mesmo servidor SCEP apoiado por uma CA Intermediária Microsoft ADCS. A infraestrutura de WiFi era Cisco Meraki, com autenticação RADIUS tratada por um serviço RADIUS hospedado na nuvem integrado com a Purple. A principal decisão de design foi emitir certificados com validade de 12 meses e configurar a renovação automática para 60 dias antes do vencimento. Isso proporcionou uma janela de renovação confortável sem criar sobrecarga operacional. [medium pause] Agora, as armadilhas. Existem quatro que vejo de forma consistente. [medium pause] Primeira: não testar a revogação. As organizações configuram sua PKI, implantam certificados e nunca testam realmente se a revogação funciona de ponta a ponta. Teste isso. Revoque um certificado de teste, confirme se o servidor RADIUS detecta a revogação dentro da janela esperada e confirme se o acesso do dispositivo é negado. [medium pause] Segunda: penhascos de vencimento. Se você emitir todos os seus certificados ao mesmo tempo com o mesmo período de validade, todos eles vencerão ao mesmo tempo. Distribua sua emissão ao longo do tempo ou, no mínimo, distribua os gatilhos de renovação. Uma taxa de falha de renovação de 10% em 5.000 dispositivos simultâneos é um incidente significativo. [medium pause] Terceira: não distribuir o certificado da CA Raiz para todos os dispositivos antes de implantar o EAP-TLS. Se o dispositivo não confiar em sua CA Raiz, ele rejeitará o certificado do servidor RADIUS e a autenticação falhará. Isso parece óbvio, mas pega as organizações de surpresa quando elas têm dispositivos BYOD ou notebooks de prestadores de serviços que não estão registrados no MDM. [medium pause] Quarta: disponibilidade do responder OCSP. Se o seu responder OCSP ficar inativo e o seu servidor RADIUS estiver configurado para falhar fechado em erros de OCSP, toda a sua rede de WiFi para de funcionar. Crie redundância na sua infraestrutura OCSP ou configure um curto período de carência com monitoramento apropriado. [medium pause] Certo, perguntas rápidas. [medium pause] Posso usar uma CA pública para certificados de cliente EAP-TLS? Tecnicamente sim, mas na prática não. As CAs públicas não emitem certificados de cliente para dispositivos arbitrários. Você precisa de sua própria CA para certificados de cliente. Para o certificado do servidor RADIUS, uma CA pública é adequada e simplifica a distribuição de confiança. [medium pause] E quanto ao BYOD? O BYOD é o caso mais difícil. Você não pode implantar certificados em dispositivos não gerenciados via MDM. As opções incluem um portal de controle de acesso à rede que emite certificados de curta duração após a autenticação do usuário, ou simplesmente manter o BYOD em um SSID separado com um método de autenticação diferente. [medium pause] Como isso interage com o WPA3? O WPA3-Enterprise exige o modo de segurança de 192 bits para ambientes confidenciais, o que requer suítes de criptografia específicas. O EAP-TLS é totalmente compatível com o WPA3-Enterprise e é, de fato, o método de autenticação recomendado. [medium pause] Para resumir. O gerenciamento de certificados EAP-TLS não é simples, mas é viável se você acertar a arquitetura desde o início. Hierarquia de CA de três níveis. Registro automatizado via SCEP ou MDM. Certificados de curta duração com renovação automatizada. Revogação em tempo real via OCSP. Teste tudo, especialmente a revogação. E integre o ciclo de vida do seu certificado com o seu provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - para que a revogação do certificado seja acionada automaticamente quando uma conta for desprovisionada. [medium pause] Se você estiver executando servidores RADIUS vinculados à Purple, os pontos de integração são a URL do seu servidor SCEP, o certificado do seu servidor RADIUS e o seu endpoint CRL ou OCSP. A arquitetura independente de hardware da Purple significa que isso funciona em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e no restante da lista canônica de hardware - você não fica preso às ferramentas de PKI de um único fornecedor. [medium pause] Próximos passos: realize uma auditoria no seu inventário atual de certificados. Se você não sabe quantos certificados possui, quando eles expiram e quem os emitiu, esse é o primeiro ponto a ser corrigido. A partir daí, o caminho para a automação completa é bem definido. Obrigado por ouvir.

header_image.png

Resumo Executivo

O gerenciamento de certificados digitais para autenticação WiFi EAP-TLS representa um grande desafio operacional para as equipes de TI corporativas. À medida que as organizações eliminam gradualmente a autenticação baseada em credenciais para se alinharem com a conformidade de Zero Trust, a carga operacional muda da redefinição de senhas para o gerenciamento do ciclo de vida dos certificados. Este guia detalha os padrões arquitetônicos necessários para implantar, renovar e revogar certificados do lado do cliente em escala em ambientes complexos.

Para CTOs e arquitetos de rede, o objetivo é claro: implementar uma Infraestrutura de Chaves Públicas (PKI) robusta que se integre perfeitamente com as plataformas de Gerenciamento de Dispositivos Móveis (MDM) existentes. Ao automatizar a emissão de certificados via Simple Certificate Enrolment Protocol (SCEP) e executar a revogação em tempo real, a intervenção manual é eliminada. Essa abordagem protege o perímetro da rede, atende aos frameworks de conformidade, incluindo o PCI-DSS 4.0, e garante conectividade contínua para mais de 80.000 locais físicos que executam hardware corporativo.

Detalhamento Técnico

O EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) representa o padrão de ouro para o controle de acesso de rede 802.1X. Ele impõe a autenticação mútua. O servidor RADIUS apresenta seu certificado para provar sua identidade ao cliente, enquanto o cliente apresenta seu certificado para provar sua identidade à rede.

Arquitetura PKI de Três Níveis

Uma hierarquia PKI plana apresenta riscos inaceitáveis. O padrão recomendado é uma arquitetura de três níveis:

  1. Autoridade Certificadora Raiz (Root CA): A âncora de confiança final. Este servidor permanece offline e isolado da rede (air-gapped). Sua única função é assinar certificados de CA intermediária.
  2. CA Intermediária (CA Emissora): Este servidor permanece online e lida com a assinatura diária de certificados de clientes e servidores. Se for comprometido, pode ser revogado pela Root CA sem a necessidade de reconstruir toda a infraestrutura de confiança.
  3. Certificados de Entidade Final: Estes são os certificados reais implantados em servidores RADIUS e dispositivos de clientes.

pki_trust_chain_diagram.png

Ciclos de Vida dos Certificados e Padrões Criptográficos

O setor está exigindo ciclos de vida de certificados mais curtos para limitar a janela de exposição caso uma chave seja comprometida. Embora os certificados TLS públicos sejam limitados a 398 dias, os certificados de clientes internos usados para autenticação WiFi normalmente usam um período de validade de 365 dias.

Os requisitos criptográficos exigem um mínimo de chaves RSA de 2048 bits ou Criptografia de Curva Elíptica (ECC) usando a curva P-256. O modo WPA3-Enterprise de 192 bits requer conjuntos de cifras específicos, e o EAP-TLS é o único método de autenticação que satisfaz plenamente esses requisitos.

Guia de Implementação

A implantação do EAP-TLS em locais distribuídos exige uma integração estreita entre o seu provedor de identidade, plataforma MDM e hardware de rede. O overlay de nuvem da Purple se integra com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Passo 1: Estabelecer a Cadeia de Confiança

Antes que qualquer dispositivo possa se autenticar, ele deve confiar no servidor RADIUS. Implante o certificado da CA Raiz em todos os dispositivos gerenciados por meio do seu MDM. Para dispositivos não gerenciados, você deve fornecer um portal de integração de bootstrapping para instalar o perfil de confiança.

Passo 2: Automatizar a Emissão via SCEP

Gerar certificados manualmente é inviável. Implemente o SCEP para automatizar este fluxo de trabalho:

  1. O MDM (por exemplo, Microsoft Intune) envia um payload SCEP para o dispositivo.
  2. O dispositivo gera uma chave privada localmente.
  3. O dispositivo envia uma Solicitação de Assinatura de Certificado (CSR) para o servidor SCEP.
  4. A CA emite o certificado, e o dispositivo o instala em seu keystore protegido por hardware.

Passo 3: Configurar Políticas de RADIUS

Configure seu servidor RADIUS para exigir EAP-TLS. Certifique-se de que o servidor valide o Nome Alternativo do Assunto (SAN) no certificado do cliente em relação ao seu diretório de identidade (Microsoft Entra ID, Okta ou Google Workspace) para confirmar se a conta do usuário ainda está ativa.

certificate_lifecycle_infographic.png

Melhores Práticas

  • Automatize a Renovação Antecipadamente: Configure os perfis de MDM para acionar a renovação do certificado pelo menos 30 dias antes do vencimento. Isso evita falhas repentinas de autenticação em locais inteiros.
  • Imponha Keystores de Hardware: Exija que as chaves privadas sejam geradas e armazenadas dentro do Trusted Platform Module (TPM) ou Secure Enclave do dispositivo. As chaves devem ser configuradas como não exportáveis.
  • Implemente a Revogação em Tempo Real: Depender de Listas de Revogação de Certificados (CRLs) estáticas introduz latência. Implemente o Online Certificate Status Protocol (OCSP) para que o servidor RADIUS possa verificar o status do certificado em tempo real durante a autenticação.

Solução de Problemas e Mitigação de Riscos

Os modos de falha mais comuns em implantações EAP-TLS estão relacionados à confiança e ao tempo.

Falhas na Âncora de Confiança

Se um dispositivo cliente rejeitar o certificado do servidor RADIUS, a autenticação falhará silenciosamente. Isso acontece quando o certificado da CA Raiz está ausente do repositório de confiança do dispositivo. Verifique os logs de implantação do MDM para garantir que o perfil de confiança seja aplicado antes do perfil de WiFi. Para mais diagnósticos sobre problemas de conectividade, consulte Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .

Abismos de Expiração

A emissão de milhares de certificados simultaneamente cria um gargalo no período de renovação. Se o servidor SCEP apresentar inatividade durante essa janela, os dispositivos serão desconectados da rede. Distribua as implantações iniciais de forma faseada para diluir a carga de renovação.

Timeouts de OCSP

Se o servidor RADIUS não conseguir alcançar o respondedor OCSP, ele deve decidir se falha de forma aberta ou fechada. Para redes corporativas, falhar de forma fechada é a prática padrão. Garanta que sua infraestrutura OCSP seja altamente disponível e geograficamente distribuída.

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

A transição para o EAP-TLS exige esforço inicial de engenharia, mas o retorno operacional é significativo. Uma organização com 5.000 usuários normalmente gasta 40 horas por mês resolvendo redefinições de senha e bloqueios de RADIUS causados por rotações de senha PEAP.

Ao automatizar o ciclo de vida dos certificados, você elimina esses chamados de suporte. Além disso, você atende aos rigorosos requisitos de controle de acesso da ISO 27001 e do PCI DSS, reduzindo os custos operacionais de auditoria. Quando integrado ao Guest WiFi e ao WiFi Analytics , o Purple oferece uma visão unificada do acesso à rede para todos os tipos de usuários, simplificando os relatórios de conformidade em locais distribuídos.

Definições principais

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Uma estrutura de autenticação que exige que tanto o cliente quanto o servidor comprovem suas identidades usando certificados digitais.

O padrão da indústria para proteger redes WiFi corporativas sem depender de senhas vulneráveis.

SCEP

Simple Certificate Enrolment Protocol. Um protocolo usado por plataformas MDM para automatizar com segurança a solicitação e instalação de certificados digitais em dispositivos.

Essencial para dimensionar implantações de EAP-TLS além de algumas dezenas de dispositivos, eliminando o manuseio manual de certificados.

RADIUS

Remote Authentication Dial-In User Service. O protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e contabilização.

O componente do servidor que valida o certificado do cliente e instrui o ponto de acesso a conceder acesso à rede.

OCSP

Online Certificate Status Protocol. Um protocolo de internet usado para obter o status de revogação de um certificado digital X.509 em tempo real.

Substitui as CRLs estáticas para garantir que um certificado revogado seja bloqueado da rede imediatamente.

Root CA

Autoridade Certificadora Raiz. A autoridade criptográfica de nível superior em uma Infraestrutura de Chaves Públicas, usada para assinar CAs subordinadas.

Deve ser mantida altamente segura e offline para proteger toda a cadeia de confiança da organização.

SAN

Subject Alternative Name. Uma extensão para X.509 que permite que vários valores sejam associados a um certificado de segurança, como endereços de e-mail ou UPNs.

Usado pelo servidor RADIUS para mapear o certificado a uma conta de usuário específica no diretório de identidade.

MDM

Mobile Device Management. Software usado pelos departamentos de TI para monitorar, gerenciar e proteger os dispositivos móveis dos funcionários.

O mecanismo de entrega que envia a configuração SCEP e os perfis de WiFi para os dispositivos dos usuários finais.

CRL

Certificate Revocation List. Uma lista de certificados digitais que foram revogados pela CA emissora antes da sua data de expiração programada.

Um método legado de verificação de validade de certificados que sofre com problemas de latência em comparação com o OCSP.

Exemplos práticos

Um grupo hoteleiro com 150 propriedades precisa proteger o acesso da equipe em 3.000 dispositivos. Atualmente, eles usam PEAP com uma senha compartilhada que sofre rotação trimestral, gerando um volume significativo de chamados no helpdesk. Como eles devem implementar o EAP-TLS?

Implante o Microsoft Intune para gerenciar todos os dispositivos corporativos. Estabeleça uma CA intermediária do Microsoft ADCS integrada ao Intune por meio do Intune Certificate Connector. Envie o certificado da CA raiz para todos os dispositivos, seguido por um perfil SCEP que solicita um certificado de cliente com validade de 365 dias. Configure o perfil de WiFi para usar EAP-TLS e direcionar para os servidores RADIUS vinculados ao Purple. Configure o perfil SCEP para renovar automaticamente ao atingir 20% da vida útil restante (73 dias).

Comentário do examinador: Esta abordagem elimina completamente a rotação trimestral de senhas. Ao definir um gatilho de renovação antecipada, a equipe de TI evita prazos de expiração críticos. A integração direta com o Intune garante que, quando um funcionário sai e sua conta do Microsoft Entra ID é desativada, o MDM revoga o certificado e limpa o perfil de WiFi automaticamente.

Uma rede de varejo exige WiFi seguro para coletores de dados de ponto de venda em 200 locais. Os dispositivos rodam Android e frequentemente perdem a conectividade com o servidor de gerenciamento central. Como lidar com a revogação de certificados?

Implemente o OCSP para verificação de revogação em tempo real no nível do servidor RADIUS. Configure o servidor RADIUS para consultar o respondente OCSP a cada tentativa de autenticação. Se um coletor de dados for relatado como perdido, a equipe de segurança revoga o certificado na CA. Na próxima vez que o dispositivo tentar se associar a um ponto de acesso, o servidor RADIUS receberá uma resposta de "revogado" do OCSP e negará o acesso imediatamente.

Comentário do examinador: Depender do MDM para limpar um dispositivo perdido é insuficiente se o dispositivo estiver offline ou isolado. Ao impor verificações de revogação na borda da rede via OCSP, o servidor RADIUS atua como o ponto de controle, garantindo que o certificado comprometido não possa ser usado, mesmo que o próprio dispositivo não possa ser alcançado pelo MDM.

Questões práticas

Q1. Você está implantando EAP-TLS para 2.000 notebooks corporativos. A infraestrutura SCEP está configurada, mas durante os testes, os notebooks falham ao se conectar ao WiFi. Os logs do RADIUS mostram "Unknown CA". Qual é a causa mais provável?

Dica: Considere a ordem das operações ao implantar perfis de confiança em comparação com perfis de autenticação.

Ver resposta modelo

Os notebooks não possuem o certificado Root CA instalado em seu repositório de raiz confiável. O MDM deve ser configurado para enviar o payload do certificado Root CA para os dispositivos antes de enviar o payload SCEP ou o perfil de WiFi EAP-TLS. Sem a Root CA, o cliente rejeita o certificado do servidor RADIUS.

Q2. Um dispositivo comprometido é relatado como perdido. A equipe de TI exclui o dispositivo do MDM e revoga o certificado na CA. No entanto, os testes revelam que o dispositivo ainda consegue se conectar à rede por até 12 horas. Como você resolve isso?

Dica: Observe como o servidor RADIUS valida o status do certificado.

Ver resposta modelo

O servidor RADIUS provavelmente está dependendo de uma Certificate Revocation List (CRL) que é publicada ou baixada apenas a cada 12 a 24 horas. Para resolver isso, implemente o Online Certificate Status Protocol (OCSP) e configure o servidor RADIUS para consultar o respondedor OCSP para validação em tempo real durante cada tentativa de autenticação.

Q3. Você está projetando a política de ciclo de vida de certificados. A equipe de segurança quer tempos de vida de certificado de 30 dias para minimizar riscos, mas a equipe de rede está preocupada com a carga do servidor SCEP e quedas de conectividade. Qual é o equilíbrio recomendado?

Dica: Considere a diferença entre certificados web públicos e PKI gerenciada interna.

Ver resposta modelo

Um período de validade de 365 dias com renovação automatizada iniciada de 60 a 90 dias antes da expiração oferece o equilíbrio ideal. Tempos de vida de 30 dias para certificados de WiFi criam um risco operacional excessivo se os dispositivos estiverem offline durante sua janela estreita de renovação. A segurança é mantida por meio de uma revogação robusta em tempo real por OCSP, em vez de tempos de vida agressivamente curtos.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →