Gerenciamento de Certificados Digitais para Autenticação WiFi EAP-TLS
Este guia de referência técnica detalha a gestão do ciclo de vida de certificados digitais para autenticação WiFi EAP-TLS. Ele fornece estratégias práticas para implantar, renovar e revogar certificados em escala em redes corporativas usando integrações SCEP e MDM.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Detalhamento Técnico
- Arquitetura PKI de Três Níveis
- Ciclos de Vida dos Certificados e Padrões Criptográficos
- Guia de Implementação
- Passo 1: Estabelecer a Cadeia de Confiança
- Passo 2: Automatizar a Emissão via SCEP
- Passo 3: Configurar Políticas de RADIUS
- Melhores Práticas
- Solução de Problemas e Mitigação de Riscos
- Falhas na Âncora de Confiança
- Abismos de Expiração
- Timeouts de OCSP
- Retorno sobre o Investimento (ROI) e Impacto nos Negócios

Resumo Executivo
O gerenciamento de certificados digitais para autenticação WiFi EAP-TLS representa um grande desafio operacional para as equipes de TI corporativas. À medida que as organizações eliminam gradualmente a autenticação baseada em credenciais para se alinharem com a conformidade de Zero Trust, a carga operacional muda da redefinição de senhas para o gerenciamento do ciclo de vida dos certificados. Este guia detalha os padrões arquitetônicos necessários para implantar, renovar e revogar certificados do lado do cliente em escala em ambientes complexos.
Para CTOs e arquitetos de rede, o objetivo é claro: implementar uma Infraestrutura de Chaves Públicas (PKI) robusta que se integre perfeitamente com as plataformas de Gerenciamento de Dispositivos Móveis (MDM) existentes. Ao automatizar a emissão de certificados via Simple Certificate Enrolment Protocol (SCEP) e executar a revogação em tempo real, a intervenção manual é eliminada. Essa abordagem protege o perímetro da rede, atende aos frameworks de conformidade, incluindo o PCI-DSS 4.0, e garante conectividade contínua para mais de 80.000 locais físicos que executam hardware corporativo.
Detalhamento Técnico
O EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) representa o padrão de ouro para o controle de acesso de rede 802.1X. Ele impõe a autenticação mútua. O servidor RADIUS apresenta seu certificado para provar sua identidade ao cliente, enquanto o cliente apresenta seu certificado para provar sua identidade à rede.
Arquitetura PKI de Três Níveis
Uma hierarquia PKI plana apresenta riscos inaceitáveis. O padrão recomendado é uma arquitetura de três níveis:
- Autoridade Certificadora Raiz (Root CA): A âncora de confiança final. Este servidor permanece offline e isolado da rede (air-gapped). Sua única função é assinar certificados de CA intermediária.
- CA Intermediária (CA Emissora): Este servidor permanece online e lida com a assinatura diária de certificados de clientes e servidores. Se for comprometido, pode ser revogado pela Root CA sem a necessidade de reconstruir toda a infraestrutura de confiança.
- Certificados de Entidade Final: Estes são os certificados reais implantados em servidores RADIUS e dispositivos de clientes.

Ciclos de Vida dos Certificados e Padrões Criptográficos
O setor está exigindo ciclos de vida de certificados mais curtos para limitar a janela de exposição caso uma chave seja comprometida. Embora os certificados TLS públicos sejam limitados a 398 dias, os certificados de clientes internos usados para autenticação WiFi normalmente usam um período de validade de 365 dias.
Os requisitos criptográficos exigem um mínimo de chaves RSA de 2048 bits ou Criptografia de Curva Elíptica (ECC) usando a curva P-256. O modo WPA3-Enterprise de 192 bits requer conjuntos de cifras específicos, e o EAP-TLS é o único método de autenticação que satisfaz plenamente esses requisitos.
Guia de Implementação
A implantação do EAP-TLS em locais distribuídos exige uma integração estreita entre o seu provedor de identidade, plataforma MDM e hardware de rede. O overlay de nuvem da Purple se integra com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.
Passo 1: Estabelecer a Cadeia de Confiança
Antes que qualquer dispositivo possa se autenticar, ele deve confiar no servidor RADIUS. Implante o certificado da CA Raiz em todos os dispositivos gerenciados por meio do seu MDM. Para dispositivos não gerenciados, você deve fornecer um portal de integração de bootstrapping para instalar o perfil de confiança.
Passo 2: Automatizar a Emissão via SCEP
Gerar certificados manualmente é inviável. Implemente o SCEP para automatizar este fluxo de trabalho:
- O MDM (por exemplo, Microsoft Intune) envia um payload SCEP para o dispositivo.
- O dispositivo gera uma chave privada localmente.
- O dispositivo envia uma Solicitação de Assinatura de Certificado (CSR) para o servidor SCEP.
- A CA emite o certificado, e o dispositivo o instala em seu keystore protegido por hardware.
Passo 3: Configurar Políticas de RADIUS
Configure seu servidor RADIUS para exigir EAP-TLS. Certifique-se de que o servidor valide o Nome Alternativo do Assunto (SAN) no certificado do cliente em relação ao seu diretório de identidade (Microsoft Entra ID, Okta ou Google Workspace) para confirmar se a conta do usuário ainda está ativa.

Melhores Práticas
- Automatize a Renovação Antecipadamente: Configure os perfis de MDM para acionar a renovação do certificado pelo menos 30 dias antes do vencimento. Isso evita falhas repentinas de autenticação em locais inteiros.
- Imponha Keystores de Hardware: Exija que as chaves privadas sejam geradas e armazenadas dentro do Trusted Platform Module (TPM) ou Secure Enclave do dispositivo. As chaves devem ser configuradas como não exportáveis.
- Implemente a Revogação em Tempo Real: Depender de Listas de Revogação de Certificados (CRLs) estáticas introduz latência. Implemente o Online Certificate Status Protocol (OCSP) para que o servidor RADIUS possa verificar o status do certificado em tempo real durante a autenticação.
Solução de Problemas e Mitigação de Riscos
Os modos de falha mais comuns em implantações EAP-TLS estão relacionados à confiança e ao tempo.
Falhas na Âncora de Confiança
Se um dispositivo cliente rejeitar o certificado do servidor RADIUS, a autenticação falhará silenciosamente. Isso acontece quando o certificado da CA Raiz está ausente do repositório de confiança do dispositivo. Verifique os logs de implantação do MDM para garantir que o perfil de confiança seja aplicado antes do perfil de WiFi. Para mais diagnósticos sobre problemas de conectividade, consulte Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .
Abismos de Expiração
A emissão de milhares de certificados simultaneamente cria um gargalo no período de renovação. Se o servidor SCEP apresentar inatividade durante essa janela, os dispositivos serão desconectados da rede. Distribua as implantações iniciais de forma faseada para diluir a carga de renovação.
Timeouts de OCSP
Se o servidor RADIUS não conseguir alcançar o respondedor OCSP, ele deve decidir se falha de forma aberta ou fechada. Para redes corporativas, falhar de forma fechada é a prática padrão. Garanta que sua infraestrutura OCSP seja altamente disponível e geograficamente distribuída.
Retorno sobre o Investimento (ROI) e Impacto nos Negócios
A transição para o EAP-TLS exige esforço inicial de engenharia, mas o retorno operacional é significativo. Uma organização com 5.000 usuários normalmente gasta 40 horas por mês resolvendo redefinições de senha e bloqueios de RADIUS causados por rotações de senha PEAP.
Ao automatizar o ciclo de vida dos certificados, você elimina esses chamados de suporte. Além disso, você atende aos rigorosos requisitos de controle de acesso da ISO 27001 e do PCI DSS, reduzindo os custos operacionais de auditoria. Quando integrado ao Guest WiFi e ao WiFi Analytics , o Purple oferece uma visão unificada do acesso à rede para todos os tipos de usuários, simplificando os relatórios de conformidade em locais distribuídos.
Definições principais
EAP-TLS
Extensible Authentication Protocol com Transport Layer Security. Uma estrutura de autenticação que exige que tanto o cliente quanto o servidor comprovem suas identidades usando certificados digitais.
O padrão da indústria para proteger redes WiFi corporativas sem depender de senhas vulneráveis.
SCEP
Simple Certificate Enrolment Protocol. Um protocolo usado por plataformas MDM para automatizar com segurança a solicitação e instalação de certificados digitais em dispositivos.
Essencial para dimensionar implantações de EAP-TLS além de algumas dezenas de dispositivos, eliminando o manuseio manual de certificados.
RADIUS
Remote Authentication Dial-In User Service. O protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e contabilização.
O componente do servidor que valida o certificado do cliente e instrui o ponto de acesso a conceder acesso à rede.
OCSP
Online Certificate Status Protocol. Um protocolo de internet usado para obter o status de revogação de um certificado digital X.509 em tempo real.
Substitui as CRLs estáticas para garantir que um certificado revogado seja bloqueado da rede imediatamente.
Root CA
Autoridade Certificadora Raiz. A autoridade criptográfica de nível superior em uma Infraestrutura de Chaves Públicas, usada para assinar CAs subordinadas.
Deve ser mantida altamente segura e offline para proteger toda a cadeia de confiança da organização.
SAN
Subject Alternative Name. Uma extensão para X.509 que permite que vários valores sejam associados a um certificado de segurança, como endereços de e-mail ou UPNs.
Usado pelo servidor RADIUS para mapear o certificado a uma conta de usuário específica no diretório de identidade.
MDM
Mobile Device Management. Software usado pelos departamentos de TI para monitorar, gerenciar e proteger os dispositivos móveis dos funcionários.
O mecanismo de entrega que envia a configuração SCEP e os perfis de WiFi para os dispositivos dos usuários finais.
CRL
Certificate Revocation List. Uma lista de certificados digitais que foram revogados pela CA emissora antes da sua data de expiração programada.
Um método legado de verificação de validade de certificados que sofre com problemas de latência em comparação com o OCSP.
Exemplos práticos
Um grupo hoteleiro com 150 propriedades precisa proteger o acesso da equipe em 3.000 dispositivos. Atualmente, eles usam PEAP com uma senha compartilhada que sofre rotação trimestral, gerando um volume significativo de chamados no helpdesk. Como eles devem implementar o EAP-TLS?
Implante o Microsoft Intune para gerenciar todos os dispositivos corporativos. Estabeleça uma CA intermediária do Microsoft ADCS integrada ao Intune por meio do Intune Certificate Connector. Envie o certificado da CA raiz para todos os dispositivos, seguido por um perfil SCEP que solicita um certificado de cliente com validade de 365 dias. Configure o perfil de WiFi para usar EAP-TLS e direcionar para os servidores RADIUS vinculados ao Purple. Configure o perfil SCEP para renovar automaticamente ao atingir 20% da vida útil restante (73 dias).
Uma rede de varejo exige WiFi seguro para coletores de dados de ponto de venda em 200 locais. Os dispositivos rodam Android e frequentemente perdem a conectividade com o servidor de gerenciamento central. Como lidar com a revogação de certificados?
Implemente o OCSP para verificação de revogação em tempo real no nível do servidor RADIUS. Configure o servidor RADIUS para consultar o respondente OCSP a cada tentativa de autenticação. Se um coletor de dados for relatado como perdido, a equipe de segurança revoga o certificado na CA. Na próxima vez que o dispositivo tentar se associar a um ponto de acesso, o servidor RADIUS receberá uma resposta de "revogado" do OCSP e negará o acesso imediatamente.
Questões práticas
Q1. Você está implantando EAP-TLS para 2.000 notebooks corporativos. A infraestrutura SCEP está configurada, mas durante os testes, os notebooks falham ao se conectar ao WiFi. Os logs do RADIUS mostram "Unknown CA". Qual é a causa mais provável?
Dica: Considere a ordem das operações ao implantar perfis de confiança em comparação com perfis de autenticação.
Ver resposta modelo
Os notebooks não possuem o certificado Root CA instalado em seu repositório de raiz confiável. O MDM deve ser configurado para enviar o payload do certificado Root CA para os dispositivos antes de enviar o payload SCEP ou o perfil de WiFi EAP-TLS. Sem a Root CA, o cliente rejeita o certificado do servidor RADIUS.
Q2. Um dispositivo comprometido é relatado como perdido. A equipe de TI exclui o dispositivo do MDM e revoga o certificado na CA. No entanto, os testes revelam que o dispositivo ainda consegue se conectar à rede por até 12 horas. Como você resolve isso?
Dica: Observe como o servidor RADIUS valida o status do certificado.
Ver resposta modelo
O servidor RADIUS provavelmente está dependendo de uma Certificate Revocation List (CRL) que é publicada ou baixada apenas a cada 12 a 24 horas. Para resolver isso, implemente o Online Certificate Status Protocol (OCSP) e configure o servidor RADIUS para consultar o respondedor OCSP para validação em tempo real durante cada tentativa de autenticação.
Q3. Você está projetando a política de ciclo de vida de certificados. A equipe de segurança quer tempos de vida de certificado de 30 dias para minimizar riscos, mas a equipe de rede está preocupada com a carga do servidor SCEP e quedas de conectividade. Qual é o equilíbrio recomendado?
Dica: Considere a diferença entre certificados web públicos e PKI gerenciada interna.
Ver resposta modelo
Um período de validade de 365 dias com renovação automatizada iniciada de 60 a 90 dias antes da expiração oferece o equilíbrio ideal. Tempos de vida de 30 dias para certificados de WiFi criam um risco operacional excessivo se os dispositivos estiverem offline durante sua janela estreita de renovação. A segurança é mantida por meio de uma revogação robusta em tempo real por OCSP, em vez de tempos de vida agressivamente curtos.
Continue a ler esta série
Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.