Automatizar a Segurança de WiFi Empresarial: O Guia de Implementação de Certificados SCEP
Este guia técnico explica como automatizar a segurança de WiFi empresarial utilizando a implementação de certificados SCEP. Disponibiliza um plano arquitetónico detalhado e as etapas de implementação para implementar a autenticação 802.1X EAP-TLS em redes corporativas e de convidados.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada: Arquitetura SCEP e EAP-TLS
- As Vantagens do SCEP face ao PKCS
- Autenticação 802.1X e EAP-TLS
- Guia de Implementação: A Sequência de Implementação
- Passo 1: Implementar o Certificado de Raiz Confiável
- Passo 2: Configurar o Perfil de Certificado SCEP
- Passo 3: Implementar o Perfil de WiFi 802.1X
- Melhores Práticas para Ambientes Enterprise
- Proteger o SCEP Gateway
- Forçar Verificação Estrita de CRL
- Integração de Hardware
- Resolução de Problemas e Mitigação de Riscos
- Falhas de Dependência
- Erros de Registo
- ROI e Impacto no Negócio

Resumo Executivo
Para empresas no setor da hotelaria, retalho e setor público, depender de chaves pré-partilhadas ou de um Captive Portal básico para o acesso à rede introduz vulnerabilidades de segurança graves. A arquitetura de rede moderna exige autenticação 802.1X utilizando EAP-TLS, garantindo que cada dispositivo é verificado criptograficamente antes de aceder à rede. Para gestores de TI e arquitetos de rede, o desafio reside em implementar de forma eficiente certificados de cliente únicos em milhares de dispositivos Windows, iOS e Android.
Este guia fornece o modelo arquitetónico definitivo e a estratégia de implementação passo a passo para a implementação automatizada de certificados WiFi utilizando o Simple Certificate Enrolment Protocol (SCEP). Ao integrar a sua plataforma de Mobile Device Management (MDM) com um gateway SCEP e uma Certificate Authority (CA), pode enviar silenciosamente certificados raiz e de cliente confiáveis para endpoints geridos. Exploramos as diferenças críticas entre SCEP e PKCS, detalhamos a sequência precisa de passos necessários para uma implementação bem-sucedida e delineamos estratégias práticas de mitigação de riscos para manter a sua rede WiFi segura e com alto desempenho.
Oiça o briefing do podcast correspondente:
Análise Técnica Detalhada: Arquitetura SCEP e EAP-TLS
Ao desenhar uma estratégia de implementação de certificados WiFi corporativos, a decisão arquitetónica central é como os certificados são entregues de forma segura. O padrão da indústria para este processo é o SCEP. O SCEP automatiza o processo de inscrição de certificados, permitindo que os dispositivos solicitem certificados de forma segura a uma Certificate Authority utilizando um protocolo padronizado.
As Vantagens do SCEP face ao PKCS
Embora as plataformas como o Microsoft Intune suportem tanto SCEP como Public Key Cryptography Standards (PKCS), os seus mecanismos de funcionamento são fundamentalmente diferentes. No fluxo de trabalho SCEP, o serviço MDM instrui o endpoint a gerar o seu próprio par de chaves privada e pública. O dispositivo cria então um Certificate Signing Request (CSR) e envia-o para a sua CA através de um servidor Network Device Enrolment Service (NDES). A CA assina o pedido e devolve o certificado de chave pública ao dispositivo.
A principal vantagem de segurança do SCEP é que a chave privada nunca sai do dispositivo. É gerada localmente e armazenada no enclave seguro do dispositivo. Isto torna o SCEP o método fortemente recomendado para autenticação 802.1X. Em contraste, com o PKCS a CA gera ambas as chaves de forma centralizada e transmite-as através da rede. O PKCS adequa-se melhor a casos de uso que exijam custódia de chaves (como a encriptação de email S/MIME) em vez de autenticação de rede.

Autenticação 802.1X e EAP-TLS
O padrão IEEE 802.1X fornece a estrutura para a gestão centralizada de acessos à rede. Define como os pacotes de Extensible Authentication Protocol (EAP) são transportados através da LAN (EAPoL) para permitir a autenticação entre o cliente, o ponto de acesso e o servidor de autenticação - tipicamente um servidor RADIUS.
O EAP-TLS é o protocolo de autenticação mais seguro para redes 802.1X. Requer autenticação mútua: o cliente valida o certificado do servidor RADIUS, e o servidor RADIUS valida o certificado do cliente. Este processo de validação rigoroso garante que apenas utilizadores autenticados e autorizados em dispositivos inscritos obtenham acesso, protegendo a rede contra ameaças como ataques Evil Twin.
Guia de Implementação: A Sequência de Implementação
Configurar com sucesso a implementação automatizada de certificados para o 802.1X requer a adesão estrita a uma sequência específica. As dependências do perfil ditam que a confiança deve ser estabelecida antes de a autenticação ser configurada. Isto aplica-se quer esteja a utilizar o Microsoft Intune, o Jamf ou outra plataforma de MDM.
Passo 1: Implementar o Certificado de Raiz Confiável
Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, deve confiar na Autoridade de Certificação que emite os certificados.
- Exporte o seu certificado de CA raiz e quaisquer certificados de CA intermédios.
- Na sua plataforma de MDM, crie um perfil de certificado confiável.
- Faça o upload dos ficheiros de certificado e implemente este perfil nos seus grupos de dispositivos de destino.
Passo 2: Configurar o Perfil de Certificado SCEP
Com a confiança estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter os seus certificados de cliente.
- Crie um novo perfil de configuração de certificado SCEP.
- Configure o formato do nome do assunto. Para autenticação baseada no utilizador, utilize o User Principal Name (UPN). Para autenticação do dispositivo, utilize o ID do dispositivo.
- Defina a utilização da chave para assinatura digital e cifragem de chave.
- Especifique a autenticação do cliente para a utilização de chave estendida.
- Associe este perfil ao perfil de certificado de raiz confiável criado no Passo 1.
- Forneça o URL externo do seu gateway SCEP ou servidor NDES.
Passo 3: Implementar o Perfil de WiFi 802.1X
O passo final é o envio da configuração de WiFi que associa o certificado ao SSID da rede.
- Crie um perfil de configuração de WiFi.
- Introduza o SSID exatamente como é transmitido pelos seus pontos de acesso.
- Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
- Defina o tipo de EAP para EAP-TLS.
- Selecione o perfil de certificado SCEP criado no Passo 2 para a autenticação do cliente.
- Especifique o certificado de raiz confiável para a validação do servidor, garantindo que os dispositivos apenas se ligam ao seu servidor RADIUS legítimo.

Melhores Práticas para Ambientes Enterprise
Ao implementar a implementação de certificados SCEP, siga estas melhores práticas independentes de fornecedor para garantir a conformidade e a fiabilidade.
Proteger o SCEP Gateway
O SCEP gateway ou servidor NDES deve estar acessível a partir da internet para que os dispositivos remotos possam aprovisionar certificados antes de chegarem ao local. No entanto, expor um servidor interno diretamente à internet representa um risco de segurança significativo. Publique o URL utilizando um proxy de aplicação. Isto fornece um acesso remoto seguro sem abrir portas de entrada no firewall e permite-lhe aplicar políticas de acesso condicional ao fluxo de registo.
Forçar Verificação Estrita de CRL
A implementação de certificados é apenas metade da equação de segurança; a revogação é igualmente crítica. Se um colaborador sair, desativar a sua conta de diretório pode não revogar imediatamente o seu acesso ao WiFi se o seu certificado de cliente permanecer válido. Configure o seu servidor RADIUS para forçar a verificação estrita da Lista de Revogação de Certificados (CRL). Garanta que os seus pontos de distribuição de CRL estão altamente disponíveis; se o servidor RADIUS não conseguir aceder à CRL, a autenticação falhará, causando uma interrupção generalizada do serviço.
Integração de Hardware
Garanta que a sua infraestrutura de rede suporta os protocolos necessários. O Purple integra-se perfeitamente com hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configure estes sistemas para encaminhar os pedidos de autenticação para a sua infraestrutura RADIUS centralizada.
Resolução de Problemas e Mitigação de Riscos
Mesmo com um planeamento cuidadoso, as implementações de certificados podem encontrar problemas. Abaixo estão os modos de falha comuns e as estratégias de mitigação.
Falhas de Dependência
Um problema comum é um dispositivo receber a raiz confiável e os certificados SCEP, mas o perfil de WiFi falhar ao ser aplicado. Isto é quase sempre causado por uma segmentação de grupo incompatível dentro do MDM. Se o perfil SCEP for atribuído a um grupo de utilizadores enquanto o perfil de WiFi é atribuído a um grupo de dispositivos, o MDM não consegue resolver a dependência. Audite as suas atribuições e garanta que todos os perfis relacionados são implementados exatamente para os mesmos grupos de diretório.
Erros de Registo
Se os dispositivos não conseguirem obter os certificados SCEP e os registos do gateway mostrarem erros HTTP 403, a conta de serviço poderá não ter as permissões necessárias no modelo de certificado, ou a filtragem de URL no firewall poderá estar a bloquear os parâmetros específicos da query string utilizados pelo SCEP. Verifique se a conta do conector tem permissões de leitura e inscrição no modelo da CA e analise os registos do firewall para garantir que o URL do SCEP não está a ser bloqueado.
ROI e Impacto no Negócio
A transição para a implementação automatizada de certificados 802.1X proporciona retornos mensuráveis tanto na segurança como nas operações.
O WiFi baseado em palavras-passe gera um volume elevado de pedidos de suporte devido à expiração de credenciais, bloqueios e erros de digitação. A autenticação baseada em certificados é invisível para o utilizador e reduz tipicamente o volume de pedidos de suporte relacionados com WiFi em 70% a 80%.
Além disso, o EAP-TLS elimina o risco de roubo de credenciais e de ataques do tipo man-in-the-middle. Isto é essencial para a conformidade com frameworks como o PCI-DSS e o GDPR. Para operações de retalho multi-site ou grandes cadeias de hotéis, a automatização deste processo garante uma experiência de aprovisionamento consistente e zero-touch desde o primeiro dia, protegendo o perímetro da rede ao mesmo tempo que reduz significativamente os custos operacionais.
Definições Principais
SCEP
Simple Certificate Enrolment Protocol. Um protocolo que automatiza o processo de solicitação e instalação de certificados digitais em dispositivos, no qual a chave privada é gerada localmente.
O método recomendado para implementar certificados de autenticação WiFi em escala através de plataformas MDM.
PKCS
Public Key Cryptography Standards. Um método de implementação onde a Autoridade de Certificação gera as chaves pública e privada e as transmite para o endpoint.
Frequentemente utilizado para encriptação de email S/MIME, mas menos ideal para WiFi devido à transmissão da chave privada pela rede.
802.1X
Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN.
A base obrigatória para a segurança de WiFi empresarial, substituindo as vulneráveis chaves pré-partilhadas.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação que exige que tanto o cliente como o servidor apresentem certificados digitais válidos.
Considerado o método de autenticação mais seguro para redes 802.1X, eliminando vulnerabilidades baseadas em palavras-passe.
NDES
Network Device Enrolment Service. Uma função de servidor que atua como um gateway, permitindo que dispositivos sem credenciais de domínio obtenham certificados via SCEP.
Um componente de infraestrutura obrigatório ao implementar a distribuição de certificados SCEP com o Microsoft Intune.
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e contabilização.
O servidor que valida os certificados de cliente no diretório e concede acesso à rede.
CRL
Certificate Revocation List. Uma lista publicada pela Autoridade de Certificação que contém os números de série dos certificados que foram revogados.
Os servidores RADIUS devem verificar a CRL para garantir que um certificado apresentado ainda é válido e não foi comprometido.
CSR
Certificate Signing Request. Um bloco de texto codificado enviado a uma Autoridade de Certificação ao solicitar um certificado SSL/TLS.
Gerado pelo dispositivo durante o processo de registo SCEP para solicitar um certificado assinado.
Exemplos Práticos
Um hotel com 200 quartos necessita de implementar um WiFi seguro para os colaboradores em 150 dispositivos iOS geridos, utilizados pelas equipas de limpeza e manutenção. Atualmente, utilizam uma rede WPA2-PSK, mas a equipa continua a partilhar a palavra-passe com os hóspedes. Como deve o Diretor de TI implementar uma solução segura e automatizada?
O Diretor de TI deve migrar o WiFi dos colaboradores para WPA2-Enterprise utilizando a autenticação 802.1X EAP-TLS. Deve configurar o seu MDM (por exemplo, Jamf) para enviar uma carga de dados SCEP para os dispositivos iOS. A sequência de implementação é: 1) Enviar o certificado Root CA para que os dispositivos confiem na rede. 2) Enviar o perfil SCEP, instruindo os dispositivos a solicitar um certificado de cliente à CA através do gateway SCEP. 3) Enviar o perfil de WiFi configurado para WPA2-Enterprise e EAP-TLS, associando-o ao certificado SCEP. Os pontos de acesso de rede (por exemplo, HPE Aruba) são configurados para autenticar os clientes num servidor RADIUS central. Quando os colaboradores chegam, os seus dispositivos autenticam-se automaticamente utilizando o certificado, sem necessidade de palavra-passe.
Uma cadeia de lojas está a implementar novos tablets de ponto de venda (POS) em 50 localizações. Para cumprir os requisitos PCI-DSS, os tablets têm de se ligar a uma rede sem fios segura. O arquiteto de rede planeia utilizar o Microsoft Intune para a implementação. Que escolhas arquitetónicas garantem a conformidade e a segurança?
Para cumprir os requisitos PCI-DSS de criptografia e autenticação fortes, o arquiteto deve implementar 802.1X EAP-TLS. Utilizando o Microsoft Intune, deve selecionar SCEP em vez de PKCS para a implementação de certificados. Isto garante que a chave privada é gerada no TPM do tablet POS e nunca é transmitida pela rede. Deve configurar um servidor NDES publicado de forma segura através do Azure AD Application Proxy. Finalmente, deve configurar o servidor RADIUS para impor uma verificação rigorosa da CRL, garantindo que, se um tablet POS for comprometido, o seu certificado possa ser revogado e o acesso à rede bloqueado de imediato.
Perguntas de Prática
Q1. Está a implementar uma nova rede WiFi 802.1X para um campus corporativo utilizando o Microsoft Intune. Configurou o perfil Trusted Root, o perfil SCEP e o perfil WiFi. No entanto, durante os testes, os dispositivos recebem os certificados mas o perfil WiFi aparece como "Erro" na consola do Intune. Qual é a causa mais provável?
Dica: Considere como o MDM resolve as dependências entre perfis.
Ver resposta modelo
A causa mais provável é uma incompatibilidade na segmentação de grupos. O Intune exige que os perfis dependentes sejam atribuídos exatamente ao mesmo grupo do Azure AD. Se o perfil SCEP for atribuído a um grupo de Utilizadores e o perfil WiFi for atribuído a um grupo de Dispositivos, o Intune não consegue resolver a dependência, resultando num erro.
Q2. Uma organização de retalho pretende automatizar a distribuição de certificados para os tablets dos gerentes de loja. Estão a hesitar entre utilizar SCEP ou PKCS. A segurança é a sua principal preocupação, especificamente a proteção das chaves privadas. Qual protocolo devem escolher e porquê?
Dica: Pense em onde a chave privada é gerada em cada protocolo.
Ver resposta modelo
Devem escolher o SCEP. Num fluxo de trabalho SCEP, a chave privada é gerada localmente no tablet e armazenada no seu enclave seguro; nunca sai do dispositivo. Com o PKCS, a Autoridade de Certificação gera a chave privada e transmite-a através da rede para o dispositivo, o que introduz uma potencial vulnerabilidade de segurança.
Q3. Um funcionário sai da empresa e a sua conta de Active Directory é desativada. No entanto, a equipa de TI repara que o dispositivo do funcionário ainda está ligado à rede WiFi corporativa. A rede utiliza autenticação EAP-TLS. Que configuração está em falta no servidor RADIUS?
Dica: Desativar uma conta não invalida automaticamente um certificado emitido anteriormente.
Ver resposta modelo
Falta ao servidor RADIUS a verificação rigorosa da Certificate Revocation List (CRL). Mesmo que a conta do diretório esteja desativada, o certificado de cliente permanece criptograficamente válido até expirar ou ser explicitamente revogado. O servidor RADIUS deve estar configurado para verificar a CRL para garantir que o acesso à rede seja negado a certificados revogados.
Continue a ler esta série
Como Segregar com Segurança Redes WiFi de Funcionários e Convidados
Este guia técnico de referência fornece aos líderes de TI estratégias práticas para segregar com segurança redes WiFi de funcionários, convidados e IoT utilizando VLANs e 802.1X. Detalha como proteger a infraestrutura empresarial, manter a conformidade com o PCI-DSS e potenciar Captive Portals para recolher dados primários (first-party data).
Melhor filtragem DNS: um guia completo para empresas
Este guia de referência técnica explica como a filtragem DNS empresarial protege as redes públicas bloqueando domínios maliciosos na camada de resolução - antes de uma ligação ser estabelecida. Oferece aos diretores de TI, arquitetos de rede e equipas de operações de locais a arquitetura de implementação, configuração de firewall e contexto de conformidade necessários para proteger o Guest WiFi em ambientes de hotelaria, retalho e setor público. O Purple Shield bloqueia malware, botnets e conteúdos inadequados ao nível do DNS em mais de 80.000 locais ativos.
Compreender o Cisco SUDI: Identidade Ancorada em Hardware no Controlo de Acesso Seguro à Rede
Este guia explica como o Cisco SUDI fornece uma identidade criptograficamente segura e ancorada em hardware para a infraestrutura de rede empresarial. Saiba como substituir endereços MAC clonáveis por certificados 802.1AR imutáveis para proteger o controlo de acesso à rede do seu espaço.