Automatizar a Segurança de WiFi Empresarial: O Guia de Implementação de Certificados SCEP

Este guia técnico explica como automatizar a segurança de WiFi empresarial utilizando a implementação de certificados SCEP. Fornece um modelo de arquitetura detalhado e os passos de implementação para implementar a autenticação 802.1X EAP-TLS em redes corporativas e de convidados.

📖 5 min de leitura📝 1,248 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo a este briefing técnico. Estou aqui para o guiar através do nosso guia mais recente: Automatizar a Segurança de WiFi Empresarial, focando-me especificamente na Implementação de Certificados SCEP. Se gere redes para hotéis, cadeias de retalho ou locais públicos, já sabe que depender de chaves pré-partilhadas ou de simples portais cativos para o acesso dos funcionários é uma enorme vulnerabilidade de segurança. Hoje, falamos sobre o padrão de excelência: autenticação 802.1X utilizando EAP-TLS. 

Vamos mergulhar na arquitetura. O principal desafio com o EAP-TLS não é o protocolo em si; é a logística de colocar certificados de cliente únicos em milhares de dispositivos — sejam portáteis Windows, iPads ou tablets de ponto de venda. É aqui que entram em jogo as plataformas de Mobile Device Management, ou MDM, como o Microsoft Intune ou o Jamf. Mas como é que se entregam esses certificados de forma segura?

Geralmente, tem duas opções: PKCS ou SCEP. Deixe-me ser absolutamente claro nisto: para autenticação WiFi, o que pretende é o SCEP. Trata-se do Simple Certificate Enrollment Protocol. Eis porque é importante. Com o SCEP, o MDM instrui o dispositivo final a gerar a sua própria chave privada localmente. Essa chave permanece bloqueada no hardware seguro do dispositivo. Nunca viaja pela rede. O dispositivo apenas envia um Certificate Signing Request para a sua Autoridade de Certificação através de um gateway, normalmente um servidor NDES. 

Contraste isso com o PKCS, onde a Autoridade de Certificação gera a chave privada centralmente e a envia pela rede para o dispositivo. Embora o PKCS tenha o seu lugar — por exemplo, para encriptação de e-mail onde necessita de custódia de chaves —, transmitir chaves privadas pela rede é um risco que simplesmente não precisa de correr para a autenticação de rede. Mantenha as chaves no dispositivo. Utilize o SCEP.

Now, falemos de implementação. Se há algo que deve reter deste briefing, é esta regra prática: Confiança antes da Autenticação. Não pode simplesmente enviar um perfil de WiFi e esperar que funcione. Existe uma sequência de implementação rigorosa de três passos que deve seguir.

Passo um: Implementar o Certificado Trusted Root. Antes de um dispositivo poder solicitar um certificado de cliente, ou confiar no seu servidor RADIUS, tem de confiar na Autoridade de Certificação emissora. Envie este perfil primeiro.

Passo dois: Configurar e enviar o Perfil de Certificado SCEP. Isto indica ao dispositivo como comunicar com o gateway SCEP, que formato utilizar para o seu subject name e para que serve realmente o certificado — neste caso, Autenticação de Cliente. Deve associar este perfil ao Trusted Root que implementou no passo um.

Passo três: Implementar o Perfil de WiFi 802.1X. É aqui que junta tudo. Especifica o SSID, seleciona WPA3-Enterprise, define o tipo de EAP para EAP-TLS e aponta para o certificado SCEP para autenticação de cliente.

Eis um grande erro que vemos constantemente. Um cliente liga-nos e diz: "Os certificados estão no dispositivo, mas o perfil de WiFi mostra um erro no Intune." Quase sempre, trata-se de uma incompatibilidade na segmentação de grupos. Se atribuir o perfil SCEP a um grupo de 'Utilizadores', mas atribuir o perfil de WiFi a um grupo de 'Dispositivos', o MDM não conseguirá resolver a dependência. Corresponda os seus alvos exatamente nos três perfis.

Vejamos um cenário do mundo real. Imagine um hotel de 200 quartos. Têm 150 dispositivos iOS geridos para o serviço de limpeza. Atualmente, utilizam uma rede padrão com palavra-passe e os funcionários continuam a partilhar a palavra-passe com os hóspedes. É um pesadelo. Ao migrar para WPA2-Enterprise com EAP-TLS via SCEP, o Diretor de TI elimina totalmente a palavra-passe. Os dispositivos iOS autenticam-se silenciosamente em segundo plano utilizando os seus certificados. 

Mas o que acontece se um funcionário da limpeza perder um dispositivo ou sair da empresa? Desativar a sua conta do Active Directory não é suficiente, porque o certificado nesse dispositivo ainda é criptograficamente válido. Isto leva-nos a um controlo de segurança crítico: verificação rigorosa da CRL. Deve configurar o seu servidor RADIUS para verificar a Lista de Revogação de Certificados. Se um dispositivo desaparecer, revoga o certificado na CA. O servidor RADIUS deteta a revogação na CRL e bloqueia imediatamente o acesso à rede. Sem uma verificação rigorosa da CRL, a sua postura de segurança está incompleta.

Para concluir, a transição para a implementação automatizada de certificados SCEP proporciona um ROI massivo. Verá uma redução de 70 a 80 por cento nos pedidos de suporte relacionados com WiFi, porque os utilizadores não ficam bloqueados nem introduzem palavras-passe incorretamente. Mais importante ainda, elimina o risco de recolha de credenciais, garantindo o cumprimento de quadros de conformidade como o PCI DSS e o GDPR. 

Automatizar a segurança de WiFi empresarial não se trata apenas de bloquear as coisas; trata-se de tornar o caminho seguro no caminho mais fácil para os seus utilizadores. Obrigado por ouvir e não se esqueça de consultar o guia escrito completo para obter todos os detalhes de configuração passo a passo.

Principais Conclusões

✓O 802.1X EAP-TLS é o padrão para WiFi empresarial seguro, exigindo certificados de cliente em todos os dispositivos.
✓As plataformas MDM automatizam a implementação de certificados em escala utilizando perfis SCEP ou PKCS.
✓O SCEP é altamente recomendado para autenticação WiFi porque a chave privada é gerada localmente e nunca sai do dispositivo.
✓La implementação requer uma sequência rigorosa: Trusted Root, depois Perfil SCEP e, finalmente, Perfil de Wi-Fi.
✓A segmentação de grupos deve ser idêntica em todos os perfis relacionados para evitar falhas de dependência.
✓Os servidores NDES devem ser publicados de forma segura através de proxies de aplicação para permitir o aprovisionamento remoto de certificados.
✓A verificação rigorosa da CRL no servidor RADIUS é obrigatória para garantir que os certificados revogados não possam aceder à rede.

Resumo Executivo

Para locais empresariais nos setores da hotelaria, retalho e público, depender de chaves pré-partilhadas ou de portais cativos básicos para o acesso à rede introduz vulnerabilidades de segurança graves. A arquitetura de rede moderna exige autenticação 802.1X utilizando EAP-TLS, garantindo que cada dispositivo é verificado criptograficamente antes de aceder à rede. O desafio para os gestores de TI e arquitetos de rede é implementar certificados de cliente únicos em milhares de dispositivos Windows, iOS e Android de forma eficiente.

Este guia fornece um modelo de arquitetura definitivo e uma estratégia de implementação passo a passo para a implementação automatizada de certificados WiFi utilizando o Simple Certificate Enrollment Protocol (SCEP). Ao integrar a sua plataforma de Mobile Device Management (MDM) com um gateway SCEP e uma Autoridade de Certificação (CA), pode enviar certificados raiz confiáveis e de cliente de forma silenciosa para os endpoints geridos. Exploramos as diferenças críticas entre SCEP e PKCS, detalhamos a sequência exata de implementação necessária para o sucesso e delineamos estratégias de mitigação de riscos do mundo real para garantir que as suas redes WiFi permaneçam seguras e eficientes.

Ouça o briefing do podcast complementar:

Análise Técnica Detalhada: Arquitetura SCEP e EAP-TLS

Ao desenhar a sua estratégia de implementação de certificados WiFi empresariais, a decisão de arquitetura central é como entregar os certificados de forma segura. O padrão da indústria para este processo é o SCEP. O SCEP automatiza o processo de registo de certificados, permitindo que os dispositivos solicitem certificados de forma segura a uma Autoridade de Certificação utilizando um protocolo padronizado.

A Vantagem do SCEP sobre o PKCS

Embora plataformas como o Microsoft Intune suportem tanto SCEP como Public Key Cryptography Standards (PKCS), estas operam de forma fundamentalmente diferente. Num fluxo de trabalho SCEP, o serviço MDM instrui o endpoint a gerar o seu próprio par de chaves privada e pública. O dispositivo cria então um Certificate Signing Request (CSR) e envia-o através de um servidor Network Device Enrollment Service (NDES) para a sua CA. A CA assina o pedido e devolve o certificado público ao dispositivo.

A vantagem crítica de segurança do SCEP é que a chave privada nunca sai do dispositivo. É gerada localmente e armazenada no enclave seguro do dispositivo. Isto torna o SCEP a abordagem fortemente recomendada para a autenticação 802.1X. Pelo contrário, com o PKCS, a CA gera ambas as chaves centralmente e transmite-as pela rede. O PKCS é mais adequado para casos de utilização que exijam custódia de chaves, como a encriptação de e-mail S/MIME, em vez de autenticação de rede.

Autenticação 802.1X e EAP-TLS

O padrão IEEE 802.1X fornece uma estrutura para a gestão centralizada de acessos à rede. Define como passar pacotes Extensible Authentication Protocol (EAP) sobre Redes Locais (EAPoL) para autenticação entre o cliente, o ponto de acesso e o servidor de autenticação (normalmente um servidor RADIUS).

O EAP-TLS é o protocolo de autenticação mais seguro para redes 802.1X. Exige autenticação mútua: o cliente verifica o certificado do servidor RADIUS e o servidor RADIUS verifica o certificado do cliente. Este processo de validação rigoroso garante que apenas utilizadores autenticados e autorizados em dispositivos registados tenham acesso, protegendo a rede contra ameaças como ataques Evil Twin.

Guia de Implementação: A Sequência de Implementação

Configurar com sucesso a implementação automatizada de certificados para 802.1X requer a adesão estrita a uma sequência específica. As dependências de perfil ditam que a confiança deve ser estabelecida antes que a autenticação possa ser configurada. Isto aplica-se quer utilize o Microsoft Intune, o Jamf ou outra plataforma MDM.

Passo 1: Implementar o Certificado Trusted Root

Antes de qualquer dispositivo poder solicitar um certificado de cliente ou confiar no seu servidor RADIUS, deve confiar na Autoridade de Certificação emissora.

Exporte o seu certificado Root CA e quaisquer certificados CA Intermédios.
Na sua plataforma MDM, crie um perfil de certificado confiável.
Carregue os ficheiros de certificado e implemente este perfil nos seus grupos de dispositivos de destino.

Passo 2: Configurar o Perfil de Certificado SCEP

Assim que a confiança estiver estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter o seu certificado de cliente.

Crie um novo perfil de configuração de certificado SCEP.
Configure o formato do subject name. Para autenticação baseada no utilizador, utilize o User Principal Name. Para autenticação de dispositivo, utilize o ID do dispositivo.
Defina a utilização da chave para assinatura digital e cifragem de chave (key encipherment).
Especifique Autenticação de Cliente para a utilização estendida da chave.
Associe este perfil ao perfil de certificado Trusted Root criado no Passo 1.
Forneça o URL externo do seu gateway SCEP ou servidor NDES.

Passo 3: Implementar o Perfil de WiFi 802.1X

O passo final é enviar a configuração de WiFi que associa os certificados ao SSID da rede.

Crie um perfil de configuração de WiFi.
Introduza o SSID exatamente como é transmitido pelos seus pontos de acesso.
Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
Defina o tipo de EAP para EAP-TLS.
Selecione o perfil de certificado SCEP criado no Passo 2 para a autenticação de cliente.
Especifique o certificado Trusted Root para validação do servidor para garantir que o dispositivo apenas se liga ao seu servidor RADIUS legítimo.

Boas Práticas para Ambientes Empresariais

Ao implementar a implementação de certificados SCEP, adira a estas boas práticas neutras em termos de fornecedor para garantir a conformidade e a fiabilidade.

Proteger o Gateway SCEP

O gateway SCEP ou servidor NDES deve estar acessível a partir da internet para permitir que os dispositivos remotos aprovisionem certificados antes de chegarem ao local. No entanto, expor um servidor interno diretamente à internet é um risco de segurança significativo. Publique o URL utilizando um proxy de aplicação. Isto fornece um acesso remoto seguro sem abrir portas de firewall de entrada e permite-lhe aplicar políticas de acesso condicional ao fluxo de registo.

Impor a Verificação Rigorosa de CRL

A implementação de certificados é apenas metade da equação de segurança; a revogação é igualmente crítica. Se um colaborador for desligado, desativar a sua conta de diretório pode não revogar imediatamente o seu acesso WiFi se o seu certificado de cliente permanecer válido. Configure o seu servidor RADIUS para impor uma verificação rigorosa da Lista de Revogação de Certificados (CRL). Certifique-se de que os seus pontos de distribuição de CRL estão altamente disponíveis; se o servidor RADIUS não conseguir aceder à CRL, a autenticação falhará, causando uma interrupção generalizada.

Integração de Hardware

Certifique-se de que a sua infraestrutura de rede suporta os protocolos necessários. A Purple integra-se perfeitamente com hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configure estes sistemas para encaminhar pedidos de autenticação para a sua infraestrutura RADIUS centralizada.

Resolução de Problemas e Mitigação de Riscos

Mesmo com um planeamento meticuloso, a implementação de certificados pode encontrar problemas. Aqui estão os modos de falha comuns e as estratégias de mitigação.

Falhas de Dependência

Um problema comum ocorre quando o dispositivo recebe os certificados Trusted Root e SCEP, mas o perfil de WiFi falha ao ser aplicado. Isto é quase sempre causado por uma incompatibilidade na segmentação de grupos dentro do MDM. Se o perfil SCEP for atribuído a um grupo de utilizadores, mas o perfil de WiFi for atribuído a um grupo de dispositivos, o MDM não conseguirá resolver a dependência. Audite as suas atribuições e certifique-se de que todos os perfis relacionados são implementados exatamente no mesmo grupo de diretório.

Erros de Registo

Se os dispositivos não conseguirem obter o certificado SCEP e os registos do gateway mostrarem erros HTTP 403, a conta de serviço poderá não ter as permissões necessárias no modelo de certificado, ou a filtragem de URL na sua firewall poderá estar a bloquear os parâmetros específicos de query string utilizados pelo SCEP. Verifique se a conta do conector tem permissões de leitura e registo no modelo de CA, e verifique os registos da firewall para garantir que os URLs do SCEP não estão bloqueados.

ROI e Impacto no Negócio

A transição para a implementação automatizada de certificados 802.1X proporciona retornos mensuráveis em termos de segurança e operações.

O WiFi baseado em palavra-passe gera um volume significativo de pedidos de suporte devido a expirações de palavras-passe, bloqueios e erros de digitação. A autenticação baseada em certificados é invisível para o utilizador, reduzindo normalmente o volume de helpdesk relacionado com WiFi em 70% a 80%.

Além disso, EAP-TLS elimina o risco de recolha de credenciais e de ataques Man-in-the-Middle. Isto é fundamental para a conformidade com frameworks como o PCI DSS e o GDPR. Para uma operação de retalho multi-site ou uma grande cadeia hoteleira, a automatização deste processo garante uma experiência de aprovisionamento unificada e "zero-touch" desde o primeiro dia, reduzindo significativamente os custos operacionais e protegendo, ao mesmo tempo, o perímetro da rede.

Definições Principais

SCEP

Simple Certificate Enrollment Protocol. Um protocolo que automatiza o processo de solicitação e instalação de certificados digitais em dispositivos, onde a chave privada é gerada localmente.

O método recomendado para implementar certificados de autenticação WiFi em escala através de plataformas MDM.

PKCS

Public Key Cryptography Standards. Um método de implementação onde a Autoridade de Certificação gera as chaves pública e privada e as transmite para o endpoint.

Frequentemente utilizado para encriptação de e-mail S/MIME, mas menos ideal para WiFi devido à transmissão da chave privada pela rede.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN.

A linha de base obrigatória para a segurança de WiFi empresarial, substituindo as chaves pré-partilhadas vulneráveis.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação que exige que tanto o cliente como o servidor apresentem certificados digitais válidos.

Considerado o método de autenticação mais seguro para redes 802.1X, eliminando vulnerabilidades baseadas em palavras-passe.

NDES

Network Device Enrollment Service. Uma função de servidor que atua como um gateway, permitindo que dispositivos sem credenciais de domínio obtenham certificados via SCEP.

Um componente de infraestrutura obrigatório ao implementar a implementação de certificados SCEP com o Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e faturação (accounting).

O servidor que valida os certificados de cliente face ao diretório e concede acesso à rede.

CRL

Certificate Revocation List. Uma lista publicada pela Autoridade de Certificação que contém os números de série dos certificados que foram revogados.

Os servidores RADIUS devem verificar a CRL para garantir que um certificado apresentado ainda é válido e não foi comprometido.

CSR

Certificate Signing Request. Um bloco de texto codificado fornecido a uma Autoridade de Certificação ao solicitar um certificado SSL/TLS.

Gerado pelo dispositivo durante o processo de registo SCEP para solicitar um certificado assinado.

Exemplos Práticos

Um hotel de 200 quartos precisa de implementar um WiFi seguro para os funcionários em 150 dispositivos iOS geridos, utilizados pelo serviço de limpeza e manutenção. Atualmente, utilizam uma rede WPA2-PSK, mas os funcionários continuam a partilhar a palavra-passe com os hóspedes. Como deve o Diretor de TI implementar uma solução segura e automatizada?

O Diretor de TI deve migrar o WiFi dos funcionários para WPA2-Enterprise utilizando a autenticação 802.1X EAP-TLS. Deve configurar o seu MDM (por exemplo, Jamf) para enviar um payload SCEP para os dispositivos iOS. A sequência de implementação é: 1) Enviar o certificado Root CA para que os dispositivos confiem na rede. 2) Enviar o perfil SCEP, instruindo os dispositivos a solicitar um certificado de cliente à CA através do gateway SCEP. 3) Enviar o perfil de WiFi configurado para WPA2-Enterprise e EAP-TLS, associando-o ao certificado SCEP. Os pontos de acesso de rede (por exemplo, HPE Aruba) são configurados para autenticar os clientes num servidor RADIUS central. Quando os funcionários chegam, os seus dispositivos autenticam-se automaticamente utilizando o certificado, sem necessidade de palavra-passe.

Comentário do Examinador: Esta abordagem elimina totalmente a vulnerabilidade de partilha de palavra-passe. Ao utilizar SCEP e EAP-TLS, o hotel garante que apenas dispositivos geridos e autorizados podem aceder ao WiFi dos funcionários. As chaves privadas permanecem seguras nos dispositivos iOS e, se um dispositivo for perdido ou um funcionário sair, o certificado pode ser revogado centralmente através da CRL, terminando imediatamente o acesso à rede.

Uma cadeia de retalho está a implementar novos tablets de ponto de venda (POS) em 50 localizações. Para cumprir os requisitos PCI DSS, os tablets devem ligar-se a uma rede sem fios segura. O arquiteto de rede planeia utilizar o Microsoft Intune para a implementação. Que escolhas de arquitetura garantem a conformidade e a segurança?

Para cumprir os requisitos PCI DSS de criptografia forte e autenticação, o arquiteto deve implementar 802.1X EAP-TLS. Utilizando o Microsoft Intune, deve selecionar SCEP em vez de PKCS para a implementação de certificados. Isto garante que a chave privada é gerada no TPM do tablet POS e nunca é transmitida pela rede. Deve configurar um servidor NDES publicado de forma segura através do Azure AD Application Proxy. Finalmente, deve configurar o servidor RADIUS para impor uma verificação rigorosa da CRL, garantindo que, se um tablet POS for comprometido, o seu certificado possa ser revogado e o acesso à rede bloqueado imediatamente.

Comentário do Examinador: A escolha de SCEP em vez de PKCS é a decisão crítica aqui para a conformidade com o PCI DSS, pois impede a transmissão da chave privada. A publicação do servidor NDES através de um proxy de aplicação protege a infraestrutura de registo. A verificação rigorosa da CRL é obrigatória; sem ela, um certificado revogado ainda poderá permitir que um dispositivo comprometido aceda à rede de pagamentos.

Perguntas de Prática

Q1. Está a implementar uma nova rede WiFi 802.1X para um campus corporativo utilizando o Microsoft Intune. Configurou o perfil Trusted Root, o perfil SCEP e o perfil de WiFi. No entanto, durante os testes, os dispositivos recebem os certificados, mas o perfil de WiFi é apresentado como 'Erro' na consola do Intune. Qual é a causa mais provável?

Dica: Considere como o MDM resolve as dependências entre perfis.

Ver resposta modelo

A causa mais provável é uma incompatibilidade na segmentação de grupos. O Intune exige que os perfis dependentes sejam atribuídos exatamente ao mesmo grupo do Azure AD. Se o perfil SCEP for atribuído a um grupo de Utilizadores e o perfil de WiFi for atribuído a um grupo de Dispositivos, o Intune não conseguirá resolver a dependência, resultando num erro.

Q2. Uma organização de retalho pretende automatizar a implementação de certificados para os tablets dos gerentes de loja. Estão a debater-se entre utilizar SCEP ou PKCS. A segurança é a sua principal preocupação, especificamente a proteção das chaves privadas. Qual protocolo devem escolher e porquê?

Dica: Pense em onde a chave privada é gerada em cada protocolo.

Ver resposta modelo

Devem escolher o SCEP. Num fluxo de trabalho SCEP, a chave privada é gerada localmente no tablet e armazenada no seu enclave seguro; nunca sai do dispositivo. Com o PKCS, a Autoridade de Certificação gera a chave privada e transmite-a pela rede para o dispositivo, o que introduz uma potencial vulnerabilidade de segurança.

Q3. Um funcionário sai da empresa e a sua conta do Active Directory é desativada. No entanto, a equipa de TI nota que o dispositivo do funcionário ainda está ligado à rede WiFi corporativa. A rede utiliza autenticação EAP-TLS. Que configuração está em falta no servidor RADIUS?

Dica: Desativar uma conta não invalida automaticamente um certificado emitido anteriormente.

Ver resposta modelo

O servidor RADIUS não tem a verificação rigorosa da Lista de Revogação de Certificados (CRL) configurada. Mesmo que a conta do diretório esteja desativada, o certificado de cliente permanece criptograficamente válido até expirar ou ser explicitamente revogado. O servidor RADIUS deve ser configurado para verificar a CRL para garantir que o acesso à rede seja negado a certificados revogados.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.