Automatizar a Segurança de WiFi Empresarial: O Guia de Implementação de Certificados SCEP

Este guia técnico explica como automatizar a segurança de WiFi empresarial utilizando a implementação de certificados SCEP. Fornece um modelo de arquitetura detalhado e os passos de implementação para implementar a autenticação 802.1X EAP-TLS em redes corporativas e de convidados.

📖 5 min de leitura📝 1,248 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo a este briefing técnico. Estou aqui para o guiar através do nosso guia mais recente: Automatizar a Segurança de WiFi Empresarial, focando-me especificamente na Implementação de Certificados SCEP. Se gere redes para hotéis, cadeias de retalho ou locais públicos, já sabe que depender de chaves pré-partilhadas ou de simples portais cativos para o acesso dos funcionários é uma enorme vulnerabilidade de segurança. Hoje, falamos sobre o padrão de excelência: autenticação 802.1X utilizando EAP-TLS. 

Vamos mergulhar na arquitetura. O principal desafio com o EAP-TLS não é o protocolo em si; é a logística de colocar certificados de cliente únicos em milhares de dispositivos — sejam portáteis Windows, iPads ou tablets de ponto de venda. É aqui que entram em jogo as plataformas de Mobile Device Management, ou MDM, como o Microsoft Intune ou o Jamf. Mas como é que se entregam esses certificados de forma segura?

Geralmente, tem duas opções: PKCS ou SCEP. Deixe-me ser absolutamente claro nisto: para autenticação WiFi, o que pretende é o SCEP. Trata-se do Simple Certificate Enrollment Protocol. Eis porque é importante. Com o SCEP, o MDM instrui o dispositivo final a gerar a sua própria chave privada localmente. Essa chave permanece bloqueada no hardware seguro do dispositivo. Nunca viaja pela rede. O dispositivo apenas envia um Certificate Signing Request para a sua Autoridade de Certificação através de um gateway, normalmente um servidor NDES. 

Contraste isso com o PKCS, onde a Autoridade de Certificação gera a chave privada centralmente e a envia pela rede para o dispositivo. Embora o PKCS tenha o seu lugar — por exemplo, para encriptação de e-mail onde necessita de custódia de chaves —, transmitir chaves privadas pela rede é um risco que simplesmente não precisa de correr para a autenticação de rede. Mantenha as chaves no dispositivo. Utilize o SCEP.

Now, falemos de implementação. Se há algo que deve reter deste briefing, é esta regra prática: Confiança antes da Autenticação. Não pode simplesmente enviar um perfil de WiFi e esperar que funcione. Existe uma sequência de implementação rigorosa de três passos que deve seguir.

Passo um: Implementar o Certificado Trusted Root. Antes de um dispositivo poder solicitar um certificado de cliente, ou confiar no seu servidor RADIUS, tem de confiar na Autoridade de Certificação emissora. Envie este perfil primeiro.

Passo dois: Configurar e enviar o Perfil de Certificado SCEP. Isto indica ao dispositivo como comunicar com o gateway SCEP, que formato utilizar para o seu subject name e para que serve realmente o certificado — neste caso, Autenticação de Cliente. Deve associar este perfil ao Trusted Root que implementou no passo um.

Passo três: Implementar o Perfil de WiFi 802.1X. É aqui que junta tudo. Especifica o SSID, seleciona WPA3-Enterprise, define o tipo de EAP para EAP-TLS e aponta para o certificado SCEP para autenticação de cliente.

Eis um grande erro que vemos constantemente. Um cliente liga-nos e diz: "Os certificados estão no dispositivo, mas o perfil de WiFi mostra um erro no Intune." Quase sempre, trata-se de uma incompatibilidade na segmentação de grupos. Se atribuir o perfil SCEP a um grupo de 'Utilizadores', mas atribuir o perfil de WiFi a um grupo de 'Dispositivos', o MDM não conseguirá resolver a dependência. Corresponda os seus alvos exatamente nos três perfis.

Vejamos um cenário do mundo real. Imagine um hotel de 200 quartos. Têm 150 dispositivos iOS geridos para o serviço de limpeza. Atualmente, utilizam uma rede padrão com palavra-passe e os funcionários continuam a partilhar a palavra-passe com os hóspedes. É um pesadelo. Ao migrar para WPA2-Enterprise com EAP-TLS via SCEP, o Diretor de TI elimina totalmente a palavra-passe. Os dispositivos iOS autenticam-se silenciosamente em segundo plano utilizando os seus certificados. 

Mas o que acontece se um funcionário da limpeza perder um dispositivo ou sair da empresa? Desativar a sua conta do Active Directory não é suficiente, porque o certificado nesse dispositivo ainda é criptograficamente válido. Isto leva-nos a um controlo de segurança crítico: verificação rigorosa da CRL. Deve configurar o seu servidor RADIUS para verificar a Lista de Revogação de Certificados. Se um dispositivo desaparecer, revoga o certificado na CA. O servidor RADIUS deteta a revogação na CRL e bloqueia imediatamente o acesso à rede. Sem uma verificação rigorosa da CRL, a sua postura de segurança está incompleta.

Para concluir, a transição para a implementação automatizada de certificados SCEP proporciona um ROI massivo. Verá uma redução de 70 a 80 por cento nos pedidos de suporte relacionados com WiFi, porque os utilizadores não ficam bloqueados nem introduzem palavras-passe incorretamente. Mais importante ainda, elimina o risco de recolha de credenciais, garantindo o cumprimento de quadros de conformidade como o PCI DSS e o GDPR. 

Automatizar a segurança de WiFi empresarial não se trata apenas de bloquear as coisas; trata-se de tornar o caminho seguro no caminho mais fácil para os seus utilizadores. Obrigado por ouvir e não se esqueça de consultar o guia escrito completo para obter todos os detalhes de configuração passo a passo.

Principais Conclusões

✓O 802.1X EAP-TLS é o padrão para WiFi empresarial seguro, exigindo certificados de cliente em todos os dispositivos.
✓As plataformas MDM automatizam a implementação de certificados em escala utilizando perfis SCEP ou PKCS.
✓O SCEP é altamente recomendado para autenticação WiFi porque a chave privada é gerada localmente e nunca sai do dispositivo.
✓La implementação requer uma sequência rigorosa: Trusted Root, depois Perfil SCEP e, finalmente, Perfil de Wi-Fi.
✓A segmentação de grupos deve ser idêntica em todos os perfis relacionados para evitar falhas de dependência.
✓Os servidores NDES devem ser publicados de forma segura através de proxies de aplicação para permitir o aprovisionamento remoto de certificados.
✓A verificação rigorosa da CRL no servidor RADIUS é obrigatória para garantir que os certificados revogados não possam aceder à rede.

执行摘要

对于酒店、零售和公共部门的企事业单位而言，依靠预共享密钥或基础 Captive Portal 进行网络访问会引入严重的安全漏洞。现代网络架构要求使用 EAP-TLS 进行 802.1X 认证，以确保每个设备在访问网络之前都经过密码学验证。对于 IT 经理和网络架构师来说，挑战在于如何高效地向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书。

本指南为使用简单证书注册协议 (SCEP) 进行自动化 WiFi 证书部署提供了权威的架构蓝图和分步实施策略。通过将您的移动设备管理 (MDM) 平台与 SCEP 网关和证书颁发机构 (CA) 集成，您可以将受信任的根证书和客户端证书静默推送到受管终端。我们将探讨 SCEP 与 PKCS 之间的关键区别，详细介绍成功部署所需的精确步骤顺序，并概述实际的风险缓解策略，以确保您的 WiFi 网络保持安全和高效。

收听配套播客简报：

技术深度解析：SCEP 架构与 EAP-TLS

在设计企业 WiFi 证书部署策略时，核心架构决策是如何安全地交付证书。该过程的行业标准是 SCEP。SCEP 自动执行证书注册过程，允许设备使用标准化协议安全地向证书颁发机构请求证书。

SCEP 相比 PKCS 的优势

虽然 Microsoft Intune 等平台同时支持 SCEP 和公钥加密标准 (PKCS)，但它们的运行机制根本不同。在 SCEP 工作流中，MDM 服务指示终端生成自己的私钥和公钥对。然后，设备创建证书签名请求 (CSR)，并通过网络设备注册服务 (NDES) 服务器将其发送到您的 CA。CA 对请求进行签名并将公钥证书返回给设备。

SCEP 的关键安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的安全隔离区中。这使得 SCEP 成为 802.1X 认证的强烈推荐方法。相反，使用 PKCS 时，CA 会集中生成两个密钥并通过网络传输。PKCS 更适合需要密钥托管的用例（例如 S/MIME 邮件加密），而不是网络认证。

802.1X 与 EAP-TLS 认证

IEEE 802.1X 标准为集中式网络访问管理提供了框架。它定义了如何在局域网 (EAPoL) 上传输可扩展身份验证协议 (EAP) 数据包，以便在客户端、接入点和认证服务器（通常是 RADIUS 服务器）之间进行认证。

EAP-TLS 是 802.1X 网络中最安全的认证协议。它需要双向认证：客户端验证 RADIUS 服务器的证书，RADIUS 服务器验证客户端的证书。这种严格的验证过程确保只有已注册设备上经过身份验证和授权的用户才能获得访问权限，从而保护网络免受双面恶魔 (Evil Twin) 攻击等威胁。

实施指南：部署顺序

成功配置 802.1X 的自动化证书部署需要严格遵守特定顺序。配置文件依赖关系决定了在配置认证之前必须先建立信任。无论您使用 Microsoft Intune、Jamf 还是其他 MDM 平台，这都适用。

步骤 1：部署受信任的根证书

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前，它必须信任颁发证书的证书颁发机构。

导出您的根 CA 证书和任何中间 CA 证书。
在您的 MDM 平台中，创建一个受信任的证书配置文件。
上传证书文件并将此配置文件部署到您的目标设备组。

步骤 2：配置 SCEP 证书配置文件

建立信任后，配置 SCEP 配置文件以指示设备如何获取其客户端证书。

创建一个新的 SCEP 证书配置配置文件。
配置使用者名称格式。对于用户驱动的认证，使用用户主体名称 (UPN)。对于设备认证，使用设备 ID。
将密钥用法设置为数字签名和密钥加密。
为增强型密钥用法指定客户端认证。
将此配置文件链接到步骤 1 中创建的受信任根证书配置文件。
提供您的 SCEP 网关或 NDES 服务器的外部 URL。

步骤 3：部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。

创建一个 WiFi 配置配置文件。
输入与您的接入点广播完全一致的 SSID。
选择 WPA2-Enterprise 或 WPA3-Enterprise 作为安全类型。
将 EAP 类型设置为 EAP-TLS。
选择步骤 2 中创建的 SCEP 证书配置文件进行客户端认证。
指定用于服务器验证的受信任根证书，以确保设备仅连接到您合法的 RADIUS 服务器。

企业环境最佳实践

在实施 SCEP 证书部署时，请遵循以下与厂商无关的最佳实践，以确保合规性和可靠性。

保护 SCEP 网关安全

SCEP 网关或 NDES 服务器必须能够从互联网访问，以便远程设备在到达现场之前能够配置证书。然而，将内部服务器直接暴露给互联网会带来重大的安全风险。请使用应用代理发布该 URL。这可以在不打开入站防火墙端口的情况下提供安全的远程访问，并允许您对注册流程应用条件访问策略。

强制执行严格的 CRL 检查

证书部署只是安全方程式的一半，吊销同样至关重要。如果员工离职，禁用其目录帐户可能无法立即撤销其 WiFi 访问权限（如果其客户端证书仍然有效）。请配置您的 RADIUS 服务器以强制执行严格的证书吊销列表 (CRL) 检查。确保您的 CRL 分发点高度可用；如果 RADIUS 服务器无法访问 CRL，身份验证将失败，从而导致大范围的服务中断。

硬件集成

确保您的网络基础设施支持所需的协议。Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件无缝集成。配置这些系统以将身份验证请求转发到您的集中式 RADIUS 基础设施。

故障排除与风险缓解

即使经过精心规划，证书部署也可能会遇到问题。以下是常见的失败模式和缓解策略。

依赖关系失败

一个常见问题是设备接收到了受信任的根证书和 SCEP 证书，但 WiFi 配置文件应用失败。这几乎总是由于 MDM 内的组目标不匹配引起的。如果 SCEP 配置文件分配给用户组，而 WiFi 配置文件分配给设备组，则 MDM 无法解析该依赖关系。请审核您的分配，并确保所有相关配置文件都部署到完全相同的目录组。

注册错误

如果设备无法检索 SCEP 证书且网关日志显示 HTTP 403 错误，则服务帐户可能在证书模板上缺乏必要的权限，或者防火墙上的 URL 过滤阻止了 SCEP 使用的特定查询字符串参数。请验证连接器帐户在 CA 模板上是否具有读取和注册权限，并检查防火墙日志以确保 SCEP URL 未被阻止。

投资回报率与业务影响

过渡到自动化的 802.1X 证书部署可在安全和运营方面带来可衡量的回报。

基于密码的 WiFi 由于密码过期、锁定和拼写错误，会产生大量的支持工单。基于证书的身份验证对用户是无感的，通常可减少 70% 至 80% 与 WiFi 相关的服务台工单量。

此外，EAP-TLS 消除了凭据窃取和中间人攻击的风险。这对于符合 PCI DSS 和 GDPR 等框架至关重要。对于多分支机构的零售业务或大型连锁酒店，自动化此流程可确保从第一天起就获得统一、零接触的配置体验，在保障网络边界安全的同时，显著降低运营开销。

Definições Principais

SCEP

Simple Certificate Enrollment Protocol. Um protocolo que automatiza o processo de solicitação e instalação de certificados digitais em dispositivos, onde a chave privada é gerada localmente.

O método recomendado para implementar certificados de autenticação WiFi em escala através de plataformas MDM.

PKCS

Public Key Cryptography Standards. Um método de implementação onde a Autoridade de Certificação gera as chaves pública e privada e as transmite para o endpoint.

Frequentemente utilizado para encriptação de e-mail S/MIME, mas menos ideal para WiFi devido à transmissão da chave privada pela rede.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN.

A linha de base obrigatória para a segurança de WiFi empresarial, substituindo as chaves pré-partilhadas vulneráveis.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação que exige que tanto o cliente como o servidor apresentem certificados digitais válidos.

Considerado o método de autenticação mais seguro para redes 802.1X, eliminando vulnerabilidades baseadas em palavras-passe.

NDES

Network Device Enrollment Service. Uma função de servidor que atua como um gateway, permitindo que dispositivos sem credenciais de domínio obtenham certificados via SCEP.

Um componente de infraestrutura obrigatório ao implementar a implementação de certificados SCEP com o Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e faturação (accounting).

O servidor que valida os certificados de cliente face ao diretório e concede acesso à rede.

CRL

Certificate Revocation List. Uma lista publicada pela Autoridade de Certificação que contém os números de série dos certificados que foram revogados.

Os servidores RADIUS devem verificar a CRL para garantir que um certificado apresentado ainda é válido e não foi comprometido.

CSR

Certificate Signing Request. Um bloco de texto codificado fornecido a uma Autoridade de Certificação ao solicitar um certificado SSL/TLS.

Gerado pelo dispositivo durante o processo de registo SCEP para solicitar um certificado assinado.

Exemplos Práticos

Um hotel de 200 quartos precisa de implementar um WiFi seguro para os funcionários em 150 dispositivos iOS geridos, utilizados pelo serviço de limpeza e manutenção. Atualmente, utilizam uma rede WPA2-PSK, mas os funcionários continuam a partilhar a palavra-passe com os hóspedes. Como deve o Diretor de TI implementar uma solução segura e automatizada?

O Diretor de TI deve migrar o WiFi dos funcionários para WPA2-Enterprise utilizando a autenticação 802.1X EAP-TLS. Deve configurar o seu MDM (por exemplo, Jamf) para enviar um payload SCEP para os dispositivos iOS. A sequência de implementação é: 1) Enviar o certificado Root CA para que os dispositivos confiem na rede. 2) Enviar o perfil SCEP, instruindo os dispositivos a solicitar um certificado de cliente à CA através do gateway SCEP. 3) Enviar o perfil de WiFi configurado para WPA2-Enterprise e EAP-TLS, associando-o ao certificado SCEP. Os pontos de acesso de rede (por exemplo, HPE Aruba) são configurados para autenticar os clientes num servidor RADIUS central. Quando os funcionários chegam, os seus dispositivos autenticam-se automaticamente utilizando o certificado, sem necessidade de palavra-passe.

Comentário do Examinador: Esta abordagem elimina totalmente a vulnerabilidade de partilha de palavra-passe. Ao utilizar SCEP e EAP-TLS, o hotel garante que apenas dispositivos geridos e autorizados podem aceder ao WiFi dos funcionários. As chaves privadas permanecem seguras nos dispositivos iOS e, se um dispositivo for perdido ou um funcionário sair, o certificado pode ser revogado centralmente através da CRL, terminando imediatamente o acesso à rede.

Uma cadeia de retalho está a implementar novos tablets de ponto de venda (POS) em 50 localizações. Para cumprir os requisitos PCI DSS, os tablets devem ligar-se a uma rede sem fios segura. O arquiteto de rede planeia utilizar o Microsoft Intune para a implementação. Que escolhas de arquitetura garantem a conformidade e a segurança?

Para cumprir os requisitos PCI DSS de criptografia forte e autenticação, o arquiteto deve implementar 802.1X EAP-TLS. Utilizando o Microsoft Intune, deve selecionar SCEP em vez de PKCS para a implementação de certificados. Isto garante que a chave privada é gerada no TPM do tablet POS e nunca é transmitida pela rede. Deve configurar um servidor NDES publicado de forma segura através do Azure AD Application Proxy. Finalmente, deve configurar o servidor RADIUS para impor uma verificação rigorosa da CRL, garantindo que, se um tablet POS for comprometido, o seu certificado possa ser revogado e o acesso à rede bloqueado imediatamente.

Comentário do Examinador: A escolha de SCEP em vez de PKCS é a decisão crítica aqui para a conformidade com o PCI DSS, pois impede a transmissão da chave privada. A publicação do servidor NDES através de um proxy de aplicação protege a infraestrutura de registo. A verificação rigorosa da CRL é obrigatória; sem ela, um certificado revogado ainda poderá permitir que um dispositivo comprometido aceda à rede de pagamentos.

Perguntas de Prática

Q1. Está a implementar uma nova rede WiFi 802.1X para um campus corporativo utilizando o Microsoft Intune. Configurou o perfil Trusted Root, o perfil SCEP e o perfil de WiFi. No entanto, durante os testes, os dispositivos recebem os certificados, mas o perfil de WiFi é apresentado como 'Erro' na consola do Intune. Qual é a causa mais provável?

Dica: Considere como o MDM resolve as dependências entre perfis.

Ver resposta modelo

A causa mais provável é uma incompatibilidade na segmentação de grupos. O Intune exige que os perfis dependentes sejam atribuídos exatamente ao mesmo grupo do Azure AD. Se o perfil SCEP for atribuído a um grupo de Utilizadores e o perfil de WiFi for atribuído a um grupo de Dispositivos, o Intune não conseguirá resolver a dependência, resultando num erro.

Q2. Uma organização de retalho pretende automatizar a implementação de certificados para os tablets dos gerentes de loja. Estão a debater-se entre utilizar SCEP ou PKCS. A segurança é a sua principal preocupação, especificamente a proteção das chaves privadas. Qual protocolo devem escolher e porquê?

Dica: Pense em onde a chave privada é gerada em cada protocolo.

Ver resposta modelo

Devem escolher o SCEP. Num fluxo de trabalho SCEP, a chave privada é gerada localmente no tablet e armazenada no seu enclave seguro; nunca sai do dispositivo. Com o PKCS, a Autoridade de Certificação gera a chave privada e transmite-a pela rede para o dispositivo, o que introduz uma potencial vulnerabilidade de segurança.

Q3. Um funcionário sai da empresa e a sua conta do Active Directory é desativada. No entanto, a equipa de TI nota que o dispositivo do funcionário ainda está ligado à rede WiFi corporativa. A rede utiliza autenticação EAP-TLS. Que configuração está em falta no servidor RADIUS?

Dica: Desativar uma conta não invalida automaticamente um certificado emitido anteriormente.

Ver resposta modelo

O servidor RADIUS não tem a verificação rigorosa da Lista de Revogação de Certificados (CRL) configurada. Mesmo que a conta do diretório esteja desativada, o certificado de cliente permanece criptograficamente válido até expirar ou ser explicitamente revogado. O servidor RADIUS deve ser configurado para verificar a CRL para garantir que o acesso à rede seja negado a certificados revogados.

Continue a ler esta série

Como Segregar com Segurança Redes WiFi de Funcionários e Convidados

Este guia técnico de referência fornece aos líderes de TI estratégias práticas para segregar com segurança redes WiFi de funcionários, convidados e IoT utilizando VLANs e 802.1X. Detalha como proteger a infraestrutura empresarial, manter a conformidade com o PCI-DSS e potenciar Captive Portals para recolher dados primários (first-party data).

Melhor filtragem DNS: um guia completo para empresas

Este guia de referência técnica explica como a filtragem DNS empresarial protege as redes públicas bloqueando domínios maliciosos na camada de resolução - antes de uma ligação ser estabelecida. Oferece aos diretores de TI, arquitetos de rede e equipas de operações de locais a arquitetura de implementação, configuração de firewall e contexto de conformidade necessários para proteger o Guest WiFi em ambientes de hotelaria, retalho e setor público. O Purple Shield bloqueia malware, botnets e conteúdos inadequados ao nível do DNS em mais de 80.000 locais ativos.

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.