Gerir Certificados Digitais para Autenticação WiFi EAP-TLS
Este guia de referência técnica detalha a gestão do ciclo de vida de certificados digitais para autenticação WiFi EAP-TLS. Fornece estratégias práticas para implementar, renovar e revogar certificados em escala em redes empresariais através de integrações SCEP e MDM.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- Arquitetura PKI de Três Níveis
- Tempo de Vida dos Certificados e Padrões Criptográficos
- Guia de Implementação
- Passo 1: Estabelecer a Cadeia de Confiança
- Passo 2: Automatizar a Emissão via SCEP
- Passo 3: Configurar Políticas RADIUS
- Melhores Práticas
- Resolução de Problemas e Mitigação de Riscos
- Falhas de Âncora de Confiança
- Limites de Expiração
- OCSP Timeouts
- ROI e Impacto de Negócio

Resumo Executivo
A gestão de certificados digitais para autenticação WiFi EAP-TLS representa um desafio operacional crucial para as equipas de TI empresariais. À medida que as organizações eliminam a autenticação baseada em credenciais para se alinharem com a conformidade Zero Trust, a carga operacional transfere-se da reposição de palavras-passe para a gestão do ciclo de vida dos certificados. Este guia detalha os padrões arquitetónicos necessários para implementar, renovar e revogar certificados do lado do cliente à escala em ambientes de infraestrutura complexos.
Para CTOs e arquitetos de rede, o objetivo é claro: implementar uma Public Key Infrastructure (PKI) robusta que se integre perfeitamente com as plataformas de Mobile Device Management (MDM) existentes. Ao automatizar a emissão de certificados através do Simple Certificate Enrolment Protocol (SCEP) e executar a revogação em tempo real, elimina-se a intervenção manual. Esta abordagem protege o perímetro da rede, cumpre os requisitos de conformidade incluindo PCI-DSS 4.0, e garante conectividade contínua para mais de 80 000 locais físicos que executam hardware corporativo.
Análise Técnica Detalhada
O EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) representa o padrão de excelência para o controlo de acessos à rede 802.1X. Este protocolo impõe uma autenticação mútua. O servidor RADIUS apresenta o seu certificado para provar a sua identidade ao cliente, enquanto o cliente apresenta o seu certificado para provar a sua identidade à rede.
Arquitetura PKI de Três Níveis
Uma hierarquia PKI plana introduz riscos inaceitáveis. O padrão recomendado é uma arquitetura de três níveis:
- Autoridade de Certificação de Raiz (Root CA): A âncora de confiança final. Este servidor permanece offline e isolado da rede (air-gapped). A sua única função é assinar certificados de CA intermédias.
- CA Intermédia (Issuing CA): Este servidor permanece online e processa a assinatura diária de certificados de clientes e servidores. Se for comprometido, pode ser revogado pela Root CA sem a necessidade de reconstruir toda a infraestrutura de confiança.
- Certificados de Entidade Final: Estes são os certificados reais implementados nos servidores RADIUS e nos dispositivos dos clientes.

Tempo de Vida dos Certificados e Padrões Criptográficos
O setor está a exigir tempos de vida de certificados mais curtos para limitar a janela de exposição caso uma chave seja comprometida. Embora os certificados TLS públicos estejam limitados a 398 dias, os certificados de cliente internos utilizados para autenticação WiFi utilizam normalmente um período de validade de 365 dias.
Os requisitos criptográficos exigem um mínimo de chaves RSA de 2048 bits ou Criptografia de Curva Elíptica (ECC) utilizando a curva P-256. O modo WPA3-Enterprise de 192 bits requer conjuntos de cifra específicos, e o EAP-TLS é o único método de autenticação que satisfaz plenamente estes requisitos.
Guia de Implementação
A implementação de EAP-TLS em locais distribuídos exige uma integração estreita entre o seu fornecedor de identidade, a plataforma MDM e o hardware de rede. A solução de sobreposição na nuvem da Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.
Passo 1: Estabelecer a Cadeia de Confiança
Antes de qualquer dispositivo se poder autenticar, deve confiar no servidor RADIUS. Distribua o certificado Root CA para todos os dispositivos geridos através do seu MDM. Para dispositivos não geridos, deve fornecer um portal de integração de bootstrapping para instalar o perfil de confiança.
Passo 2: Automatizar a Emissão via SCEP
A geração manual de certificados é inviável. Implemente o SCEP para automatizar este fluxo de trabalho:
- O MDM (por exemplo, Microsoft Intune) envia um payload SCEP para o dispositivo.
- O dispositivo gera localmente uma chave privada.
- O dispositivo envia um Pedido de Assinatura de Certificado (CSR) para o servidor SCEP.
- A CA emite o certificado e o dispositivo instala-o no seu armazenamento de chaves protegido por hardware.
Passo 3: Configurar Políticas RADIUS
Configure o seu servidor RADIUS para exigir EAP-TLS. Certifique-se de que o servidor valida o Nome Alternativo do Sujeito (SAN) no certificado do cliente contra o seu diretório de identidade (Microsoft Entra ID, Okta ou Google Workspace) para confirmar que a conta do utilizador ainda está ativa.

Melhores Práticas
- Automatizar a Renovação Antecipadamente: Configure os perfis de MDM para acionar a renovação de certificados pelo menos 30 dias antes da expiração. Isto evita falhas de autenticação repentinas em locais inteiros.
- Impor Armazenamentos de Chaves de Hardware: Exija que as chaves privadas sejam geradas e armazenadas no Trusted Platform Module (TPM) ou Secure Enclave do dispositivo. As chaves devem ser configuradas como não exportáveis.
- Implementar a Revogação em Tempo Real: Confiar em Listas de Revogação de Certificados (CRLs) estáticas introduz latência. Implemente o Online Certificate Status Protocol (OCSP) para que o servidor RADIUS possa verificar o estado do certificado em tempo real durante a autenticação.
Resolução de Problemas e Mitigação de Riscos
Os modos de falha mais comuns nas implementações de EAP-TLS relacionam-se com a confiança e o tempo.
Falhas de Âncora de Confiança
Se um dispositivo cliente rejeitar o certificado do servidor RADIUS, a autenticação falhará silenciosamente. Isto acontece quando o certificado Root CA está em falta no armazenamento de confiança do dispositivo. Verifique os registos de implementação do MDM para garantir que o perfil de confiança é aplicado antes do perfil de WiFi. Para mais diagnósticos sobre problemas de conectividade, consulte Resolução de Problemas de WiFi Público: Corrigir Falhas de 'Ligado, Sem Internet' e Redirecionamento de Página Splash .
Limites de Expiração
A emissão simultânea de milhares de certificados cria um pico crítico de renovação. Se o servidor SCEP sofrer uma inatividade durante esta janela, os dispositivos serão desligados da rede. Parcele as implementações iniciais para distribuir a carga de renovação.
OCSP Timeouts
Se o servidor RADIUS não conseguir contactar o respondente OCSP, deve decidir se falha em modo aberto ou em modo fechado. Para redes empresariais, falhar em modo fechado é a prática recomendada. Garanta que a sua infraestrutura OCSP é altamente disponível e distribuída geograficamente.
ROI e Impacto de Negócio
A transição para EAP-TLS exige um esforço de engenharia inicial, mas o retorno operacional é significativo. Uma organização com 5000 utilizadores despende tipicamente 40 horas por mês a resolver reposições de palavras-passe e bloqueios RADIUS causados por rotações de palavras-passe PEAP.
Ao automatizar o ciclo de vida dos certificados, pode eliminar estes pedidos de suporte. Além disso, cumpre os rigorosos requisitos de controlo de acessos da ISO 27001 e PCI-DSS, reduzindo a carga de trabalho de auditoria. Quando integrado com o Guest WiFi e o WiFi Analytics , o Purple fornece uma visão unificada do acesso à rede para todos os tipos de utilizadores, simplificando os relatórios de conformidade em locais distribuídos.
Definições Principais
EAP-TLS
Extensible Authentication Protocol with Transport Layer Security. Uma estrutura de autenticação que exige que tanto o cliente como o servidor provem a sua identidade utilizando certificados digitais.
O padrão da indústria para proteger redes WiFi empresariais sem depender de palavras-passe vulneráveis.
SCEP
Simple Certificate Enrolment Protocol. Um protocolo utilizado por plataformas MDM para automatizar de forma segura o pedido e a instalação de certificados digitais em dispositivos.
Essencial para dimensionar implementações EAP-TLS além de algumas dezenas de dispositivos, eliminando o manuseamento manual de certificados.
RADIUS
Remote Authentication Dial-In User Service. O protocolo de rede que fornece gestão centralizada de autenticação, autorização e auditoria.
O componente de servidor que valida o certificado de cliente e instrui o ponto de acesso a conceder acesso à rede.
OCSP
Online Certificate Status Protocol. Um protocolo de internet utilizado para obter o estado de revogação de um certificado digital X.509 em tempo real.
Substitui as CRLs estáticas para garantir que um certificado revogado seja bloqueado da rede imediatamente.
Root CA
Root Certificate Authority. A autoridade criptográfica de topo numa Infraestrutura de Chaves Públicas, utilizada para assinar CAs subordinadas.
Deve ser mantida altamente segura e offline para proteger toda a cadeia de confiança da organização.
SAN
Subject Alternative Name. Uma extensão do X.509 que permite associar vários valores a um certificado de segurança, tais como endereços de e-mail ou UPNs.
Utilizado pelo servidor RADIUS para mapear o certificado a uma conta de utilizador específica no diretório de identidades.
MDM
Mobile Device Management. Software utilizado pelos departamentos de TI para monitorizar, gerir e proteger os dispositivos móveis dos colaboradores.
O mecanismo de entrega que envia a configuração SCEP e os perfis WiFi para os dispositivos dos utilizadores finais.
CRL
Certificate Revocation List. Uma lista de certificados digitais que foram revogados pela CA emissora antes da sua data de expiração planeada.
Um método legado de verificação de validade de certificados que sofre de problemas de latência em comparação com o OCSP.
Exemplos Práticos
Um grupo hoteleiro com 150 propriedades precisa de proteger o acesso dos funcionários em 3.000 dispositivos. Atualmente, utilizam PEAP com uma palavra-passe partilhada que roda trimestralmente, gerando um volume significativo de pedidos de suporte. Como devem implementar o EAP-TLS?
Implementar o Microsoft Intune para gerir todos os dispositivos corporativos. Estabelecer uma CA Intermédia Microsoft ADCS integrada no Intune através do Intune Certificate Connector. Enviar o certificado da Root CA para todos os dispositivos, seguido de um perfil SCEP que solicita um certificado de cliente com validade de 365 dias. Configurar o perfil WiFi para utilizar EAP-TLS e apontar para os servidores RADIUS associados à Purple. Definir o perfil SCEP para renovar automaticamente quando restar 20% de vida útil (73 dias).
Uma cadeia de retalho necessita de WiFi seguro para terminais de ponto de venda em 200 localizações. Os dispositivos correm Android e perdem frequentemente a ligação ao servidor de gestão central. Como gerir a revogação de certificados?
Implementar OCSP para verificação de revogação em tempo real ao nível do servidor RADIUS. Configurar o servidor RADIUS para consultar o responder OCSP a cada tentativa de autenticação. Se um terminal for dado como perdido, a equipa de segurança revoga o certificado na CA. Da próxima vez que o dispositivo tentar associar-se a um ponto de acesso, o servidor RADIUS recebe uma resposta de "revogado" do OCSP e nega o acesso imediatamente.
Perguntas de Prática
Q1. Está a implementar EAP-TLS para 2000 portáteis corporativos. A infraestrutura SCEP está configurada, mas, durante os testes, os portáteis não se conseguem ligar ao WiFi. Os registos do RADIUS mostram "Unknown CA". Qual é a causa mais provável?
Dica: Considere a ordem das operações ao implementar perfis de fidedignidade versus perfis de autenticação.
Ver resposta modelo
Os portáteis não têm o certificado da Root CA instalado no seu repositório de raiz fidedigno. O MDM deve ser configurado para enviar o payload do certificado da Root CA para os dispositivos antes de enviar o payload SCEP ou o perfil de WiFi EAP-TLS. Sem a Root CA, o cliente rejeita o certificado do servidor RADIUS.
Q2. Um dispositivo comprometido é reportado como perdido. A equipa de TI elimina o dispositivo do MDM e revoga o certificado na CA. No entanto, os testes revelam que o dispositivo ainda se consegue ligar à rede por um período de até 12 horas. Como resolve isto?
Dica: Analise como o servidor RADIUS valida o estado do certificado.
Ver resposta modelo
O servidor RADIUS está provavelmente a depender de uma Certificate Revocation List (CRL) que é apenas publicada ou descarregada a cada 12 a 24 horas. Para resolver isto, implemente o Online Certificate Status Protocol (OCSP) e configure o servidor RADIUS para consultar o respondedor OCSP para validação em tempo real durante cada tentativa de autenticação.
Q3. Está a desenhar a política de ciclo de vida de certificados. A equipa de segurança pretende tempos de vida de certificados de 30 dias para minimizar o risco, mas a equipa de rede está preocupada com a carga do servidor SCEP e com as quebras de ligação. Qual é o equilíbrio recomendado?
Dica: Considere a diferença entre certificados web públicos e PKI gerida internamente.
Ver resposta modelo
Um período de validade de 365 dias com renovação automática acionada 60 ou 90 dias antes da expiração oferece o equilíbrio ideal. Tempos de vida de 30 dias para certificados de WiFi criam um risco operacional excessivo se os dispositivos estiverem offline durante a sua curta janela de renovação. A segurança é mantida através de uma revogação OCSP robusta e em tempo real, em vez de tempos de vida agressivamente curtos.
Continue a ler esta série
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.
Passpoint e OpenRoaming: Guia Completo
Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.
Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.