Saltar para o conteúdo principal

Gerir Certificados Digitais para Autenticação WiFi EAP-TLS

Este guia de referência técnica detalha a gestão do ciclo de vida de certificados digitais para autenticação WiFi EAP-TLS. Fornece estratégias práticas para implementar, renovar e revogar certificados em escala em redes empresariais através de integrações SCEP e MDM.

📖 4 min de leitura📝 892 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e de conversação - como um consultor sénior a fazer um briefing a um cliente. Ritmo pausado, dicção clara, caloroso mas direto. Pausas naturais ocasionais para dar ênfase: Bem-vindo à série de briefings técnicos da Purple. Hoje estamos a falar sobre gestão de certificados EAP-TLS - especificamente, como executar um programa de autenticação WiFi baseado em certificados em escala sem que isso se torne um fardo operacional a tempo inteiro. [pausa média] Se é responsável pelo WiFi corporativo ou do pessoal em várias localizações - seja um grupo hoteleiro, uma rede de retalho, um campus universitário ou um património do setor público - este briefing é para si. Vamos cobrir todo o ciclo de vida dos certificados: desde a configuração da sua hierarquia de CA, passando pela implementação automatizada via SCEP e MDM, até à renovação e revogação. E vamos falar sobre onde as coisas correm mal, porque correm mal, e como evitar as armadilhas mais comuns. [pausa média] Vamos começar com os fundamentos. EAP-TLS - ou seja, Extensible Authentication Protocol com Transport Layer Security - é o padrão de excelência para a autenticação WiFi 802.1X. Ao contrário do PEAP, que depende de um nome de utilizador e palavra-passe, o EAP-TLS utiliza autenticação mútua baseada em certificados. O dispositivo prova a sua identidade com um certificado de cliente. O servidor RADIUS prova a sua identidade com um certificado de servidor. Ambos os lados verificam o outro. Sem palavras-passe para fazer phishing. Sem credenciais para roubar. É por isso que o PCI-DSS 4.0 e as diretrizes de zero trust do NCSC apontam para a autenticação baseada em certificados para redes de colaboradores. [pausa média] Agora, a arquitetura. Precisa de três coisas para fazer o EAP-TLS funcionar. Primeiro, uma Infraestrutura de Chaves Públicas - a sua hierarquia de CA. Segundo, um mecanismo para colocar certificados nos dispositivos - ou seja, o SCEP ou a sua plataforma MDM. Terceiro, um servidor RADIUS que confie na sua CA e possa validar certificados de clientes em tempo real. [pausa média] A hierarquia de CA é onde a maioria das organizações se mete em sarilhos logo no início. O padrão correto é um modelo de três níveis. Tem uma Root CA no topo - esta deve estar offline, isolada e apenas online para assinar o certificado da sua Intermediate CA. A Intermediate CA - por vezes chamada de Issuing CA - é a que realmente assina os certificados do dia a dia. Está online, mas a sua chave privada está bem protegida. Abaixo disso, emite dois tipos de certificados: certificados de servidor para a sua infraestrutura RADIUS, e certificados de cliente para os seus dispositivos e utilizadores. [pausa média] Porque é que isto importa? Porque se a sua Root CA for comprometida, terá de reconstruir toda a sua PKI do zero e voltar a registar todos os dispositivos. Mantê-la offline elimina esse risco. A Intermediate CA pode ser substituída sem tocar na Root. Esse é o argumento de resiliência operacional para o modelo de três níveis. [pausa média] Falemos sobre os períodos de validade dos certificados. Tem havido uma mudança significativa no setor aqui. A Apple, a Google e a Mozilla moveram-se todas no sentido de impor tempos de vida máximos de certificados mais curtos. Para certificados de servidor TLS, o máximo é agora de 398 dias. Para certificados de cliente em WiFi empresarial, tem mais flexibilidade - um a dois anos é comum - mas a tendência é para tempos de vida mais curtos e renovação automatizada, em vez de certificados de longa duração geridos manualmente. O motivo é simples: um tempo de vida mais curto limita a janela de exposição se um certificado for comprometido. [medium pause] Isto leva-nos à automatização. A gestão manual de certificados não é escalável. Se tiver 500 dispositivos, consegue gerir as renovações quase à mão. Se tiver 5000 dispositivos em 50 locais, não consegue. Precisa de SCEP - o Simple Certificate Enrolment Protocol - ou do seu sucessor moderno, EST. O SCEP integra-se diretamente com plataformas MDM, incluindo Microsoft Intune, Jamf Pro e VMware Workspace ONE. O MDM envia um perfil de configuração SCEP para o dispositivo. O dispositivo gera um par de chaves, envia um pedido de assinatura de certificado para o seu servidor SCEP e recebe de volta um certificado assinado - tudo sem qualquer interação do utilizador. [medium pause] Para dispositivos Windows num ambiente Active Directory, tem uma alternativa: inscrição automática orientada por Políticas de Grupo através do Active Directory Certificate Services. O dispositivo autentica-se no domínio, a CA emite um certificado automaticamente e o certificado é renovado antes de expirar sem qualquer intervenção manual. Este é o caminho mais contínuo para parques informáticos predominantemente Windows. [medium pause] Agora, a revogação. Esta é a peça na qual as organizações mais frequentemente investem menos do que o necessário, e é a peça que mais importa quando algo corre mal. Se um dispositivo for perdido, roubado ou se um colaborador sair, precisa de revogar o seu certificado imediatamente. Existem dois mecanismos: CRL - Certificate Revocation Lists - e OCSP - Online Certificate Status Protocol. [medium pause] O CRL é o mecanismo mais antigo. A sua CA publica uma lista de números de série de certificados revogados num URL conhecido. O servidor RADIUS transfere esta lista periodicamente e faz a verificação em relação a ela. O problema com o CRL é a latência - se o seu CRL tiver um período de validade de 24 horas, um certificado revogado ainda se pode autenticar até 24 horas após a revogação. [medium pause] O OCSP é a alternativa em tempo real. O servidor RADIUS envia uma consulta ao respondedor OCSP para cada tentativa de autenticação e obtém uma resposta em direto de válido ou revogado. O reverso da medalha é que o seu respondedor OCSP se torna uma dependência crítica - se estiver indisponível, precisa de decidir se vai falhar em modo aberto ou falhar em modo fechado. Para ambientes de alta segurança, falhar em modo fechado é a resposta certa. Para ambientes operacionais onde a disponibilidade importa, pode configurar um curto período de carência OCSP. [medium pause] Deixe-me dar-lhe dois cenários concretos para tornar isto real. [medium pause] Primeiro: um grupo hoteleiro com 150 propriedades. Utilizavam PEAP com uma palavra-passe partilhada para o WiFi dos funcionários. A rotação de palavras-passe era trimestral, o que significava uma janela de duas semanas a cada trimestre em que os funcionários ficavam sem acesso ou utilizavam a palavra-passe antiga. Passaram a utilizar EAP-TLS com o Microsoft Intune para a implementação de certificados. Perfis SCEP enviados para todos os dispositivos Windows e iOS. Active Directory Certificate Services como CA. O resultado: zero eventos de rotação de palavras-passe, renovação de certificados processada automaticamente 30 dias antes da expiração e, quando um funcionário saía, o seu certificado era revogado no MDM poucos minutos após a sua conta ser desativada no Microsoft Entra ID. A equipa de TI estimou que poupou aproximadamente 40 horas por trimestre em reposições de palavras-passe e pedidos de suporte. [medium pause] Segundo: uma cadeia de retalho multi-site com 3000 dispositivos de funcionários em 200 lojas. O desafio aqui era a diversidade de dispositivos - uma mistura de computadores portáteis Windows, terminais portáteis Android e dispositivos iOS. Utilizavam o Jamf Pro para dispositivos Apple e o Microsoft Intune para Windows e Android, ambos a apontar para o mesmo servidor SCEP suportado por uma CA Intermédia do Microsoft ADCS. A infraestrutura WiFi era Cisco Meraki, com autenticação RADIUS processada por um serviço RADIUS alojado na nuvem e integrado com o Purple. A principal decisão de conceção foi emitir certificados com uma validade de 12 meses e configurar a renovação automática para 60 dias antes da expiração. Isto proporcionou uma janela de renovação confortável sem criar sobrecarga operacional. [medium pause] Agora, as armadilhas. Existem quatro que vejo consistentemente. [medium pause] Primeiro: não testar a revogação. As organizações configuram a sua PKI, implementam os certificados e nunca testam realmente se a revogação funciona de ponta a ponta. Teste-o. Revoque um certificado de teste, confirme se o servidor RADIUS deteta a revogação dentro do prazo previsto e confirme se o acesso do dispositivo é recusado. [medium pause] Segundo: penhascos de expiração. Se emitir todos os seus certificados ao mesmo tempo com o mesmo período de validade, todos expiram ao mesmo tempo. Distribua a sua emissão no tempo ou, no mínimo, distribua os acionadores de renovação. Uma taxa de falha de renovação de 10% em 5000 dispositivos em simultâneo é um incidente significativo. [medium pause] Terceiro: não distribuir o certificado de Root CA para todos os dispositivos antes de implementar o EAP-TLS. Se o dispositivo não confiar na sua Root CA, rejeitará o certificado do servidor RADIUS e a autenticação falhará. Isto parece óbvio, mas apanha as organizações de surpresa quando têm dispositivos BYOD ou portáteis de subempreiteiros que não estão registados no MDM. [medium pause] Quarto: disponibilidade do respondedor OCSP. Se o seu respondedor OCSP falhar e o seu servidor RADIUS estiver configurado para bloquear o acesso em caso de erros de OCSP, toda a sua rede WiFi deixa de funcionar. Crie redundância na sua infraestrutura OCSP ou configure um curto período de carência com monitorização adequada. [medium pause] Muito bem, perguntas de resposta rápida. [medium pause] Posso usar uma CA pública para certificados de cliente EAP-TLS? Tecnicamente sim, mas na prática não. As CAs públicas não emitem certificados de cliente para dispositivos arbitrários. Precisa da sua própria CA para certificados de cliente. Para o certificado do servidor RADIUS, uma CA pública é adequada e simplifica a distribuição de fidedignidade. [medium pause] E em relação ao BYOD? O BYOD é o caso mais difícil. Não pode enviar certificados para dispositivos não geridos via MDM. As opções incluem um portal de controlo de acesso à rede que emite certificados de curta duração após a autenticação do utilizador, ou simplesmente manter o BYOD num SSID separado com um método de autenticação diferente. [medium pause] Como é que isto interage com o WPA3? O WPA3-Enterprise exige o modo de segurança de 192 bits para ambientes sensíveis, o que requer conjuntos de cifras específicos. O EAP-TLS é totalmente compatível com o WPA3-Enterprise e é, de facto, o método de autenticação recomendado. [medium pause] Em resumo. A gestão de certificados EAP-TLS não é simples, mas é gerível se estruturar a arquitetura corretamente desde o início. Hierarquia de CA de três níveis. Inscrição automatizada via SCEP ou MDM. Certificados com tempos de vida curtos e renovação automatizada. Revogação em tempo real via OCSP. Teste tudo, especialmente a revogação. E integre o ciclo de vida dos seus certificados com o seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - para que a revogação de certificados seja acionada automaticamente quando uma conta é desativada. [medium pause] Se estiver a executar servidores RADIUS associados à Purple, os pontos de integração são o URL do seu servidor SCEP, o certificado do seu servidor RADIUS e o seu endpoint CRL ou OCSP. A arquitetura independente de hardware da Purple significa que isto funciona em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e no resto da lista de hardware canónico - não está dependente das ferramentas de PKI de um único fabricante. [medium pause] Próximos passos: audite o seu inventário de certificados atual. Se não sabe quantos certificados tem, quando expiram e quem os emitiu, essa é a primeira coisa a corrigir. A partir daí, o caminho para a automatização total está bem definido. Obrigado por ouvir.

header_image.png

Resumo Executivo

A gestão de certificados digitais para autenticação WiFi EAP-TLS representa um desafio operacional crucial para as equipas de TI empresariais. À medida que as organizações eliminam a autenticação baseada em credenciais para se alinharem com a conformidade Zero Trust, a carga operacional transfere-se da reposição de palavras-passe para a gestão do ciclo de vida dos certificados. Este guia detalha os padrões arquitetónicos necessários para implementar, renovar e revogar certificados do lado do cliente à escala em ambientes de infraestrutura complexos.

Para CTOs e arquitetos de rede, o objetivo é claro: implementar uma Public Key Infrastructure (PKI) robusta que se integre perfeitamente com as plataformas de Mobile Device Management (MDM) existentes. Ao automatizar a emissão de certificados através do Simple Certificate Enrolment Protocol (SCEP) e executar a revogação em tempo real, elimina-se a intervenção manual. Esta abordagem protege o perímetro da rede, cumpre os requisitos de conformidade incluindo PCI-DSS 4.0, e garante conectividade contínua para mais de 80 000 locais físicos que executam hardware corporativo.

Análise Técnica Detalhada

O EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) representa o padrão de excelência para o controlo de acessos à rede 802.1X. Este protocolo impõe uma autenticação mútua. O servidor RADIUS apresenta o seu certificado para provar a sua identidade ao cliente, enquanto o cliente apresenta o seu certificado para provar a sua identidade à rede.

Arquitetura PKI de Três Níveis

Uma hierarquia PKI plana introduz riscos inaceitáveis. O padrão recomendado é uma arquitetura de três níveis:

  1. Autoridade de Certificação de Raiz (Root CA): A âncora de confiança final. Este servidor permanece offline e isolado da rede (air-gapped). A sua única função é assinar certificados de CA intermédias.
  2. CA Intermédia (Issuing CA): Este servidor permanece online e processa a assinatura diária de certificados de clientes e servidores. Se for comprometido, pode ser revogado pela Root CA sem a necessidade de reconstruir toda a infraestrutura de confiança.
  3. Certificados de Entidade Final: Estes são os certificados reais implementados nos servidores RADIUS e nos dispositivos dos clientes.

pki_trust_chain_diagram.png

Tempo de Vida dos Certificados e Padrões Criptográficos

O setor está a exigir tempos de vida de certificados mais curtos para limitar a janela de exposição caso uma chave seja comprometida. Embora os certificados TLS públicos estejam limitados a 398 dias, os certificados de cliente internos utilizados para autenticação WiFi utilizam normalmente um período de validade de 365 dias.

Os requisitos criptográficos exigem um mínimo de chaves RSA de 2048 bits ou Criptografia de Curva Elíptica (ECC) utilizando a curva P-256. O modo WPA3-Enterprise de 192 bits requer conjuntos de cifra específicos, e o EAP-TLS é o único método de autenticação que satisfaz plenamente estes requisitos.

Guia de Implementação

A implementação de EAP-TLS em locais distribuídos exige uma integração estreita entre o seu fornecedor de identidade, a plataforma MDM e o hardware de rede. A solução de sobreposição na nuvem da Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Passo 1: Estabelecer a Cadeia de Confiança

Antes de qualquer dispositivo se poder autenticar, deve confiar no servidor RADIUS. Distribua o certificado Root CA para todos os dispositivos geridos através do seu MDM. Para dispositivos não geridos, deve fornecer um portal de integração de bootstrapping para instalar o perfil de confiança.

Passo 2: Automatizar a Emissão via SCEP

A geração manual de certificados é inviável. Implemente o SCEP para automatizar este fluxo de trabalho:

  1. O MDM (por exemplo, Microsoft Intune) envia um payload SCEP para o dispositivo.
  2. O dispositivo gera localmente uma chave privada.
  3. O dispositivo envia um Pedido de Assinatura de Certificado (CSR) para o servidor SCEP.
  4. A CA emite o certificado e o dispositivo instala-o no seu armazenamento de chaves protegido por hardware.

Passo 3: Configurar Políticas RADIUS

Configure o seu servidor RADIUS para exigir EAP-TLS. Certifique-se de que o servidor valida o Nome Alternativo do Sujeito (SAN) no certificado do cliente contra o seu diretório de identidade (Microsoft Entra ID, Okta ou Google Workspace) para confirmar que a conta do utilizador ainda está ativa.

certificate_lifecycle_infographic.png

Melhores Práticas

  • Automatizar a Renovação Antecipadamente: Configure os perfis de MDM para acionar a renovação de certificados pelo menos 30 dias antes da expiração. Isto evita falhas de autenticação repentinas em locais inteiros.
  • Impor Armazenamentos de Chaves de Hardware: Exija que as chaves privadas sejam geradas e armazenadas no Trusted Platform Module (TPM) ou Secure Enclave do dispositivo. As chaves devem ser configuradas como não exportáveis.
  • Implementar a Revogação em Tempo Real: Confiar em Listas de Revogação de Certificados (CRLs) estáticas introduz latência. Implemente o Online Certificate Status Protocol (OCSP) para que o servidor RADIUS possa verificar o estado do certificado em tempo real durante a autenticação.

Resolução de Problemas e Mitigação de Riscos

Os modos de falha mais comuns nas implementações de EAP-TLS relacionam-se com a confiança e o tempo.

Falhas de Âncora de Confiança

Se um dispositivo cliente rejeitar o certificado do servidor RADIUS, a autenticação falhará silenciosamente. Isto acontece quando o certificado Root CA está em falta no armazenamento de confiança do dispositivo. Verifique os registos de implementação do MDM para garantir que o perfil de confiança é aplicado antes do perfil de WiFi. Para mais diagnósticos sobre problemas de conectividade, consulte Resolução de Problemas de WiFi Público: Corrigir Falhas de 'Ligado, Sem Internet' e Redirecionamento de Página Splash .

Limites de Expiração

A emissão simultânea de milhares de certificados cria um pico crítico de renovação. Se o servidor SCEP sofrer uma inatividade durante esta janela, os dispositivos serão desligados da rede. Parcele as implementações iniciais para distribuir a carga de renovação.

OCSP Timeouts

Se o servidor RADIUS não conseguir contactar o respondente OCSP, deve decidir se falha em modo aberto ou em modo fechado. Para redes empresariais, falhar em modo fechado é a prática recomendada. Garanta que a sua infraestrutura OCSP é altamente disponível e distribuída geograficamente.

ROI e Impacto de Negócio

A transição para EAP-TLS exige um esforço de engenharia inicial, mas o retorno operacional é significativo. Uma organização com 5000 utilizadores despende tipicamente 40 horas por mês a resolver reposições de palavras-passe e bloqueios RADIUS causados por rotações de palavras-passe PEAP.

Ao automatizar o ciclo de vida dos certificados, pode eliminar estes pedidos de suporte. Além disso, cumpre os rigorosos requisitos de controlo de acessos da ISO 27001 e PCI-DSS, reduzindo a carga de trabalho de auditoria. Quando integrado com o Guest WiFi e o WiFi Analytics , o Purple fornece uma visão unificada do acesso à rede para todos os tipos de utilizadores, simplificando os relatórios de conformidade em locais distribuídos.

Definições Principais

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Uma estrutura de autenticação que exige que tanto o cliente como o servidor provem a sua identidade utilizando certificados digitais.

O padrão da indústria para proteger redes WiFi empresariais sem depender de palavras-passe vulneráveis.

SCEP

Simple Certificate Enrolment Protocol. Um protocolo utilizado por plataformas MDM para automatizar de forma segura o pedido e a instalação de certificados digitais em dispositivos.

Essencial para dimensionar implementações EAP-TLS além de algumas dezenas de dispositivos, eliminando o manuseamento manual de certificados.

RADIUS

Remote Authentication Dial-In User Service. O protocolo de rede que fornece gestão centralizada de autenticação, autorização e auditoria.

O componente de servidor que valida o certificado de cliente e instrui o ponto de acesso a conceder acesso à rede.

OCSP

Online Certificate Status Protocol. Um protocolo de internet utilizado para obter o estado de revogação de um certificado digital X.509 em tempo real.

Substitui as CRLs estáticas para garantir que um certificado revogado seja bloqueado da rede imediatamente.

Root CA

Root Certificate Authority. A autoridade criptográfica de topo numa Infraestrutura de Chaves Públicas, utilizada para assinar CAs subordinadas.

Deve ser mantida altamente segura e offline para proteger toda a cadeia de confiança da organização.

SAN

Subject Alternative Name. Uma extensão do X.509 que permite associar vários valores a um certificado de segurança, tais como endereços de e-mail ou UPNs.

Utilizado pelo servidor RADIUS para mapear o certificado a uma conta de utilizador específica no diretório de identidades.

MDM

Mobile Device Management. Software utilizado pelos departamentos de TI para monitorizar, gerir e proteger os dispositivos móveis dos colaboradores.

O mecanismo de entrega que envia a configuração SCEP e os perfis WiFi para os dispositivos dos utilizadores finais.

CRL

Certificate Revocation List. Uma lista de certificados digitais que foram revogados pela CA emissora antes da sua data de expiração planeada.

Um método legado de verificação de validade de certificados que sofre de problemas de latência em comparação com o OCSP.

Exemplos Práticos

Um grupo hoteleiro com 150 propriedades precisa de proteger o acesso dos funcionários em 3.000 dispositivos. Atualmente, utilizam PEAP com uma palavra-passe partilhada que roda trimestralmente, gerando um volume significativo de pedidos de suporte. Como devem implementar o EAP-TLS?

Implementar o Microsoft Intune para gerir todos os dispositivos corporativos. Estabelecer uma CA Intermédia Microsoft ADCS integrada no Intune através do Intune Certificate Connector. Enviar o certificado da Root CA para todos os dispositivos, seguido de um perfil SCEP que solicita um certificado de cliente com validade de 365 dias. Configurar o perfil WiFi para utilizar EAP-TLS e apontar para os servidores RADIUS associados à Purple. Definir o perfil SCEP para renovar automaticamente quando restar 20% de vida útil (73 dias).

Comentário do Examinador: Esta abordagem elimina completamente a rotação trimestral de palavras-passe. Ao definir um gatilho de renovação antecipada, a equipa de TI evita prazos de expiração críticos. A integração direta com o Intune garante que, quando um funcionário sai e a sua conta Entra ID é desativada, o MDM revoga o certificado e apaga o perfil WiFi automaticamente.

Uma cadeia de retalho necessita de WiFi seguro para terminais de ponto de venda em 200 localizações. Os dispositivos correm Android e perdem frequentemente a ligação ao servidor de gestão central. Como gerir a revogação de certificados?

Implementar OCSP para verificação de revogação em tempo real ao nível do servidor RADIUS. Configurar o servidor RADIUS para consultar o responder OCSP a cada tentativa de autenticação. Se um terminal for dado como perdido, a equipa de segurança revoga o certificado na CA. Da próxima vez que o dispositivo tentar associar-se a um ponto de acesso, o servidor RADIUS recebe uma resposta de "revogado" do OCSP e nega o acesso imediatamente.

Comentário do Examinador: Confiar no MDM para limpar um dispositivo perdido é insuficiente se o dispositivo estiver offline ou isolado. Ao forçar verificações de revogação na periferia da rede via OCSP, o servidor RADIUS funciona como o ponto de aplicação, garantindo que o certificado comprometido não pode ser utilizado, mesmo que o próprio dispositivo não possa ser alcançado pelo MDM.

Perguntas de Prática

Q1. Está a implementar EAP-TLS para 2000 portáteis corporativos. A infraestrutura SCEP está configurada, mas, durante os testes, os portáteis não se conseguem ligar ao WiFi. Os registos do RADIUS mostram "Unknown CA". Qual é a causa mais provável?

Dica: Considere a ordem das operações ao implementar perfis de fidedignidade versus perfis de autenticação.

Ver resposta modelo

Os portáteis não têm o certificado da Root CA instalado no seu repositório de raiz fidedigno. O MDM deve ser configurado para enviar o payload do certificado da Root CA para os dispositivos antes de enviar o payload SCEP ou o perfil de WiFi EAP-TLS. Sem a Root CA, o cliente rejeita o certificado do servidor RADIUS.

Q2. Um dispositivo comprometido é reportado como perdido. A equipa de TI elimina o dispositivo do MDM e revoga o certificado na CA. No entanto, os testes revelam que o dispositivo ainda se consegue ligar à rede por um período de até 12 horas. Como resolve isto?

Dica: Analise como o servidor RADIUS valida o estado do certificado.

Ver resposta modelo

O servidor RADIUS está provavelmente a depender de uma Certificate Revocation List (CRL) que é apenas publicada ou descarregada a cada 12 a 24 horas. Para resolver isto, implemente o Online Certificate Status Protocol (OCSP) e configure o servidor RADIUS para consultar o respondedor OCSP para validação em tempo real durante cada tentativa de autenticação.

Q3. Está a desenhar a política de ciclo de vida de certificados. A equipa de segurança pretende tempos de vida de certificados de 30 dias para minimizar o risco, mas a equipa de rede está preocupada com a carga do servidor SCEP e com as quebras de ligação. Qual é o equilíbrio recomendado?

Dica: Considere a diferença entre certificados web públicos e PKI gerida internamente.

Ver resposta modelo

Um período de validade de 365 dias com renovação automática acionada 60 ou 90 dias antes da expiração oferece o equilíbrio ideal. Tempos de vida de 30 dias para certificados de WiFi criam um risco operacional excessivo se os dispositivos estiverem offline durante a sua curta janela de renovação. A segurança é mantida através de uma revogação OCSP robusta e em tempo real, em vez de tempos de vida agressivamente curtos.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →