Saltar para o conteúdo principal
Português

Gestão de Certificados Digitais para Autenticação WiFi EAP-TLS

Este guia de referência técnica detalha a gestão do ciclo de vida de certificados digitais para autenticação WiFi EAP-TLS. Fornece estratégias práticas para implementar, renovar e revogar certificados em grande escala em redes corporativas utilizando integrações SCEP e MDM.

📖 4 min de leitura📝 892 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e conversacional - como um consultor sénior a fazer um briefing a um cliente. Ritmo compassado, dicção clara, caloroso mas direto. Pausas naturais ocasionais para ênfase: Bem-vindo à série de briefings técnicos da Purple. Hoje falamos sobre a gestão de certificados EAP-TLS - especificamente, como executar um programa de autenticação WiFi baseado em certificados em escala sem que isso se torne um fardo operacional a tempo inteiro. [medium pause] Se é responsável pelo WiFi corporativo ou de colaboradores em vários locais - quer se trate de um grupo hoteleiro, de uma rede de retalho, de um campus universitário ou de instalações do setor público - este briefing é para si. Vamos cobrir todo o ciclo de vida dos certificados: desde a configuração da sua hierarquia de CA, passando pela implementação automatizada via SCEP e MDM, até à renovação e revogação. E falaremos sobre onde as coisas correm mal, porque correm mal, e como evitar as armadilhas mais comuns. [medium pause] Comecemos pelos fundamentos. O EAP-TLS - ou seja, Extensible Authentication Protocol com Transport Layer Security - é o padrão de excelência para a autenticação WiFi 802.1X. Ao contrário do PEAP, que depende de um nome de utilizador e palavra-passe, o EAP-TLS utiliza autenticação mútua baseada em certificados. O dispositivo prova a sua identidade com um certificado de cliente. O servidor RADIUS prova a sua identidade com um certificado de servidor. Ambos os lados verificam o outro. Sem palavras-passe para fazer phishing. Sem credenciais para roubar. É por isso que o PCI DSS 4.0 e as orientações de zero-trust do NCSC apontam para a autenticação baseada em certificados para redes de colaboradores. [medium pause] Agora, a arquitetura. Precisa de três coisas para fazer o EAP-TLS funcionar. Primeiro, uma Public Key Infrastructure - a sua hierarquia de CA. Segundo, um mecanismo para colocar certificados nos dispositivos - ou seja, o SCEP ou a sua plataforma MDM. Terceiro, um servidor RADIUS que confie na sua CA e consiga validar certificados de cliente em tempo real. [medium pause] A hierarquia de CA é onde a maioria das organizações se depara com problemas logo de início. O padrão correto é um modelo de três níveis. Tem uma Root CA no topo - esta deve estar offline, isolada da rede (air-gapped) e apenas ser ligada online para assinar o seu certificado de CA Intermédia. A CA Intermédia - por vezes designada por CA Emissora - é a que realmente assina os certificados do dia a dia. Está online, mas a sua chave privada está bem protegida. Abaixo disso, emite dois tipos de certificado: certificados de servidor para a sua infraestrutura RADIUS e certificados de cliente para os seus dispositivos e utilizadores. [medium pause] Porque é que isto importa? Porque se a sua Root CA for comprometida, terá de reconstruir toda a sua PKI do zero e registar novamente cada dispositivo. Mantê-la offline elimina esse risco. A CA Intermédia pode ser substituída sem tocar na Root. Esse é o argumento de resiliência operacional para o modelo de três níveis. [medium pause] Falemos sobre os períodos de validade dos certificados. Tem havido uma mudança significativa no setor neste aspeto. A Apple, a Google e a Mozilla passaram todas a impor tempos de vida máximos mais curtos para os certificados. Para certificados de servidor TLS, o máximo é agora de 398 dias. Para certificados de cliente em WiFi empresarial, existe maior flexibilidade — um a dois anos é comum —, mas a tendência é para tempos de vida mais curtos e renovação automatizada, em vez de certificados de longa duração geridos manualmente. A razão é simples: um tempo de vida mais curto limita a janela de exposição caso um certificado seja comprometido. [medium pause] Isto leva-nos à automatização. A gestão manual de certificados não é escalável. Se tiver 500 dispositivos, consegue gerir as renovações manualmente no limite. Se tiver 5000 dispositivos em 50 locais, não consegue. Necessita do SCEP — o Simple Certificate Enrolment Protocol — ou do seu sucessor moderno, o EST. O SCEP integra-se diretamente com plataformas MDM, incluindo o Microsoft Intune, o Jamf Pro e o VMware Workspace ONE. O MDM envia um perfil de configuração SCEP para o dispositivo. O dispositivo gera um par de chaves, envia um pedido de assinatura de certificado para o seu servidor SCEP e recebe de volta um certificado assinado — tudo sem qualquer interação do utilizador. [medium pause] Para dispositivos Windows num ambiente Active Directory, tem uma alternativa: a inscrição automática orientada por Políticas de Grupo através dos Active Directory Certificate Services. O dispositivo autentica-se no domínio, a CA emite um certificado automaticamente e o certificado é renovado antes de expirar, sem qualquer intervenção manual. Este é o caminho mais simples para infraestruturas maioritariamente compostas por Windows. [medium pause] Agora, a revogação. Esta é a vertente na qual as organizações costumam desinvestir mais, e é a que mais importa quando algo corre mal. Se um dispositivo for perdido ou roubado, ou se um colaborador sair da empresa, é necessário revogar o seu certificado de imediato. Existem dois mecanismos: CRL — Certificate Revocation Lists — e OCSP — Online Certificate Status Protocol. [medium pause] O CRL é o mecanismo mais antigo. A sua CA publica uma lista de números de série de certificados revogados num URL conhecido. O servidor RADIUS descarrega esta lista periodicamente e faz a verificação com base nela. O problema do CRL é a latência — se a sua CRL tiver um período de validade de 24 horas, um certificado revogado ainda poderá autenticar-se até 24 horas após a revogação. [medium pause] O OCSP é a alternativa em tempo real. O servidor RADIUS envia uma consulta ao responder OCSP para cada tentativa de autenticação e obtém uma resposta em tempo real sobre se está válido ou revogado. A desvantagem é que o seu responder OCSP torna-se uma dependência crítica — se estiver indisponível, terá de decidir se permite o acesso em caso de falha (fail open) ou se o bloqueia (fail closed). Para ambientes de alta segurança, bloquear o acesso (fail closed) é a resposta correta. Para ambientes operacionais onde a disponibilidade é fundamental, poderá configurar um curto período de tolerância do OCSP. [medium pause] Permita-me apresentar-lhe dois cenários concretos para tornar isto mais prático. [medium pause] Primeiro: um grupo hoteleiro com 150 propriedades. Estavam a utilizar PEAP com uma palavra-passe partilhada para o WiFi da equipa. A rotação de palavras-passe era trimestral, o que significava uma janela de duas semanas a cada trimestre em que os funcionários ficavam sem acesso ou utilizavam a palavra-passe antiga. Mudaram para EAP-TLS utilizando o Microsoft Intune para a implementação de certificados. Os perfis SCEP foram enviados para todos os dispositivos Windows e iOS. Active Directory Certificate Services como CA. O resultado: zero eventos de rotação de palavras-passe, renovação de certificados processada automaticamente 30 dias antes da expiração e, quando um colaborador saía, o seu certificado era revogado no MDM poucos minutos após a sua conta ser desativada no Microsoft Entra ID. A equipa de TI estimou que poupou aproximadamente 40 horas por trimestre em reposições de palavras-passe e pedidos de suporte. [medium pause] Segundo: uma cadeia de retalho multi-site com 3000 dispositivos de funcionários em 200 lojas. O desafio aqui era a diversidade de dispositivos – uma mistura de portáteis Windows, terminais portáteis Android e dispositivos iOS. Utilizavam o Jamf Pro para dispositivos Apple e o Microsoft Intune para Windows e Android, ambos a apontar para o mesmo servidor SCEP suportado por uma CA Intermédia ADCS da Microsoft. A infraestrutura WiFi era Cisco Meraki, com a autenticação RADIUS a ser processada por um serviço RADIUS alojado na nuvem integrado com a Purple. A principal decisão de design foi emitir certificados com uma validade de 12 meses e configurar a renovação automática para 60 dias antes da expiração. Isto proporcionou uma janela de renovação confortável sem criar sobrecarga operacional. [medium pause] Agora, as armadilhas. Há quatro que vejo consistentemente. [medium pause] Primeiro: não testar a revogação. As organizações configuram a sua PKI, implementam certificados e nunca chegam a testar se a revogação funciona de ponta a ponta. Teste-o. Revoque um certificado de teste, confirme se o servidor RADIUS deteta a revogação dentro do prazo esperado e confirme se o acesso ao dispositivo é negado. [medium pause] Segundo: picos de expiração em simultâneo. Se emitir todos os seus certificados ao mesmo tempo com o mesmo período de validade, todos expiram ao mesmo tempo. Distribua a sua emissão ou, no mínimo, distribua os gatilhos de renovação. Uma taxa de falha de renovação de 10% em 5000 dispositivos em simultâneo é um incidente significativo. [medium pause] Terceiro: não distribuir o certificado da Root CA para todos os dispositivos antes de implementar o EAP-TLS. Se o dispositivo não confiar na sua Root CA, rejeitará o certificado do servidor RADIUS e a autenticação falhará. Isto parece óbvio, mas apanha as organizações desprevenidas quando têm dispositivos BYOD ou computadores portáteis de subcontratados que não estão registados no MDM. [medium pause] Quarto: disponibilidade do respondedor OCSP. Se o seu respondedor OCSP falhar e o seu servidor RADIUS estiver configurado para bloquear em caso de erros de OCSP, toda a sua rede WiFi deixa de funcionar. Crie redundância na sua infraestrutura OCSP ou configure um curto período de tolerância com a monitorização adequada. [medium pause] Muito bem, perguntas rápidas. [medium pause] Posso utilizar uma CA pública para certificados de cliente EAP-TLS? Tecnicamente sim, mas na prática não. As CAs públicas não emitem certificados de cliente para dispositivos arbitrários. Precisa da sua própria CA para certificados de cliente. Para o certificado de servidor RADIUS, uma CA pública serve perfeitamente e simplifica a distribuição de confiança. [medium pause] E quanto ao BYOD? O BYOD é o caso mais complexo. Não é possível enviar certificados para dispositivos não geridos através de MDM. As opções incluem um portal de controlo de acessos à rede que emite certificados de curta duração após a autenticação do utilizador, ou simplesmente manter o BYOD num SSID separado com um método de autenticação diferente. [medium pause] Como é que isto interage com o WPA3? O WPA3-Enterprise exige um modo de segurança de 192 bits para ambientes sensíveis, o que requer conjuntos de cifras específicos. O EAP-TLS é totalmente compatível com o WPA3-Enterprise e é, de facto, o método de autenticação recomendado. [medium pause] Em resumo. A gestão de certificados EAP-TLS não é simples, mas é viável se definir a arquitetura correta desde o início. Hierarquia de CA de três níveis. Atribuição automatizada através de SCEP ou MDM. Certificados de curta duração com renovação automatizada. Revogação em tempo real via OCSP. Teste tudo, especialmente a revogação. E integre o ciclo de vida dos seus certificados com o seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - para que a revogação do certificado seja acionada automaticamente quando uma conta é desativada. [medium pause] Se estiver a executar servidores RADIUS associados à Purple, os pontos de integração são o URL do seu servidor SCEP, o certificado do seu servidor RADIUS e o seu endpoint CRL ou OCSP. A arquitetura independente de hardware da Purple significa que isto funciona em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e no resto da lista de hardware canónico — não fica dependente das ferramentas de PKI de um único fornecedor. [medium pause] Próximos passos: audite o seu inventário de certificados atual. Se não sabe quantos certificados tem, quando expiram e quem os emitiu, essa é a primeira coisa a resolver. A partir daí, o caminho para a automatização total está bem definido. Obrigado por ouvir.

header_image.png

執行摘要

管理用於 EAP-TLS WiFi 驗證的數位憑證,對企業 IT 團隊而言是一項重大的營運挑戰。隨著企業組織逐步淘汰憑證型驗證(credential-based authentication)以符合零信任規範,營運負擔也從密碼重設轉移到憑證生命週期管理。本指南詳細介紹了在複雜的資產環境中,大規模部署、更新和撤銷用戶端憑證所需的架構模式。

對於技術長(CTO)和網路架構師而言,目標非常明確:實施強健的公開金鑰基礎建設(PKI),並與現有的行動裝置管理(MDM)平台無縫整合。透過簡單憑證註冊協定(SCEP)自動發放憑證,並執行即時撤銷,即可消除人工干預。此方法能確保網路邊界安全,滿足包括 PCI DSS 4.0 在內的合規框架,並確保運行企業硬體的 80,000 多個實體場域持續保持連線。

技術深入探討

EAP-TLS(可延伸驗證協定與傳輸層安全)代表了 802.1X 網路存取控制的最高標準。它強制執行雙向驗證。RADIUS 伺服器出示憑證以向用戶端證明其身分,而用戶端則出示憑證以向網路證明其身分。

三層式 PKI 架構

扁平式的 PKI 層級結構會引入無法接受的風險。推薦的模式是三層式架構:

  1. 根憑證授權單位 (Root CA):最終的信任根源。此伺服器保持離線並與網路隔離(air-gapped)。其唯一功能是簽署中間 CA 憑證。
  2. 中間 CA (發放 CA):此伺服器保持在線,負責日常用戶端與伺服器憑證的簽署工作。如果遭到破解,可由 Root CA 予以撤銷,而無需重建整個信任基礎建設。
  3. 終端實體憑證 (End-Entity Certificates):這些是實際部署到 RADIUS 伺服器和用戶端裝置的憑證。

pki_trust_chain_diagram.png

憑證效期與密碼學標準

業界正強制縮短憑證壽命,以限制金鑰遭破解時的暴露空窗期。雖然公開的 TLS 憑證上限為 398 天,但用於 WiFi 驗證的內部用戶端憑證通常使用 365 天的有效期。

密碼學要求強制使用至少 2048 位元的 RSA 金鑰,或使用 P-256 曲線的橢圓曲線密碼學 (ECC)。WPA3-Enterprise 192 位元模式需要特定的加密套件,而 EAP-TLS 是唯一能完全滿足這些要求的驗證方法。

實作指南

在分散式場域中部署 EAP-TLS 需要您的身分識別提供者、MDM 平台與網路硬體之間進行緊密整合。Purple 的雲端重疊(cloud overlay)可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 整合。

步驟 1:建立信任鏈

在任何裝置進行驗證之前,它必須信任 RADIUS 伺服器。請透過您的 MDM 將根憑證授權機構(Root CA)憑證部署到所有託管裝置。對於非託管裝置,您必須提供一個引導註冊入口網頁(onboarding portal)來安裝信任設定檔。

步驟 2:透過 SCEP 自動化核發

手動產生憑證是行不通的。請實作 SCEP 以將此工作流程自動化:

  1. MDM(例如 Microsoft Intune)將 SCEP 負載推送到裝置。
  2. 裝置在本地端產生私鑰。
  3. 裝置向 SCEP 伺服器提交憑證簽署請求(CSR)。
  4. CA 核發憑證,裝置並將其安裝在硬體備份的金鑰庫中。

步驟 3:設定 RADIUS 原則

將您的 RADIUS 伺服器設定為需要 EAP-TLS。確保伺服器會比對您的身分識別目錄(Microsoft Entra ID、Okta 或 Google Workspace)驗證用戶端憑證的主體別名(SAN),以確認該使用者帳戶仍處於啟用狀態。

certificate_lifecycle_infographic.png

最佳實踐

  • 儘早自動續期:設定 MDM 設定檔,使其在憑證到期前至少 30 天觸發憑證續期。這可以防止整個場域內突然發生驗證失敗。
  • 強制執行硬體金鑰庫:要求私鑰必須在裝置的信賴平台模組(TPM)或安全隔離區(Secure Enclave)中產生並儲存。金鑰必須設定為不可匯出。
  • 實作即時撤銷:依賴靜態憑證撤銷清單(CRL)會產生延遲。請實作線上憑證狀態協定(OCSP),以便 RADIUS 伺服器能在驗證期間即時確認憑證狀態。

疑難排解與風險緩釋

EAP-TLS 部署中最常見的失敗模式與信任和時間有關。

信任錨點失敗

如果用戶端裝置拒絕 RADIUS 伺服器憑證,驗證將會無聲無息地失敗。當裝置的信任庫中遺失根 CA 憑證時,就會發生這種情況。請驗證 MDM 部署記錄,確保信任設定檔在 WiFi 設定檔之前套用。如需連線問題的進一步診斷,請參閱 Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures

到期懸崖

同時核發數千張憑證會造成續期高峰期的懸崖效應。如果 SCEP 伺服器在此期間發生停機,裝置將會斷開網路。請交錯進行初始部署,以分攤續期負載。

OCSP 逾時

如果 RADIUS 伺服器無法連線至 OCSP 回應程式,它必須決定是要預設開放(fail open)還是預設關閉(fail closed)。對於企業網路,預設關閉是標準做法。請確保您的 OCSP 基礎架構具備高可用性且呈地理分佈。

投資報酬率與業務影響

過渡到 EAP-TLS 需要前期投入工程心力,但營運回報非常顯著。一個擁有 5,000 名使用者的組織,通常每月要花費 40 小時來處理因 PEAP 密碼輪替而導致的密碼重設與 RADIUS 鎖定問題。

透過自動化憑證生命週期,您可以消除這些支援工單。此外,您還能滿足 ISO 27001 和 PCI DSS 嚴格的存取控制要求,從而減少稽核開銷。當與 Guest WiFiWiFi Analytics 整合時,Purple 可針對所有使用者類型提供統一的網路存取檢視,簡化分散式場域的合規性報告。

Definições Principais

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Uma estrutura de autenticação que exige que tanto o cliente como o servidor provem a sua identidade utilizando certificados digitais.

O padrão da indústria para proteger redes WiFi corporativas sem depender de palavras-passe vulneráveis.

SCEP

Simple Certificate Enrolment Protocol. Um protocolo utilizado por plataformas MDM para automatizar de forma segura o pedido e a instalação de certificados digitais em dispositivos.

Essencial para dimensionar implementações EAP-TLS além de algumas dezenas de dispositivos, eliminando o manuseamento manual de certificados.

RADIUS

Remote Authentication Dial-In User Service. O protocolo de rede que fornece gestão centralizada de autenticação, autorização e faturação.

O componente de servidor que valida o certificado do cliente e indica ao ponto de acesso para conceder acesso à rede.

OCSP

Online Certificate Status Protocol. Um protocolo de internet utilizado para obter o estado de revogação de um certificado digital X.509 em tempo real.

Substitui as CRLs estáticas para garantir que um certificado revogado seja bloqueado da rede imediatamente.

Root CA

Root Certificate Authority. A autoridade criptográfica de nível superior numa Infraestrutura de Chaves Públicas, utilizada para assinar CAs subordinadas.

Deve ser mantida altamente segura e offline para proteger toda a cadeia de confiança da organização.

SAN

Subject Alternative Name. Uma extensão do X.509 que permite associar vários valores a um certificado de segurança, como endereços de e-mail ou UPNs.

Utilizado pelo servidor RADIUS para mapear o certificado para uma conta de utilizador específica no diretório de identidades.

MDM

Mobile Device Management. Software utilizado pelos departamentos de TI para monitorizar, gerir e proteger os dispositivos móveis dos colaboradores.

O mecanismo de entrega que envia a configuração SCEP e os perfis de WiFi para os dispositivos dos utilizadores finais.

CRL

Certificate Revocation List. Uma lista de certificados digitais que foram revogados pela CA emissora antes da sua data de expiração agendada.

Um método legado de verificação de validade de certificados que sofre de problemas de latência em comparação com o OCSP.

Exemplos Práticos

Um grupo hoteleiro com 150 propriedades precisa de proteger o acesso do pessoal em 3.000 dispositivos. Atualmente, utilizam PEAP com uma palavra-passe partilhada que roda trimestralmente, gerando um volume significativo de pedidos de suporte. Como devem implementar o EAP-TLS?

Implementar o Microsoft Intune para gerir todos os dispositivos corporativos. Estabelecer uma CA Intermédia Microsoft ADCS integrada com o Intune através do Intune Certificate Connector. Enviar o certificado da Root CA para todos os dispositivos, seguido de um perfil SCEP que solicita um certificado de cliente com validade de 365 dias. Configurar o perfil de WiFi para utilizar EAP-TLS e apontar para os servidores RADIUS associados à Purple. Definir o perfil SCEP para renovar automaticamente aos 20% de vida útil restante (73 dias).

Comentário do Examinador: Esta abordagem elimina completamente a rotação trimestral de palavras-passe. Ao definir um gatilho de renovação antecipada, a equipa de TI evita prazos de expiração críticos. A integração direta com o Intune garante que, quando um colaborador sai e a sua conta Entra ID é desativada, o MDM revoga o certificado e limpa o perfil de WiFi automaticamente.

Uma cadeia de retalho necessita de WiFi seguro para terminais de ponto de venda em 200 localizações. Os dispositivos utilizam Android e perdem frequentemente a ligação ao servidor de gestão central. Como deve ser tratada a revogação de certificados?

Implementar OCSP para verificação de revogação em tempo real ao nível do servidor RADIUS. Configurar o servidor RADIUS para consultar o responder OCSP a cada tentativa de autenticação. Se um terminal for reportado como perdido, a equipa de segurança revoga o certificado na CA. Da próxima vez que o dispositivo tentar associar-se a um ponto de acesso, o servidor RADIUS recebe uma resposta 'revogado' do OCSP e nega o acesso de imediato.

Comentário do Examinador: Confiar no MDM para limpar um dispositivo perdido é insuficiente se o dispositivo estiver offline ou isolado. Ao forçar verificações de revogação na periferia da rede via OCSP, o servidor RADIUS atua como o ponto de aplicação, garantindo que o certificado comprometido não possa ser utilizado, mesmo que o próprio dispositivo não possa ser alcançado pelo MDM.

Perguntas de Prática

Q1. Está a implementar EAP-TLS para 2.000 portáteis corporativos. A infraestrutura SCEP está configurada, mas durante os testes, os portáteis não conseguem ligar-se ao WiFi. Os logs do RADIUS mostram 'Unknown CA'. Qual é a causa mais provável?

Dica: Considere a ordem das operações ao implementar perfis de confiança em vez de perfis de autenticação.

Ver resposta modelo

Os portáteis não têm o certificado da Root CA instalado no seu repositório de raiz fidedigna. O MDM deve ser configurado para enviar o payload do certificado da Root CA para os dispositivos antes de enviar o payload SCEP ou o perfil WiFi EAP-TLS. Sem a Root CA, o cliente rejeita o certificado do servidor RADIUS.

Q2. Um dispositivo comprometido é reportado como perdido. A equipa de TI elimina o dispositivo do MDM e revoga o certificado na CA. No entanto, os testes revelam que o dispositivo ainda se consegue ligar à rede por um período de até 12 horas. Como resolve isto?

Dica: Observe como o servidor RADIUS valida o estado do certificado.

Ver resposta modelo

O servidor RADIUS está provavelmente a depender de uma Certificate Revocation List (CRL) que apenas é publicada ou descarregada a cada 12 a 24 horas. Para resolver isto, implemente o Online Certificate Status Protocol (OCSP) e configure o servidor RADIUS para consultar o responder OCSP para validação em tempo real durante cada tentativa de autenticação.

Q3. Está a desenhar a política de ciclo de vida dos certificados. A equipa de segurança pretende tempos de vida de certificados de 30 dias para minimizar o risco, mas a equipa de rede está preocupada com a carga do servidor SCEP e quedas de conectividade. Qual é o equilíbrio recomendado?

Dica: Considere a diferença entre certificados web públicos e PKI gerida interna.

Ver resposta modelo

Um período de validade de 365 dias com renovação automática acionada 60 ou 90 dias antes da expiração oferece o equilíbrio ideal. Tempos de vida de 30 dias para certificados WiFi criam um risco operacional excessivo se os dispositivos estiverem offline durante a sua janela estreita de renovação. A segurança é mantida através de uma revogação OCSP robusta e em tempo real, em vez de tempos de vida agressivamente curtos.

Continue a ler esta série

Server RADIUS: um guia abrangente para empresas

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.

Ler o guia →

Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implementação

Um guia técnico abrangente que detalha a arquitetura de co-implementação do Aruba ClearPass e do Purple WiFi. Abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados, em conjunto com o NAC empresarial.

Ler o guia →

Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto

Este guia explica como o Cisco ISE e o Purple WiFi desempenham funções distintas mas complementares em redes empresariais. Detalha como utilizar o Cisco ISE para acesso corporativo seguro 802.1X enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análises de marketing e integração com CRM.

Ler o guia →