部署 SCEP 以实现安全的网络高等教育 BYOD 和 WiFi 身份验证

欢迎阅读 Purple 技术简报。我是主持人，今天我们将探讨高等教育 IT 领域经常出现的一个话题：部署 SCEP 以实现安全的 BYOD 和 WiFi 身份验证。 如果您一直在校园网络上运行 PEAP-MSCHAPv2，那么本期简报将与您息息相关。如果您已经计划转向基于证书的身份验证，我们将为您提供实现该目标所需的架构、需要避开的陷阱以及实施顺序。 让我们从问题开始。大学在设计上就是开放的环境。9 月开学时，学生们会携带两部、三部，甚至五部个人设备。他们希望能够立即、安全地连接，而无需向服务台求助。对大多数院校来说，现实情况是开学后 48 小时内，服务台的排队工单就达到了 2000 个。这不是人员配置问题，而是架构问题。 根本原因几乎总是相同的：基于密码的 WiFi 身份验证。当您运行采用 PEAP 和 MSCHAPv2 的 WPA2 企业版时，您需要要求学生在每台设备上手动配置 802.1X 设置。一个设置错误，他们就很容易受到中间人攻击。更糟糕的是，当大学每 90 天强制重置一次密码时，校园内的每台设备都会同时失去 WiFi 访问权限。这是一个完全可以预见且可以避免的灾难。 解决方案是使用 EAP-TLS 进行基于证书的身份验证，而使其具备可扩展性的机制是 SCEP：简单证书注册协议。SCEP 于 2020 年由 IETF 在 RFC 8894 中正式确立，尽管它自 21 世纪初以来就一直在使用。它使在设备上请求和安装 X.509 数字证书的过程实现自动化，无需 IT 人员对每台设备进行任何手动干预。 以下是它的总体工作原理。您的 MDM 平台（无论是 Microsoft Intune 还是 Jamf）会向每个已注册的设备推送 SCEP 负载。该负载包含两样东西：SCEP 网关 URL 和共享质询密码。设备生成证书签名请求，将其发送到 SCEP 网关，网关验证质询密码并将请求转发给您的证书颁发机构（CA）。CA 对证书进行签名并将其返回给设备。从那时起，设备就会使用 EAP-TLS 对您的 WiFi 网络进行身份验证：证书向 RADIUS 服务器证明设备的身份，而 RADIUS 服务器的证书向设备证明网络的身份。双向身份验证。无需通过无线传输密码。 这种双向身份验证至关重要。使用 PEAP 时，如果学生连接到广播您 SSID 的恶意接入点，他们会非常乐意交出自己的凭据。而使用 EAP-TLS，设备会在继续操作之前检查 RADIUS 服务器证书。如果它与受信任的 CA 不匹配，则连接会静默失败。您刚刚消除了整整一类“邪恶双胞胎”（evil twin）攻击。 现在让我们来谈谈架构。面向大学的生产级 SCEP 部署包含六个核心组件。第一，您的身份提供商：Microsoft Entra ID、Okta 或 Google Workspace。第二，您的 MDM 平台：适用于 Windows 和 Android 的 Intune，以及适用于 macOS 和 iOS 的 Jamf。第三，您的证书颁发机构（CA）：可以是本地的 Microsoft Active Directory 证书服务，也可以是云 PKI。第四，您的 SCEP 网关：接收证书请求的 HTTP 端点。第五，用于身份验证的 RADIUS 服务器。第六，您的接入层：配置了 802.1X 的 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。 信任链的运作流程如下：CA 颁发根证书。该根证书通过 MDM 分发到每个设备，从而建立信任。然后，CA 通过 SCEP 向设备颁发客户端证书。当设备连接时，它向 RADIUS 服务器出示其客户端证书，而 RADIUS 服务器向设备出示其服务器证书。双方都针对受信任的根证书进行验证。访问权限是根据证书的有效性（而非密码）来授予或拒绝的。 让我带您了解一下实施顺序。这是行之有效的顺序。 第一步：清理您的身份存储。确保您的 Active Directory 或 Entra ID 为学生、教职员工和访客定义了明确的组。证书策略和 VLAN 分配将与这些组绑定。 第二步：部署您的证书颁发机构。如果您使用的是 Microsoft ADCS，请建立二级体系结构：一个离线根 CA 和一个在线颁发 CA。根 CA 在初始设置后应进行物理隔离。 第三步：配置您的 SCEP 网关。这是您的 MDM 将设备指向的 HTTP 端点。确保它可以从设备进行初始注册的网络段（通常是您的初始配置 SSID）进行访问。 第四步：配置您的 RADIUS 服务器。将颁发 CA 证书导入为受信任的 CA。将 EAP-TLS 配置为您的身份验证方法。设置 VLAN 返回属性，以便 RADIUS 可以动态地将学生分配到正确的网络段。 第五步：配置您的 MDM 配置文件。在 Intune 中，首先创建一个受信任的证书配置文件，然后创建一个 SCEP 证书配置文件，最后创建一个引用该 SCEP 证书的 WiFi 配置文件。请务必按照此顺序进行部署。每一个都依赖于前一个配置到位。 第六步：配置您的接入点。在 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 上，将您的安全 SSID 配置为 WPA2-Enterprise 或 WPA3-Enterprise。将 RADIUS 超时时间设置为至少 5 秒，以应对高峰注册期间的证书验证延迟。 现在，我们来看看陷阱。我曾多次看到这些问题导致部署受阻。 第一个是按错误的顺序部署 MDM 配置文件。如果 WiFi 配置文件在 SCEP 证书配置文件之前到达设备，则设备没有用于身份验证的证书。连接将会失败，用户就会向服务台求助。 第二个误区是遗漏了BYOD（自带设备）。Intune和Jamf可以管理您机构拥有的设备集群。但学生的个人设备并没有注册到您的MDM中。针对这些设备，您需要一个自助服务入网门户。学生使用其大学凭据通过单点登录（Single Sign-On）进行身份验证，门户则使用SCEP来配置证书。Purple的平台将这一入网流程直接整合到Captive Portal体验中，因此学生可以在不到两分钟的时间内自主完成注册，无需任何IT人员的参与。 第三个误区是高峰入网期间的RADIUS超时故障。在9月之前对您的RADIUS基础设施进行压力测试，而不是在9月期间。在至少两个RADIUS节点之间实施负载均衡。 第四个误区是证书吊销。当学生离开，或者设备丢失或被盗时，您需要立即吊销该证书。确保您的CA发布了证书吊销列表（Certificate Revocation List），并且您的RADIUS服务器在每次身份验证时都会对其进行检查。 现在针对我们最常听到的问题进行快速问答。 SCEP可以在没有MDM的情况下工作吗？技术上可以，但实际上不行。如果没有MDM来推送SCEP有效负载和WiFi配置文件，您又必须回到手动配置设备的老路上。 证书有效期应该设为多长？对于学生设备，通常是一到两年。这个时间足够长，可以顺利度过学年而无需频繁更新；同时也足够短，可以在证书泄露时限制风险敞口。 那些不支持802.1X的IoT设备怎么办？使用带有自助服务设备注册门户的MAC地址认证绕过（MAC Authentication Bypass）。学生自行注册其游戏机或智能电视的MAC地址，您的NAC系统就会将其放入正确的VLAN中。 这适用于eduroam吗？是的。EAP-TLS得到了eduroam联盟的完全支持。由您校园CA颁发的证书可以在全球任何参与计划的机构中为学生进行eduroam身份验证。 最后，以下是决定SCEP部署成功的三个关键决策。 第一：首先选择您的CA架构。本地ADCS可以让您拥有完全的控制权。云PKI则为您带来运营上的简便性。在这里做错选择会浪费您数月的时间进行重新调整。 第二：从第一天起就实现BYOD入网自动化。不要指望学生会手动配置他们的个人设备。他们不会的。在开学前建立好自助服务门户。 第三：在9月之前在负载下测试您的RADIUS容量。开学第一天的RADIUS宕机是完全可以避免的。 Purple的平台支持以上所有这三点：云覆盖PKI集成、通过我们的Captive Portal实现自助服务BYOD入网，以及在八万个真实场所进行过测试、拥有99.999%在线率的RADIUS基础设施。 感谢您参加Purple技术简报。如需进一步指导，请访问purple.ai。