跳至主要内容
简体中文

如何配置 SCEP 以实现自动化企业级 WiFi 证书注册

本指南详细介绍了如何配置 SCEP(简单证书注册协议)以实现自动化企业级 WiFi 证书注册,涵盖了从 PKI 和 NDES 到 MDM 配置文件部署以及 RADIUS 验证的完整架构。本指南面向酒店、零售连锁、体育场馆、会议中心和公共部门组织的 IT 经理、网络架构师和 CTO,旨在帮助他们摆脱预共享密钥,实施可扩展的、基于身份的 802.1X EAP-TLS 认证。Purple 的硬件无关型云覆盖平台可与该架构直接集成,为您提供与证书认证的员工网络并行的访客和 BYOD WiFi 层。

📖 10 分钟阅读📝 2,282 🔧 2 应用实例3 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎阅读 Purple 技术简报系列。今天我要探讨一个经常出现在许多 IT 收件箱中,但很少能得到直接解答的问题:如何利用 SCEP 在大型网络中大规模部署基于证书的 WiFi 身份验证。无论是大学校园、多站点酒店集团,还是大型公共部门资产,所面临的挑战都是完全相同的。 我们将涵盖全景内容。SCEP 的实际作用、它如何融入 802.1X 架构、大多数团队都会搞错的部署顺序、两个实际的实施场景,以及如果不提前规划就会让你付出整个周末时间的陷阱。 这是一份顾问简报,而不是教程。我假设您已经知道什么是 RADIUS 服务器,并且可能已经决定需要放弃预共享密钥。您现在需要的是实施路线图。 让我们开始吧。 基本原理。SCEP 代表简单证书注册协议(Simple Certificate Enrollment Protocol)。它在 2020 年被 IETF 正式确立为 RFC 8894,尽管在此之前它已经在企业中广泛使用了十多年。它的任务非常直接:自动将数字证书获取到托管设备上,而无需人工干预每台机器。 在 WiFi 身份验证的背景下,SCEP 是交付机制。您实际针对的身份验证协议是 EAP-TLS(带有传输层安全性的可扩展身份验证协议),它位于 802.1X 框架内。EAP-TLS 被广泛认为是企业无线网络最安全的身份验证方法,因为它要求客户端设备和 RADIUS 服务器都出示有效的证书。在没有密码学证明的情况下,任何一方都不会信任另一方。这种双向身份验证可以保护您免受双胞胎热点(evil twin)攻击,即攻击者启动恶意接入点来收集凭据。 以下是完整链条的工作原理。托管设备(例如学生笔记本电脑、员工手机、酒店销售点终端)需要加入企业无线网络。您的 MDM 平台(可能是 Microsoft Intune 或 Jamf)向该设备推送 SCEP 负载。该负载包含两样东西:指向您的 NDES 服务器或云 SCEP 网关的 SCEP URL,以及挑战密码或共享密钥。 设备在本地生成自己的公钥和私钥对。这至关重要。私钥永远不会离开设备。它在设备上生成,存储在安全隔区(secure enclave)或 TPM 中,并且绝不会在网络上传输。然后,设备创建证书签名请求(CSR)并将其发送到 SCEP 网关。网关验证该挑战,将 CSR 转发给您的证书颁发机构(CA),CA 对其进行签名并将公钥证书返回给设备。 从那时起,当设备连接到您的 WiFi SSID 时,它会向 RADIUS 服务器出示该证书。RADIUS 服务器会根据您的 CA 信任链验证该证书,检查证书吊销列表以确认该证书未被吊销,如果一切正常,则向接入点发送接受消息。设备即成功联网。整个过程对用户来说是完全无感的。 现在,让我们来谈谈 SCEP 相对于另一种替代方案 PKCS 所处的位置。PKCS(公钥加密标准)是 Intune 等平台支持的另一种证书交付方法。使用 PKCS 时,CA 在集中端生成公钥和私钥,然后证书连接器将该密钥对推送到设备。这意味着私钥会在网络上传输,从而引入了理论上的攻击面。PKCS 适用于像 S/MIME 邮件加密这样确实需要密钥托管的用例。而对于 WiFi 身份验证,SCEP 才是正确的选择。私钥会一直保留在设备上,绝不外传。 现在来看硬件层。SCEP 和 EAP-TLS 是与厂商无关的标准,这意味着它们适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 接入点。您的 RADIUS 配置(无论是 Windows NPS、FreeRADIUS 还是云 RADIUS 服务)是您定义证书验证策略的地方,更重要的是,也是您配置动态 VLAN 分配的地方。 动态 VLAN 是您通过身份对网络进行细分的方式。学生设备分配到 VLAN 20,仅用于访问互联网。教职工设备分配到 VLAN 10,用于访问内部研究系统。设施管理设备分配到 VLAN 30,用于访问楼宇管理系统。所有这些都由证书属性和 RADIUS 策略驱动,无需对每台设备进行人工干预。 对于身份提供商集成,SCEP 证书属性(特别是使用者替代名称)可以携带来自 Microsoft Entra ID、Okta 或 Google Workspace 的用户主体名称。这会将证书与特定身份绑定,这意味着当您在 Entra ID 中禁用某个帐户且 MDM 注销该设备时,证书会被吊销,WiFi 访问权限也会自动切断。这是预共享密钥根本无法实现的吊销机制。 好,接下来让我们谈谈部署顺序,因为这是大多数团队最容易出错的地方。 该顺序是不可更改的:首先是受信任的根证书,其次是 SCEP 证书配置文件,最后是 WiFi 配置文件。Intune 和 Jamf 都会强制执行配置文件依赖关系。如果您的 WiFi 配置文件引用了尚未部署到设备的 SCEP 证书,则 WiFi 配置文件将失败,并显示一个看似配置错误但实际上只是时间先后问题的神秘错误。 第二个陷阱是组定位。Trusted Root、SCEP 和 WiFi 这三个配置文件必须部署到完全相同的 Azure AD 或 Jamf 组。如果 SCEP 配置文件针对的是用户组,而 WiFi 配置文件针对的是设备组,Intune 将无法解析依赖关系,WiFi 配置文件将显示为“不适用”。这经常让团队措手不及。 第三:NDES 服务器的可访问性。您的 NDES 服务器需要能够从互联网访问,以便设备在到达现场之前进行注册。正确的做法是通过 Azure AD Application Proxy,而不是在防火墙上开孔。App Proxy 为您提供安全的远程访问,无需入站端口,并允许您将条件访问策略应用于注册流程。 第四:CRL 可用性。您的 RADIUS 服务器在每次设备身份验证时都会检查证书吊销列表(CRL)。如果您的 CRL 分发点由于服务器宕机或 URL 更改而不可用,网络上所有设备的身份验证都会同时失败。这将导致整个园区网络中断。请确保您的 CRL 端点具有高可用性,并在上线前测试吊销功能。 对于拥有 500 台以上设备的大型网络,请考虑使用云端 SCEP 网关,而不是本地 NDES。云网关消除了 NDES 的单点故障,支持水平扩展,并且通常直接与云 RADIUS 服务集成,从而消除了另一个基础设施依赖。 让我们来解答一些我们经常从 CTO 那里听到的快速问答。 SCEP 能否处理未注册 MDM 的 BYOD 设备?不能直接处理。SCEP 需要 MDM 注册来推送证书载荷。对于未托管的 BYOD,您需要采用不同的方法,要么是自助服务入网门户,要么是使用带有身份验证的 Captive Portal 的独立 SSID。Purple 能够干净利落地处理该访客和 BYOD 层,与您的证书认证员工网络并存。 iOS 和 Android 呢?这两个平台都原生支持 SCEP。iOS 自 iOS 4 起就支持 SCEP。Android Enterprise 通过 Intune 和其他 MDM 支持 SCEP。每个平台的配置略有不同,但底层协议是完全相同的。 EAP-TLS 是否适用于 WPA3?是的。WPA3-Enterprise 针对敏感环境强制执行 192 位安全模式,而 EAP-TLS 完全兼容。事实上,带有 EAP-TLS 的 WPA3-Enterprise 是 Wi-Fi Alliance 针对政府和金融网络推荐的组合。 总结一下。对于拥有 50 台以上托管设备的任何网络,SCEP 证书 WiFi 身份验证都是正确的架构。它消除了共享凭据,为您提供单台设备的身份,支持动态 VLAN 细分,并直接与您的身份提供商集成以实现自动吊销。部署顺序(Trusted Root,然后是 SCEP 配置文件,最后是 WiFi 配置文件)是固定的。组定位必须保持一致。CRL 可用性是必选项。 特别是对于高等教育机构,将适用于教职员工设备的 SCEP 与适用于学生个人设备的独立访客 WiFi 层相结合,既能确保安全性,又能提供绝佳的用户体验,无需做出任何妥协。 如果您想深入了解,Purple 的企业级 WiFi 认证指南涵盖了云原生路径。如果您正在考虑员工离职时的应对措施,我们关于撤销 WiFi 访问权限的指南将为您详细介绍完整的撤销工作流程。 感谢您的收听。我是来自 Purple 技术团队的成员,我们下期简报再见。

header_image.png

执行摘要

对于企业级场所——无论是拥有 200 间客房的酒店、拥有 50 家门店的零售连锁,还是大型会议中心——依赖预共享密钥(PSK)作为员工 WiFi 都会带来安全隐患和运营瓶颈。单一密码泄露就会使整个网络暴露。通过 IEEE 802.1XEAP-TLS(可扩展身份验证协议 - 传输层安全)进行基于证书的身份验证完全消除了这一风险。在接入点授予网络访问权限之前,每台设备都必须通过密码学方式证明其身份。

挑战在于分发。手动向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书是不可行的。SCEP(简单证书注册协议,由 IETF 于 2020 年正式确立为 RFC 8894)解决了这一问题。它通过您的 MDM 平台自动执行在托管设备上请求、颁发和安装数字证书的过程,无需任何用户交互。

本指南涵盖了完整的架构:SCEP 的作用、它如何与 Microsoft Intune、Jamf 及其他 MDM 平台集成、大多数团队容易出错的精确部署顺序,以及导致停机的运营陷阱。我们还涵盖了来自酒店和零售业的两个真实实施场景,并解释了 Purple 的 Guest WiFi 平台如何与您的证书认证员工网络并存。

收听配套播客简报:

技术深度解析:SCEP、PKI 和 802.1X

SCEP 的实际作用

SCEP 并不是要取代您的公钥基础设施(PKI)。它是构建在其之上的自动注册层。您的 PKI(通常是包含离线根 CA 和在线颁发 CA 的两级架构)仍然是信任锚。SCEP 自动执行设备向该 CA 请求证书的步骤,从而无需手动生成 CSR 和安装证书。

在 WiFi 身份验证的上下文中,目标协议是 EAP-TLS。这是 802.1X 身份验证方法,要求客户端设备和 RADIUS 服务器都出示有效的 X.509 证书。在没有密码学证明的情况下,双方互不信任。这种双向身份验证模型消除了凭据窃取,并能防御邪恶双子(evil twin)攻击(即攻击者启动恶意接入点以收集用户名和密码)。

有关 EAP-TLS 握手的详细分解,请参阅我们的指南: WiFi 证书身份验证:安全网络访问

scep_architecture_overview.png

SCEP 注册流程逐步解析

完整的注册链工作原理如下。您的 MDM 平台(Microsoft Intune、Jamf 或其他 MDM)将 SCEP 负载推送到托管设备。该负载包含两样东西:指向您的 NDES(网络设备注册服务)服务器或云 SCEP 网关的 SCEP URL,以及质询密码或共享密钥。

设备在本地生成自己的公钥和私钥对。这是 SCEP 的关键安全属性:私钥在设备上生成,存储在安全隔区(Secure Enclave)或 TPM 芯片中,绝不在网络上传输。然后,设备创建证书签名请求(CSR)并将其发送到 SCEP 网关。网关验证质询密码,将 CSR 转发给您的证书颁发机构(CA),CA 对其进行签名并将公钥证书返回给设备。

从那时起,当设备连接到您的 WiFi SSID 时,它会将该证书出示给 RADIUS 服务器。RADIUS 服务器根据您的 CA 信任链验证该证书,检查证书吊销列表(CRL)以确认该证书未被吊销,如果一切正常,则向接入点发送 Access-Accept 消息。设备即成功接入网络。整个过程对用户来说是完全无感的。

SCEP 与 PKCS:WiFi 认证该选哪一个

像 Intune 这样的 MDM 平台支持两种证书交付机制:SCEP 和 PKCS(公钥加密标准)。两者的架构差异非常显著。

使用 SCEP 时,私钥在设备上生成且绝不离开设备。而使用 PKCS 时,证书颁发机构在集中端同时生成公钥和私钥,然后证书连接器通过网络将该密钥对推送到设备。这意味着私钥在传输过程中,从而引入了理论上的攻击面。

PKCS 适用于需要密钥托管的场景,例如 S/MIME 邮件加密。对于 WiFi 身份验证,SCEP 是正确的选择。私钥始终保留在设备上。

属性 SCEP PKCS
私钥生成 设备端(TPM/安全隔区) 集中端(CA)
私钥传输 绝不 通过网络
是否需要 NDES 服务器 是(或云网关)
WiFi 推荐使用
S/MIME 推荐使用

硬件兼容性

SCEP 和 EAP-TLS 是与厂商无关的通用标准。它们适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 接入点。您的 RADIUS 配置(无论是 Windows NPS、FreeRADIUS 还是云 RADIUS 服务)是您定义证书验证策略和动态 VLAN 分配的地方。

动态 VLAN 分配是您根据设备身份对网络进行细分的方式。员工设备分配到 VLAN 10,可访问内部系统。承包商设备分配到 VLAN 20,仅可访问互联网。收银终端(POS)分配到 VLAN 30,仅可访问支付处理系统。所有这些都由证书属性和 RADIUS 策略驱动,无需对每台设备进行人工干预。

有关 WiFi Analytics 如何与基于身份的网络细分集成的更多信息,请参阅我们的分析平台概述。

实施指南:部署顺序

成功为企业 WiFi 配置 SCEP 需要严格遵守特定的部署顺序。MDM 平台会强制执行配置文件依赖关系:在设备上存在引用 SCEP 证书的 WiFi 配置文件之前,该 WiFi 配置文件无法应用。违反此顺序是部署失败最常见的原因。

该顺序为:首先部署受信任的根证书,其次部署 SCEP 配置文件,最后部署 WiFi 配置文件。此顺序不可更改。

deployment_checklist_infographic.png

第 1 步:部署受信任的根证书配置文件

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前,它必须信任颁发证书的证书颁发机构(CA)。将您的根 CA 证书以及任何中间 CA 证书导出为 .cer 文件。在您的 MDM 管理中心,创建一个受信任的证书配置文件,上传 .cer 文件,并将其部署到您的目标设备组。

如果您拥有双层 PKI 体系结构(推荐),则需要根据您的 MDM 平台,将根 CA 和颁发 CA 证书部署为单独的受信任证书配置文件,或者在单个配置文件中作为链进行部署。

第 2 步:配置 SCEP 证书配置文件

建立信任后,配置 SCEP 配置文件以指导设备如何获取其客户端证书。

创建一个新的配置文件并选择 SCEP 证书配置文件类型。配置使用者名称格式。对于用户驱动的身份验证,标准格式为 CN={{UserPrincipalName}}。对于设备身份验证(共享设备、物联网、POS 终端),请使用 CN={{AAD_Device_ID}}。将密钥用法设置为数字签名和密钥加密。将增强型密钥用法设置为客户端身份验证(OID: 1.3.6.1.5.5.7.3.2)。将此配置文件链接到第 1 步中创建的受信任根证书配置文件。提供 NDES 服务器的外部 URL。

对于 Microsoft Intune,必须通过 Azure AD Application Proxy 发布 NDES 服务器,以便远程设备在到达现场之前进行注册。切勿将 NDES 直接暴露给互联网。

第 3 步:部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。创建一个 Wi-Fi 配置参数文件。输入与接入点广播完全一致的网络名称 (SSID)。选择 WPA2-EnterpriseWPA3-Enterprise 作为安全类型。将 EAP 类型设置为 EAP-TLS。在身份验证设置中,选择在第 2 步中创建的 SCEP 证书配置文件作为客户端身份验证证书。指定用于服务器验证的受信任根证书——这可以确保设备仅连接到您的合法 RADIUS 服务器,而不是恶意的接入点。

身份提供商集成

SCEP 证书属性(特别是使用者替代名称 (SAN))可以携带来自 Microsoft Entra ID、Okta 或 Google Workspace 的用户主体名称。这会将证书与特定身份绑定。当您在 Entra ID 中禁用帐户且 MDM 注销该设备时,证书将被撤销,WiFi 访问权限也会自动切断。这种自动撤销是预共享密钥无法比拟的安全优势。

有关 EAP Method WiFi: A Guide to Secure Network Access 的更多信息(包括 PEAP-MSCHAPv2 迁移路径),请参阅我们的专题指南。

最佳实践与行业标准

NDES 服务器部署位置

NDES 服务器必须能够从互联网访问,以便设备在到达现场之前进行注册。通过 Azure AD Application Proxy 发布 NDES URL。这提供了安全的远程访问,而无需打开入站防火墙端口,并允许您将条件访问策略应用于注册流程。切勿将 NDES 直接暴露给互联网。

对于管理设备超过 500 台的网络,请考虑使用云 SCEP 网关,而不是本地 NDES。云网关消除了 NDES 的单点故障,支持水平扩展,并且通常直接与云 RADIUS 服务集成。

CRL 可用性

您的 RADIUS 服务器在每次设备进行身份验证时都会检查证书撤销列表 (CRL)。如果您的 CRL 分发点 (CDP) 不可用(因为服务器宕机或 URL 已更改),网络上所有设备的身份验证都将同时失败。配置您的 NPS 或 RADIUS 服务器以执行严格的 CRL 检查,并使您的 CRL 端点保持高可用性。在上线前测试撤销功能。

PCI DSS 4.0 要求 8.6 规定,持卡人数据环境的网络层必须进行多因素身份验证。在 RetailHospitality 环境中,采用 SCEP 部署证书的 EAP-TLS 可以满足无线网络的这一要求。

WPA3 兼容性

EAP-TLS 完全兼容 WPA3-Enterprise。采用 192 位安全套件(Suite B)的 WPA3-Enterprise 强制要求使用 EAP-TLS,这也是 Wi-Fi Alliance 针对政府、金融和医疗网络推荐的组合。如果您是在具有严格合规要求的 医疗交通运输 环境中进行部署,那么采用 EAP-TLS 的 WPA3-Enterprise 就是正确的架构目标。

BYOD 和访客 WiFi

SCEP 需要 MDM 注册才能推送证书有效负载。它不涵盖未托管的 BYOD 设备或访客。对于这些用例,您需要一个带有 Captive Portal 和身份验证的独立 SSID。Purple 的平台可以干净利落地处理该层,与您通过证书验证的员工网络并存。我们的 访客 WiFi 平台支持自主选择加入、第一方数据捕获,并与 Microsoft Entra ID、Okta 和 Google Workspace 集成以进行身份验证。

故障排除与风险缓解

WiFi 配置文件应用失败

症状: 设备接收到了受信任的根证书和 SCEP 证书,但 WiFi 配置文件在 MDM 中显示为“错误”或“不适用”。

根本原因: 组目标不匹配。如果 SCEP 配置文件针对的是“用户”组,而 WiFi 配置文件针对的是“设备”组,则 MDM 无法解析该依赖关系。

解决方法: 审核您的分配。确保受信任的根证书、SCEP 和 WiFi 配置文件都针对完全相同的目录组。

NDES 403 Forbidden 错误

症状: 设备无法检索 SCEP 证书。NDES IIS 日志显示 HTTP 403 错误。

根本原因: MDM 证书连接器服务帐户缺少对证书模板的“读取”和“注册”权限,或者防火墙 URL 过滤阻止了 SCEP 查询字符串参数。

解决方法: 验证连接器帐户在 CA 模板上是否具有“读取”和“注册”权限。检查防火墙日志,确保未阻止包含 ?operation=GetCACaps 的 URL。

CRL 过期后导致的大规模身份验证失败

症状: 网络上的所有设备同时无法通过身份验证。

根本原因: CRL 已过期或 CDP URL 无法访问。RADIUS 服务器无法确认证书是否有效,从而导致关闭失败。

解决方法: 配置 CRL 监控和告警。发布有效期明显长于发布间隔的 CRL。在上线前测试从 RADIUS 服务器到 CDP 的可达性。

证书过期导致静默失败

症状: 单个设备间歇性连接失败,无明显规律。

根本原因: 客户端证书已过期,且 MDM 未能成功更新这些证书。

解决方法: 将证书更新配置为在证书生命周期的 80% 时触发。监控 MDM 注册状态报告,以查找存在证书错误的设备。设置适合您设备更新周期的证书有效期 - 托管终端通常为一到两年。

投资回报率(ROI)与业务影响

过渡到基于 SCEP 的 802.1X 证书认证,可在安全、运营和合规性方面带来可衡量的回报。

减少服务台工单: 基于密码的 WiFi 会产生大量的支持工单——密码过期、锁定和拼写错误。而基于证书的认证对用户是无感的。组织在迁移后,与 WiFi 相关的服务台工单量通常会减少 70-80%。

安全态势: EAP-TLS 消除了凭据收集和中间人攻击。这直接支持了零售和酒店网络对 PCI DSS 4.0 的合规性,以及 GDPR 第 32 条关于适当技术安全措施的要求。

自动吊销: 当员工离职时,在 Microsoft Entra ID 中禁用其账户会触发自动证书吊销和 MDM 退订。无需网络团队进行任何手动干预,即可切断 WiFi 访问权限。

网络分段: 通过 RADIUS 证书属性进行动态 VLAN 分配,为您提供加密强制的网络分段。设备根据证书属性进入正确的网络分段,而不是根据 SSID 选择或 MAC 地址过滤——这两者都很容易被绕过。

Purple 在 80,000 多个活跃场所运行,可用性达 99.999%,我们的平台已通过 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。我们与硬件无关的云覆盖层与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 集成——因此您的证书认证员工网络和我们的访客 WiFi 层可在同一基础设施上运行。

有关 行为分析:WiFi 网络洞察 如何补充您的安全网络部署的更多信息,请参阅我们的分析指南。

参考文献

[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council

关键定义

SCEP (Simple Certificate Enrollment Protocol)

RFC 8894 中规范化的一种协议,允许托管设备通过 HTTP 自动向证书颁发机构请求并接收 X.509 数字证书,并使用共享质询密码进行初始身份验证。私钥在设备上生成,绝不进行传输。

Microsoft Intune 和 Jamf 等 MDM 平台用于大规模向托管终端部署 WiFi 身份验证证书的标准机制。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

最安全的 802.1X 身份验证方法,要求客户端设备和 RADIUS 服务器均出示有效的 X.509 证书。双向身份验证意味着在没有密码学证明的情况下,双方互不信任。

企业级 WiFi 的目标身份验证协议。PCI DSS 4.0、WPA3-Enterprise 192-bit (Suite B) 以及 HIPAA 针对处理敏感数据的无线网络强制要求或强烈推荐该协议。

NDES (Network Device Enrollment Service)

一个 Microsoft Windows Server 角色,在支持 SCEP 的设备与证书颁发机构之间充当注册机构 (RA)。它负责验证质询密码,并代表缺乏域凭据的设备向证书颁发机构转发 CSR。

使用 Microsoft Intune 进行 SCEP 部署所需的必要基础设施。应通过 Azure AD Application Proxy 发布,而不是直接暴露给互联网。

PKI (Public Key Infrastructure)

用于颁发、管理和吊销数字证书的证书颁发机构、策略和流程的层级结构。双层 PKI 由一个离线根证书颁发机构(主信任锚点)和一个在线发证证书颁发机构(处理日常证书颁发)组成。

部署 EAP-TLS 和 SCEP 的不可逾越的前提条件。根证书颁发机构应保持物理隔离(air-gapped);其私钥是您整个证书信任链的基石。

CSR (Certificate Signing Request)

由设备生成的包含其公钥和身份信息的消息,发送给证书颁发机构以请求签名的数字证书。在 SCEP 中,CSR 在设备端生成,并在传输前封装在 PKCS 包中。

在 SCEP 注册流程中由设备自动生成。用于对 CSR 进行签名的私钥绝不会离开设备。

CRL (Certificate Revocation List)

由证书颁发机构发布的列表,其中包含在过期前已被吊销的证书的序列号。RADIUS 服务器在每次身份验证尝试时都会检查 CRL,以确保被吊销的证书无法访问网络。

CRL 分发点 (CDP) 的可用性至关重要。如果 RADIUS 服务器无法访问 CRL,它将采取“故障关闭”策略并拒绝所有身份验证,从而导致全网中断。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为网络访问提供集中式的认证、授权和计费 (AAA)。在 802.1X WiFi 中,RADIUS 服务器验证客户端证书,检查 CRL,并向接入点返回 Access-Accept 或 Access-Reject 消息。

802.1X 申请者-验证者-服务器模型中的身份验证服务器。常见实现包括 Windows NPS、FreeRADIUS 和云 RADIUS 服务。

Dynamic VLAN assignment

一种 RADIUS 功能,可根据证书属性或目录组数员身份将已验证的设备分配到特定的 VLAN,而不是依赖 SSID 选择或 MAC 地址过滤。通过设备身份强制执行网络细分。

允许单个 SSID 为具有不同网络访问权限的多种设备类型提供服务。员工设备分配到 VLAN 10(内部访问);承包商设备分配到 VLAN 20(仅限互联网);POS 终端分配到 VLAN 30(仅限支付系统)。

MDM (Mobile Device Management)

IT 团队用于注册、配置、保护和管理智能手机、平板电脑和笔记本电脑的软件。Microsoft Intune 和 Jamf 等 MDM 平台使用 SCEP 配置文件,在无需用户交互的情况下向托管设备推送证书注册指令。

基于 SCEP 的证书部署的前提条件。设备必须先在 MDM 中注册,然后才能接收 SCEP 和 WiFi 配置文件。未托管的 BYOD 设备需要采用单独的接入引导方案。

应用实例

一家拥有 200 间客房的 Premier Inn 酒店需要为其用于销售点(POS)平板电脑和客房部智能手机的员工 WiFi 提供安全保障。他们目前使用的是已泄露给承包商的预共享密钥(PSK)。他们通过 Microsoft Intune 管理设备,且设备混合了 iOS 和 Android 系统。该酒店使用的是 HPE Aruba 接入点。

  1. 部署内部 Microsoft AD CS 双层 PKI。在专用 Windows Server 上配置 NDES,并通过 Azure AD Application Proxy 将其发布。
  2. 在 Intune 中,创建一个包含根 CA 和颁发 CA 证书的“受信任的根证书”配置文件。部署到“Property Staff Devices” Azure AD 组。
  3. 在 Intune 中创建一个指向 NDES 外部 URL 的 SCEP 证书配置文件。由于这些是共享设备,将“使用者名称”格式设置为 CN={{AAD_Device_ID}}。将“密钥用法”设置为“数字签名”和“密钥加密”,将“扩展密钥用法”设置为“客户端身份验证”。部署到“Property Staff Devices”。
  4. 为员工 SSID 创建一个 Wi-Fi 配置文件,配置 WPA2-EnterpriseEAP-TLS。选择 SCEP 配置文件进行客户端身份验证,并选择根 CA 进行服务器验证。部署到“Property Staff Devices”。
  5. 配置 HPE Aruba RADIUS 设置以指向 Windows NPS。在 NPS 上,配置一个要求 EAP-TLS 并为员工设备分配 VLAN 10 的网络策略。
  6. 一旦设备接收到配置文件并成功连接,在旧的 SSID 上轮换 PSK 并安排其停用。
考官评语: 该方法正确地识别出共享设备(POS、客房部)需要基于设备的身份验证(CN={{AAD_Device_ID}}),而不是基于用户的身份验证,因为多名员工会使用同一台设备。它遵循了强制性的配置文件部署顺序,并确保所有三个配置文件都针对同一个 Azure AD 组。通过 App Proxy 发布 NDES,而不是直接暴露在互联网上,是酒店环境正确的安全态势。

一家拥有 50 个门店的零售连锁店希望在所有站点为其企业笔记本电脑部署 802.1X。他们使用 Cisco Meraki 接入点和 Microsoft Intune。他们不想在每个门店或其数据中心部署和维护本地 NDES 服务器或 AD CS 基础设施。

  1. 实施基于云的 PKI 和 SCEP 网关服务,该服务通过 SCEP 协议与 Intune 集成。云 CA 负责颁发证书;云 SCEP 网关负责处理 CSR 验证。
  2. 在 Cisco Meraki 控制面板的“无线 > 访问控制”下,针对企业 SSID 配置云 RADIUS 服务(由 PKI 供应商提供)。将安全性设置为 WPA2-Enterprise,并将 RADIUS 指向该云服务。
  3. 在 Intune 中,创建一个包含云 CA 根证书的“受信任的根证书”配置文件。部署到“Corporate Laptops”设备组。
  4. 创建一个指向云 SCEP 网关 URL 的 SCEP 证书配置文件。将“使用者名称”设置为 CN={{UserPrincipalName}} 以进行基于用户的身份验证。部署到“Corporate Laptops”。
  5. 为企业 SSID 创建一个带有 EAP-TLS 的 Wi-Fi 配置文件,引用 SCEP 配置文件和云 CA 根证书。部署到“Corporate Laptops”。
  6. 当笔记本电脑注册到 Intune 时,它们会自动通过云 SCEP 网关向云 CA 请求证书。这 50 个门店中的任何一个都不需要本地基础设施。
考官评语: 这是分布式零售环境的最佳现代架构。通过利用云 PKI 和云 RADIUS,该组织无需在每个站点维护复杂的本地基础设施(NDES、AD CS、NPS)。云 SCEP 网关可水平扩展且天生具备高可用性,消除了本地 NDES 带来的单点故障。Cisco Meraki 的云管理架构与这种方法非常契合。

练习题

Q1. 您的组织正在从 PEAP-MSCHAPv2 迁移到 EAP-TLS。您已成功将 Trusted Root 和 SCEP 配置文件部署到 Intune 中的“Corporate Users” Azure AD 组。您将 WiFi 配置文件部署到“All Corporate Devices”。用户报告他们无法连接,且 WiFi 配置文件显示为“不适用”。

提示:检查配置文件依赖关系和组目标规则。Intune 会根据分配的组来解析配置文件依赖关系。

查看标准答案

问题在于组目标不匹配。WiFi 配置文件依赖于 SCEP 配置文件,而后者针对的是用户组(“Corporate Users”)。WiFi 配置文件针对的是设备组(“All Corporate Devices”)。Intune 无法跨组类型解析依赖关系。解决方法是将所有这三个配置文件分配(Trusted Root、SCEP 和 WiFi)更改为针对同一个组。根据您的身份验证模型(基于用户还是基于设备)决定是使用用户组还是设备组,并在所有三个配置文件中一致地应用该组。

Q2. 安全审计发现,当员工离职且其 Microsoft Entra ID 账户被禁用时,其公司智能手机在离职后长达一周的时间内仍能连接到员工 WiFi 网络。

提示:考虑 RADIUS 服务器在账户被禁用后如何确定证书是否仍然有效。传达吊销状态的机制是什么?

查看标准答案

RADIUS 服务器未执行严格的证书吊销列表(CRL)检查,或者 CRL 的发布频率较低。当员工离职时,MDM 应该注销设备,且 CA 应该吊销证书。但是,如果 RADIUS 服务器在每次身份验证尝试时不检查 CRL,或者如果 CRL 仅每周发布一次,则被吊销的证书将继续被接受。解决方法包括三个步骤:配置 RADIUS 服务器在每次身份验证时强制执行严格的 CRL 检查;配置 CA 以更短的间隔(每天或更频繁)发布 CRL;并确保 MDM 配置为在设备注销时触发证书吊销。

Q3. 您需要为无法运行 MDM 代理且无法显示 Captive Portal 的无头 IoT 设备(智能温控器、数字标牌播放器)提供安全的 WiFi 访问。您能对这些设备使用 SCEP 吗?如果不能,推荐的替代方案是什么?

提示:考虑 SCEP 注册的前提条件,以及对于无法进行 MDM 注册或无法与浏览器交互的设备存在哪些替代方案。

查看标准答案

这些设备无法使用 SCEP。SCEP 需要 MDM 代理来接收注册 URL 和质询密码、生成密钥对并安装生成的证书。无法运行 MDM 代理的无头 IoT 设备无法参与 SCEP 注册流程。推荐的替代方案是:(1)MAC 身份验证绕过(MAB)结合严格的 VLAN 隔离——RADIUS 服务器根据设备的 MAC 地址允许其接入,并将其置于无法访问公司系统的隔离 IoT VLAN 中;(2)如果设备支持,EST(基于安全传输的注册,RFC 7030)可以为支持 HTTPS 但不支持 MDM 的设备配置证书;(3)对于具有管理界面的设备,一些厂商支持直接通过设备固件进行 SCEP 注册,而无需 MDM 代理。在所有情况下,无论使用何种身份验证方法,IoT 设备都应隔离在专用的 VLAN 上。

继续阅读本系列

SCEP 企业指南:部署简单证书注册协议以实现自动化校园 WiFi 安全

本技术参考指南为使用 SCEP 进行企业 WiFi 证书部署提供了权威的架构蓝图和逐步实施策略。它涵盖了 SCEP 与 PKCS 之间的关键区别、成功部署所需的精确顺序,以及 IT 领导者的实际风险缓解策略。

阅读指南 →

如何实施 SCEP 以实现自动化 WiFi 证书注册

本指南介绍了如何在企业场所中实施 SCEP(简单证书注册协议)以实现自动化 WiFi 证书注册。它涵盖了完整的架构蓝图——从 PKI 设计和 MDM 集成到强制性的三步部署顺序——并向 IT 经理和网络架构师展示了如何消除共享凭据、自动化证书生命周期管理,并大规模满足 PCI DSS 和 GDPR 要求。

阅读指南 →

深入理解 Cisco SUDI:网络准入控制中基于硬件的设备身份

本指南详细介绍了 Cisco SUDI 的技术架构,阐述了如何通过硬件锚定的身份来保障网络准入控制的安全。它为 IT 决策者提供了可操作的实施步骤,以便在企业场所中部署 802.1X EAP-TLS 认证并自动执行零接触配置(Zero Touch Provisioning)。

阅读指南 →