跳至主要内容

如何配置 SCEP 以实现安全的企业 WiFi 和 BYOD 资源配置

本技术指南介绍了如何配置简单证书注册协议 (SCEP),以自动执行安全的 802.1X 企业 WiFi 身份验证和 BYOD 资源配置。它为网络架构师和 IT 经理提供了权威的部署步骤、酒店和零售行业的实际实施场景,以及消除企业网络中易受攻击的预共享密钥和 MAC 身份验证绕过的风险缓解策略。

📖 8 分钟阅读📝 1,754 🔧 2 应用实例4 练习题📚 10 关键定义

收听本指南

查看播客转录
欢迎收听来自 Purple 的技术简报。我是今天的主持人,今天我们将深入探讨 SCEP 的配置,以实现安全的企业 WiFi 和 BYOD 接入。 对于在酒店、零售和公共领域运营的 IT 经理、网络架构师和 CTO 而言,管理网络访问是安全与运营效率之间持续的平衡过程。您每天要处理数百甚至数千台连接到网络的设备,包括员工智能手机、承包商笔记本电脑和 POS 终端平板。旧的处理方式已经无法满足现在的需求。 依靠预共享密钥(PSK)来提供员工和 BYOD WiFi 服务是极易被利用的安全漏洞。共享密码一旦泄露,任何人都可以访问您的网络。而 MAC 认证旁路(MAB)也并不好。现代智能手机默认使用随机 MAC 地址,这会彻底破坏 MAB,而且 MAC 地址在几秒钟内就可以被伪造。 现代网络架构需要使用 EAP-TLS 的 802.1X 认证。这确保了每台设备在接触网络之前都经过了密码学验证。但挑战在于:如何在不使您的服务台过载的情况下,将唯一的客户端证书分发给数千台未管理的设备?答案就是简单证书注册协议(SCEP)。 让我们从架构开始。SCEP 是企业设备注册的行业标准,定义在 RFC 8894 中。它自 1999 年以来就已存在,最初由 VeriSign 创建,并且经受住了时间的考验,因为它优雅地解决了一个极其棘手的难题。 在 SCEP 工作流中,设备在本地生成自己的私钥和公钥对。它创建一个证书签名请求(CSR),并通过网络设备注册服务(NDES)将其发送到您的证书颁发机构(CA)。CA 验证该请求并将签名后的公钥证书返回给设备。 这里关键的安全优势在于,私钥永远不会离开设备。它在本地生成并存储在设备的硬件安全区域中。在 Windows 笔记本电脑上,那是受信任的平台模块(TPM)。在 iPhone 上,它是 Secure Enclave。私钥永远不会通过网络传输。这就是 SCEP 远远优于网络认证替代方案(如 PKCS - CA 在集中端生成密钥对并将其传输到设备)的原因。 现在,让我们谈谈 BYOD。从运营的角度来看,这才是真正有趣的地方。您希望员工能够使用他们的个人设备访问内部工具,但您不想强制他们注册您的企业 MDM。这涉及隐私问题,并且会遭到员工的强烈抵制。 该解决方案是一个自助式引导配置门户。其工作原理如下:用户将个人设备连接到专用的资源分配 SSID。该网络是一个围墙花园(限制性网络),除了引导配置门户和您的身份提供商之外,限制访问所有其他内容。用户使用其企业凭据进行身份验证,通常是通过与 Microsoft Entra ID、Okta 或 Google Workspace 进行 SAML 集成。身份验证成功后,系统会通过 SCEP 生成一个唯一的、针对特定设备的客户端证书。配置描述文件将被推送到设备,其中包含该证书、根 CA 证书和网络设置。随后,设备使用 EAP-TLS 自动连接到安全的企业 SSID。 这对于用户来说是无缝的,对于企业来说是安全的。他们不需要了解任何关于证书或 802.1X 的知识。他们只需登录一次,即可实现连接。 现在,让我们详细了解一下具体实施。部署顺序至关重要,顺序错误是导致失败最常见的原因。 第一步:部署受信任的根证书。在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前,它必须信任颁发证书的证书颁发机构。将您的根 CA 证书导出为 .cer 文件,并将其部署到您的目标设备组。这一步是不可妥协的。没有它,整个链条都会失败。 第二步:配置 SCEP 证书描述文件。这会指示设备如何获取其客户端证书。您需要配置主题名称格式。对于用户驱动的身份验证,标准是 CN 等于 UserPrincipalName。对于设备身份验证,使用 CN 等于 Azure AD 设备 ID。将密钥用法设置为数字签名和密钥加密。在扩展密钥用法下,指定 OID 为 1.3.6.1.5.5.7.3.2 的客户端身份验证。将此描述文件链接到第一步中受信任的根证书描述文件。并提供您的 NDES 服务器的外部 URL。 第三步:部署 802.1X WiFi 描述文件。这会将证书与网络 SSID 绑定。输入与您的接入点广播完全相同的网络名称。将安全类型设置为 WPA2-Enterprise 或 WPA3-Enterprise。将 EAP 类型设置为 EAP-TLS。选择 SCEP 证书描述文件作为客户端身份验证证书。并指定受信任的根证书用于服务器验证。 这个顺序是整个简报中需要记住的最重要的事情。信任,然后是证书,最后是 WiFi。每次都要按这个顺序进行。 现在,让我向您介绍一些最佳实践,这些实践将在实际生产中为您减少大量的麻烦。 首先,通过 Azure AD Application Proxy 发布您的 NDES 服务器。NDES 服务器必须能够从互联网访问,以便远程设备在到达现场之前能够配置证书。但是,直接将内部服务器暴露给互联网是一个重大的安全风险。Application Proxy 为您提供安全的远程访问,而无需打开入站防火墙端口。 第二,为自携设备(BYOD)部署短期证书。与其签发有效期为三年的证书,不如签发有效期为 90 天的证书。证书过期时,用户必须通过引导式配置门户重新进行身份验证。这能自然而然地从网络中清除不活跃的设备。90 天内未使用的设备就会直接掉线,无需手动清理。 第三,这一点绝对至关重要:配置您的 RADIUS 服务器以执行严格的证书吊销列表(CRL)检查。当员工离职时,如果其客户端证书依然有效,禁用其 Active Directory 账户可能不会立即撤销其 WiFi 访问权限。您的 RADIUS 服务器必须在授予访问权限之前检查 CRL。确保您的 CRL 分发点具有高可用性。如果 RADIUS 服务器无法访问 CRL,所有人的身份验证都会失败,从而导致大面积的网络中断。 现在让我们来看看一些常见的故障模式以及如何避免它们。 最常见的问题是 WiFi 配置文件应用失败。设备接收到了受信任的根证书和 SCEP 证书,但在 MDM 控制台中,WiFi 配置文件显示为错误。十有八九这是由于组定位不匹配造成的。如果 SCEP 配置文件分配给了用户组,而 WiFi 配置文件分配给了设备组,则 MDM 无法解析此依赖关系。请审计您的分配情况,确保所有三个配置文件都定位到完全相同的组。 第二个常见问题是 NDES 403 Forbidden(禁止访问)错误。设备无法获取 SCEP 证书,且 NDES IIS 日志显示 HTTP 403 错误。这通常是因为连接器服务账户缺少对证书模板的必要权限,或者防火墙拦截了 SCEP 使用的特定查询字符串参数。请验证连接器账户在 CA 模板上是否拥有读取(Read)和注册(Enrol)权限。检查您的防火墙日志,确保未拦截包含 operation equals GetCACaps 参数的 URL。 让我为您提供两个真实场景,以说明这在实践中是如何运行的。 场景一:一家拥有 200 间客房的酒店,有 50 名客房服务人员使用个人智能手机访问排班应用程序。IT 经理希望避免进行完整的 MDM 注册,以尊重员工隐私。解决方案是提供一个与 Microsoft Entra ID 集成的自助服务门户。员工连接到配置 SSID,使用其 Entra ID 凭证登录,并下载 SCEP 配置文件。SCEP 服务器直接向该设备签发一个有效期为 30 天的客户端证书。设备使用 EAP-TLS 连接到员工 WiFi SSID。RADIUS 服务器将这些设备分配到仅允许访问排班应用程序的受限 VLAN。当员工离职时,其 Entra ID 账户将被禁用,RADIUS 服务器会立即拒绝其网络访问。 场景二:一家拥有 500 家门店的全国性零售连锁店为公司拥有的销售终端平板电脑部署安全 WiFi。网络架构师需要确保即使平板电脑被盗,也无法提取凭据。解决方案是 Microsoft Intune 通过 SCEP 部署证书。Intune 推送受信任的根证书,然后推送 SCEP 配置文件,指示平板电脑在其硬件安全飞地中生成自己的私钥。平板电脑向 NDES 服务器提交 CSR,接收客户端证书,并使用 EAP-TLS 连接到零售 POS SSID。由于私钥是在本地生成的且从未传输过,因此被盗平板电脑的凭据无法在其他地方使用。这满足了 PCI-DSS 合规性要求。 现在,让我们谈谈商业案例。过渡到 SCEP 802.1X 证书部署可在安全和运营方面带来可衡量的回报。 基于密码的 WiFi 会产生大量的帮助台工单。密码过期、锁定、拼写错误。基于证书的身份验证对用户是无感的。设备会自动连接。这通常可以将与 WiFi 相关的帮助台工作量减少 70%。这是运营成本的实质性降低。 EAP-TLS 消除了凭据收集和中间人攻击的风险。这对于零售环境中遵守 PCI-DSS 以及所有行业中遵守 GDPR 至关重要。数据泄露的成本远超部署适当 PKI 基础设施的成本。 对于已经运行 Purple 的访客 WiFi 和分析平台的组织,将安全入网扩展到员工 BYOD 设备可提供统一的网络管理策略。Purple 与硬件无关的云覆盖与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 集成,因此您不会被锁定在单一硬件厂商中。Purple 在 80,000 个活跃场所运营,并在 2024 年处理了 4.4 亿次登录,持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。 最后,让我快速总结一下您需要做出的关键决策。 您应该使用 SCEP 还是 PKCS?在 WiFi 身份验证中请使用 SCEP。私钥保留在设备上。仅在需要密钥托管的电子邮件加密中使用 PKCS。 证书的有效期应该是多长?BYOD 为 90 天。公司管理设备为一到两年。 在 MDM 中应该使用用户目标还是设备目标?对于需要在用户登录前连接的公司设备,请使用设备目标。对于证书应与个人绑定的 BYOD,请使用用户目标。 如何处理 Android 碎片化?尽可能使用 Passpoint(也称为 Hotspot 2.0)。它可以在不同的 Android 制造商之间提供一致的连接体验。 最后,最重要的一点是什么?在您的 RADIUS 服务器上进行 CRL 检查。如果没有它,已吊销的证书仍然可以授予网络访问权限。 以上就是今天简报的全部内容。如果您想深入了解其中任何主题,可以在 Purple 官方网站 purple.ai 上获取关于企业 WiFi 安全和 EAP-TLS 证书认证的 Purple 技术指南。感谢您的收听。

header_image.png

执行摘要

对于酒店、零售和公共部门的企事业单位而言,依靠预共享密钥(PSK)或 MAC 身份验证旁路(MAB)来提供员工和 BYOD WiFi 接入存在安全隐患。现代网络架构要求使用 EAP-TLS(可扩展身份验证协议 - 传输层安全)进行 802.1X 身份验证,以确保每个设备在接入网络前都经过密码学验证。然而,在运营中面临的挑战在于:如何向数千个托管或非托管设备分发唯一的客户端证书,同时不让 IT 帮助台淹没在支持工单中。

RFC 8894 中定义的简单证书注册协议(SCEP)通过自动化的证书生命周期管理解决了这一分发难题。通过利用 SCEP,IT 团队可以将受信任的根证书和客户端证书推送到终端,并确保私钥永远不会离开设备。本指南提供了 SCEP WiFi 证书部署的权威架构蓝图和分步实施策略。我们将涵盖成功部署所需的关键部署顺序、来自酒店和零售行业的真实应用场景,以及规避风险的策略,以确保您的 Guest WiFi 和企业网络安全且高效运行。

技术深潜:SCEP 架构

SCEP 是企业设备注册的行业标准,由 VeriSign 创建并于 1999 年作为 IETF 互联网草案发布。它实现了公钥基础设施(PKI)环境中 X.509 证书颁发的自动化,从而无需在大规模场景下手动管理证书。

scep_architecture_overview.png

在 SCEP 工作流程中,设备会在本地生成自己的私钥和公钥对。它会创建一个证书签名请求 (CSR),并通过网络设备注册服务 (NDES) 服务器将其发送到您的证书颁发机构 (CA)。CA 使用共享密钥验证请求,并将签名的公钥证书返回给设备。其关键的安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的硬件安全区域中 - Windows 上的可信平台模块 (TPM) 或 iOS 上的安全隔离区。这使得 SCEP 成为 802.1X 身份验证强烈推荐的方法,而 PKCS (公钥加密标准) 则不同,在 PKCS 中,CA 集中生成密钥对并通过网络进行传输。

SCEP 证书注册的四个步骤如下。首先,设备连接到 NDES 服务器托管的 SCEP 终端 URL。其次,设备出示 SCEP 共享密钥(由 MDM 平台生成的静态密码或动态挑战)以验证注册请求。第三,设备生成一个包含其公钥和识别信息的 CSR。第四,CA 验证 CSR 并颁发签名的 X.509 证书,并将其返回给设备。

SCEP 与 PKCS:选择合适的机制

在设计证书部署策略时,在 SCEP 和 PKCS 之间的选择直接影响安全性。下表总结了关键区别。

属性 SCEP PKCS
私钥生成 在设备上(安全隔离区) 在 CA 服务器上
私钥传输 永不传输 通过网络传输
基础架构要求 需要 NDES 服务器 不需要 NDES
最适合用于 WiFi 和 VPN 身份验证 S/MIME 电子邮件加密
802.1X 的安全状况 推荐 不推荐

对于采用 SCEP 的企业 WiFi,请始终选择 SCEP。将私钥保留在设备上是根本性的安全属性,它使基于证书的 802.1X 身份验证优于任何基于凭据的身份验证方法。

BYOD 自助入网流程

安全 BYOD 入网的基础是从传统身份验证过渡到 EAP-TLS,而无需进行完整的移动设备管理 (MDM) 注册。强制员工将个人智能手机注册到企业 MDM 中会引发合理的隐私担忧,并遭到强烈抵制。自助服务入网门户解决了这个问题。

用户将其个人设备连接到专用的配置 SSID,该 SSID 充当围墙花园,将访问限制在仅能访问引导门户和身份提供商。用户通过与 Microsoft Entra ID、Okta 或 Google Workspace 的 SAML 或 OAuth 集成进行身份验证。身份验证成功后,系统会通过 SCEP 生成一个唯一的、设备特定的客户端证书。配置配置文件(适用于 Apple 的 .mobileconfig 文件,或 Android Passpoint 配置文件)会推送到设备。然后,设备使用 EAP-TLS 自动连接到安全的企业 SSID。用户完全不需要了解有关证书或 802.1X 的任何信息。

实施指南:部署顺序

成功配置适用于 802.1X 的 SCEP 需要严格遵守特定的部署顺序。在配置身份验证之前,必须先建立信任。偏离此顺序是导致部署失败的最常见原因。

步骤 1:部署受信任的根证书。 在任何设备请求客户端证书或信任您的 RADIUS 服务器之前,它必须首先信任颁发证书颁发机构 (CA)。将您的根 CA 证书(以及任何中间 CA 证书)导出为 .cer 文件。通过您的 MDM 平台将此配置文件部署到目标设备组。此步骤是不可妥协的。

步骤 2:配置 SCEP 证书配置文件。 这将指示设备如何获取其客户端证书。配置使用者名称格式 - 对于用户驱动的身份验证,标准是 CN={{UserPrincipalName}};对于设备身份验证,请使用 CN={{AAD_Device_ID}}。将密钥用法设置为 Digital signatureKey encipherment。在增强型密钥用法下,指定 Client Authentication (OID: 1.3.6.1.5.5.7.3.2)。将此配置文件链接到步骤 1 中受信任的根证书配置文件。提供您的 NDES 服务器的外部 URL。

步骤 3:部署 802.1X WiFi 配置文件。 推送将证书绑定到网络 SSID 的 WiFi 配置。输入与您的接入点 (AP) 广播的完全一致的网络名称。将安全类型设置为 WPA2-EnterpriseWPA3-Enterprise。将 EAP 类型设置为 EAP-TLS。选择 SCEP 证书配置文件作为客户端身份验证证书。指定用于服务器验证的受信任根证书,以确保设备仅连接到您合法的 RADIUS 服务器。

此顺序适用于所有受支持的硬件平台:Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。Purple 与硬件无关的云覆盖网络可与所有这些平台集成,这意味着您的证书基础设施不会被锁定到单一硬件厂商。

最佳实践

通过 Azure AD Application Proxy 发布 NDES。 NDES 服务器必须能从互联网访问,以便远程设备在到达现场之前能够配置证书。直接向互联网暴露内部服务器会带来重大的安全风险。通过 Azure AD Application Proxy 进行发布可提供安全的远程访问,而无需打开入站防火墙端口,并允许您将条件访问策略应用于注册流程。

为 BYOD 颁发短期证书。 由于 BYOD 设备是未管理的,因此受损设备保留在网络上的风险较高。请颁发有效期为 90 天而非数年的证书。当证书过期时,用户必须通过引导门户重新进行身份验证。这自然会在无需 IT 手动干预的情况下从网络中清除过期的设备。

在 RADIUS 服务器上强制执行严格的 CRL 检查。 证书部署只是安全等式的一半。如果员工离职,禁用其 Active Directory 账户可能不会在其实体证书仍然有效时立即撤销其 WiFi 访问权限。配置您的 RADIUS 服务器以强制执行严格的证书撤销列表 (CRL) 检查。确保您的 CRL 分发点 (CDP) 高度可用。如果 RADIUS 服务器无法访问 CRL,所有用户的身份验证都将失败,从而导致大规模故障。

将 BYOD 细分到专用 VLAN。 BYOD 设备是未管理的。您无法控制其操作系统更新、防病毒状态或已安装的应用程序。将 BYOD 设备放置在仅提供互联网访问的专用 VLAN 上,并限制为员工角色所需的特定内部应用程序。切勿将 BYOD 设备与企业服务器或托管设备置于相同的 VLAN 中。

byod_vs_psk_comparison.png

故障排除与风险缓解

WiFi 配置文件无法应用。 设备已收到受信任的根证书和 SCEP 证书,但 WiFi 配置文件在 MDM 控制台中显示为“错误”。这几乎总是由组目标不匹配引起的。如果 SCEP 配置文件分配给“用户组”,而 WiFi 配置文件分配给“设备组”,则 MDM 无法解析依赖关系。审核您的分配,并确保受信任的根、SCEP 和 WiFi 配置文件全部针对完全相同的 Azure AD 组。

NDES 403 Forbidden 错误。 设备无法检索 SCEP 证书,且 NDES IIS 日志显示 HTTP 403 错误。这很可能是因为连接器服务帐户缺乏对证书模板的必要权限,或者您的防火墙阻止了 SCEP 使用的特定查询字符串参数。验证连接器帐户在 CA 模板上拥有 "Read" 和 "Enrol" 权限。检查防火墙日志以确保包含 ?operation=GetCACaps 的 URL 未被阻止。

Android 碎片化。 Apple iOS 设备处理 .mobileconfig 配置文件的表现非常一致。然而,Android 系统高度碎片化 - 不同的制造商和操作系统版本处理 WiFi 配置文件和证书安装的方式各不相同。在入网门户上提供清晰的、针对特定操作系统的说明。使用 Passpoint (Hotspot 2.0) 可以在不同制造商之间提供一致的连接流程,从而显著提升 Android 体验。

证书撤销延迟。 当员工离职时,必须立即撤销其访问权限。禁用其 IdP 帐户是第一步,但 RADIUS 服务器还必须验证证书状态。配置您的 RADIUS 服务器以在 CRL 检查之外使用在线证书状态协议 (OCSP)。OCSP 提供实时撤销状态,而不是依赖定期更新的列表。

投资回报率和业务影响

过渡到 SCEP 802.1X 证书部署可在安全和运营方面带来可衡量的回报。基于密码的 WiFi 会因密码过期、锁定和输入错误而产生大量的服务台工单。基于证书的身份验证对用户是无感的 - 设备会自动连接。这通常可减少 70% 与 WiFi 相关的服务台工作量,使 IT 人员能够专注于战略性工作。

EAP-TLS 消除了凭据收集和中间人 (MitM) 攻击的风险。这对于 零售 环境中的 PCI-DSS 合规性以及所有行业中的 GDPR 合规性至关重要。在 酒店/餐饮业 ,员工需要处理支付数据和宾客的个人信息,数据泄露的成本远超部署架构良好的 PKI 基础设施的成本。同样的合规驱动因素也适用于 交通 运营商和 医疗保健 场所。

对于已经在使用 Purple 的 Guest WiFiWiFi Analytics 平台的场所,将安全入网扩展到员工 BYOD 设备可提供统一且强大的网络管理策略。Purple 在全球 80,000 多个物理场所中运行,在 2024 年处理了 4.4 亿次登录(Purple 内部数据),并持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。我们的 SecurePass 和 Shield 安全插件可直接与本指南中描述的基于证书的身份验证架构集成。

要获得关于企业网络安全的更广泛视角,请参阅我们的 企业 WiFi 安全:2026完整指南 。针对网络管理员特有的 GDPR 合规性考量,请参阅 网络管理员 GDPR 与访客数据隐私合规指南

关键定义

SCEP (简单证书注册协议)

RFC 8894 中定义的一种协议,可在 PKI 环境中自动向设备签发 X.509 数字证书。设备在本地生成自己的私钥,且该私钥绝不会离开设备。

用于在没有人工 IT 干预的情况下,大规模向企业和 BYOD 设备部署 WiFi 身份验证证书。802.1X 证书预配置的行业标准。

802.1X

一个用于基于端口的网络访问控制的 IEEE 标准(IEEE Std 802.1X-2020)。它为希望连接到 LAN 或 WLAN 的设备在被授予网络资源访问权限之前提供了一种身份验证机制。

安全企业 WiFi 的基石,取代了易受攻击的预共享密钥。需要一个 RADIUS 服务器、客户端设备上的请求方以及接入点上的认证器。

EAP-TLS (可扩展身份验证协议-传输层安全)

一种要求服务器和客户端都出示有效数字证书的身份验证框架。提供双向身份验证,确保设备信任网络,且网络也信任该设备。

最安全的 802.1X 身份验证方法。消除凭据盗窃和中间人攻击。是 SCEP 证书部署旨在启用的目标身份验证协议。

NDES (网络设备注册服务)

一个 Microsoft Windows Server 角色,充当桥梁,允许没有域凭据的设备通过 SCEP 从 Active Directory 证书服务 CA 获取证书。

在使用 Microsoft Intune 实施 SCEP 时所需的 cloudy 基础设施组件。应通过 Azure AD Application Proxy 发布,以允许安全的远程证书配置。

BYOD (携带自己的设备)

允许员工使用个人智能手机、平板电脑或笔记本电脑访问企业网络和应用程序的做法。

需要仔细的网络分段和安全的引导入网,以防止未托管的设备危害企业网络。由于隐私问题,对个人设备进行完全的 MDM 注册通常是不切实际的。

CRL (证书吊销列表)

由证书颁发机构发布的一个列表,其中包含在其到期日期之前已被吊销的证书的序列号。

RADIUS 服务器在每次身份验证尝试期间都必须检查此列表,以确保离职员工或受损设备无法访问网络。CRL 分发点必须保持高可用性。

CSR (证书签名请求)

由设备生成并发送给证书颁发机构以申请数字身份证书的消息。包含设备的公钥和身份信息。

在 SCEP 过程中由设备生成。用于对 CSR 进行签名的私钥保留在设备上,绝不会被传输。

RADIUS (远程用户拨号认证服务)

一种网络协议,为连接到网络的用户名和设备提供集中化的认证、授权和计费 (AAA) 管理。

在 802.1X 身份验证期间验证客户端证书并授予或拒绝网络访问的服务器。必须配置为执行严格的 CRL 或 OCSP 检查。

PKCS (公钥加密标准)

一套标准,其中公钥和私钥均由证书颁发机构生成,然后安全地交付给终端。

与 SCEP 相比,不太适合用于 WiFi 身份验证,因为私钥是通过网络传输的。更适合需要密钥托管的 S/MIME 电子邮件加密。

OCSP (在线证书状态协议)

一种提供实时证书吊销状态的协议,作为定期更新的 CRL 的替代方案。

在高度安全的环境中比 CRL 更受青睐,因为它提供了即时的吊销状态,而不是依赖于可能已过时数小时的列表。

应用实例

一家拥有 200 间客房的酒店需要为 50 名使用个人智能手机 (BYOD) 访问客房调度应用程序的客房服务人员提供安全的 WiFi 访问。IT 经理希望避免进行全面的 MDM 注册以尊重员工隐私,但需要确保在员工辞职时立即撤销其访问权限。

该酒店部署了一个与 Microsoft Entra ID 集成的自助服务入网门户。员工连接到开放的预配置 SSID,使用其 Entra ID 凭据进行身份验证,然后下载 SCEP 配置文件。SCEP 服务器直接向设备颁发为期 30 天的客户端证书,其私钥在智能手机的安全安全区域本地生成并存储。设备使用 EAP-TLS 自动连接到 "Staff_WiFi" SSID。RADIUS 服务器将这些设备分配给受限的 VLAN,该 VLAN 仅允许访问调度应用程序和互联网。当员工辞职时,其 Entra ID 帐户将被禁用。配置为严格 CRL 检查的 RADIUS 服务器将在下一次身份验证尝试时拒绝其网络访问。30 天的证书有效期确保了即使 CRL 检查延迟,访问权限也会在一个月内失效。

考官评语: 这种方法在安全与员工隐私之间取得了平衡。通过通过 Captive Portal 而不是全面的 MDM 注册来使用 SCEP,酒店避免了在个人设备上安装管理配置文件。30 天的证书有效期和严格的 CRL 检查提供了分层的访问控制。VLAN 隔离确保了即使是被入侵的 BYOD 设备也无法访问企业服务器或支付系统。

一家拥有 500 家门店的全国性零售连锁店需要为运行 Windows 的公司拥有的销售终端 (POS) 平板电脑部署安全的 WiFi。网络架构师必须确保即使平板电脑被盗,也无法提取网络凭据并用于从其他设备访问企业网络。符合 PCI-DSS 是强制性的。

网络架构师配置 Microsoft Intune 以通过 SCEP 部署证书。Intune 将受信任的根证书推送至 "POS Devices" 组,随后推送 SCEP 配置文件,该文件指示每台平板电脑在 Windows TPM 中生成自己的私钥。平板电脑向 NDES 服务器提交 CSR,接收客户端证书,并使用 WPA3-EnterpriseEAP-TLS 连接到 "Retail_POS" SSID。RADIUS 服务器对证书进行身份验证,并将设备置于隔离的 POS VLAN 中,该 VLAN 仅允许流量传输到支付处理器和库存管理系统。所有三个 Intune 配置文件(受信任根证书、SCEP 和 WiFi)都分配给相同的 "POS Devices" 设备组,以防止依赖项失败。NDES 通过 Azure AD Application Proxy 发布,以允许在不需要平板电脑在场的情况下进行证书续订。

考官评语: 这是 PCI-DSS 环境中公司设备的最佳架构。由于 SCEP 确保私钥是在 TPM 中本地生成且永远不会传输,因此无法提取被盗平板电脑的凭据并从另一台设备进行重放。WPA3-Enterprise 标准提供了前向安全性,确保捕获的流量无法追溯解密。VLAN 隔离将任何受损设备的影响范围限制在仅 POS 网络段。

练习题

Q1. 您正在通过 Intune 向一批 Windows 笔记本电脑部署 SCEP 配置。设备成功接收了可信根证书,但 WiFi 配置文件应用失败,并在 Intune 控制台中显示为“错误”。SCEP 配置文件分配给了“所有用户” Azure AD 组,而 WiFi 配置文件分配给了“公司笔记本电脑”设备组。导致此失败的原因是什么,您该如何解决?

提示:考虑配置文件之间的依赖关系,以及当一个配置文件依赖于另一个配置文件时,Intune 如何解析组定位。

查看标准答案

此失败是由组定位不匹配引起的。Intune 无法解析 SCEP 配置文件与 WiFi 配置文件之间的依赖关系,因为它们针对不同的组类型 - 一个针对用户,另一个针对设备。要解决此问题,请审计所有这三个配置文件分配,并确保可信根、SCEP 和 WiFi 配置文件都部署到完全相同的 Azure AD 组。在所有配置文件中始终选择用户定位或设备定位。

Q2. 一家零售场所希望保护其 POS 平板电脑的安全。IT 总监建议使用 PKCS 代替 SCEP,因为这样可以通过消除对 NDES 服务器的需求来简化基础设施。作为网络架构师,您为什么应该推荐使用 SCEP 进行 802.1X WiFi 身份验证?在什么情况下 PKCS 才是正确的选择?

提示:思考在两种协议中私钥是在哪里生成和存储的,并考虑对网络身份验证与电子邮件加密的安全影响。

查看标准答案

推荐将 SCEP 用于 802.1X WiFi 身份验证,因为私钥是在设备本地生成的,并存储在其硬件安全飞地中。私钥永远不会离开设备,也绝不会跨网络传输。如果平板电脑被盗,凭证无法被提取并用于其他设备。而在使用 PKCS 时,CA 在中央生成密钥对并将其传输到设备,这引入了网络身份验证所无法接受的传输风险。PKCS 仅在需要密钥托管以在原始设备丢失时能够解密加密电子邮件的 S/MIME 电子邮件加密中,才是正确的选择。

Q3. 您正在为一家拥有 500 张床位的医院设计 BYOD 准入门户。临床工作人员将使用其个人智能手机访问非关键内部应用,如员工轮班表和内部消息。您需要降低员工离职后过期设备仍留在网络上的风险,且无需 IT 人员对每次离职进行手动干预。您应该实施什么特定的证书配置?

提示:考虑证书的生命周期,以及如何强制设备定期重新进行身份验证,而无需 IT 人员手动撤销每个证书。

查看标准答案

实施有效期为 30 到 90 天的短期证书。当证书过期时,BYOD 设备将被强制通过 Captive Portal 使用员工的公司 IdP 凭证重新进行身份验证。如果员工已离职且其 IdP 帐户已被禁用,则他们无法完成重新验证,也不会收到新证书。这自然地从网络中清理了过期设备,而无需 IT 手动撤销单个证书。将此与 RADIUS 服务器上的 OCSP 检查相结合,以确保在帐户被禁用时立即撤销,从而在证书过期周期之间提供深度防御。

Q4. 您的 NDES 服务器对所有 SCEP 证书请求返回 HTTP 403 Forbidden 错误。该 NDES 服务器可通过 Azure AD Application Proxy 从互联网访问。导致此错误的两个最可能原因是什么,您该如何诊断每一个?

提示:同时考虑证书模板上的权限以及设备与 NDES 服务器之间的网络路径。

查看标准答案

两个最可能的原因是:第一,Intune Certificate Connector 服务帐户对 CA 证书模板缺乏必要的权限。请验证服务帐户在 CA 控制台的模板上是否具有“读取”和“注册”权限。第二,防火墙或应用程序代理正在拦截 SCEP 使用的特定查询字符串参数。检查防火墙和应用程序代理日志,查看是否包含“?operation=GetCACaps”或“?operation=PKIOperation”等参数的请求。这些是必须允许的标准 SCEP 操作。如果应用程序代理正在剥离查询字符串,请调整预身份验证设置以允许 NDES URL 路径直接通过。