跳至主要内容
简体中文

如何实施 SCEP 以实现自动化 WiFi 证书注册

本指南介绍了如何在企业场所中实施 SCEP(简单证书注册协议)以实现自动化 WiFi 证书注册。它涵盖了完整的架构蓝图——从 PKI 设计和 MDM 集成到强制性的三步部署顺序——并向 IT 经理和网络架构师展示了如何消除共享凭据、自动化证书生命周期管理,并大规模满足 PCI DSS 和 GDPR 要求。

📖 10 分钟阅读📝 2,383 🔧 2 应用实例4 练习题📚 10 关键定义

收听本指南

查看播客转录
引言与背景 - 0:00 至 1:00 您好,欢迎收听来自 Purple 的技术简报。今天我们将深入探讨 SCEP(简单证书注册协议)以及如何实施它以实现自动化 WiFi 证书注册。如果您是网络架构师、IT 总监,或者正在管理零售连锁店、医院或体育场等大型场所的基础设施,那么本期简报非常适合您。我们将直奔主题,讨论如何大规模部署 EAP-TLS,为什么 SCEP 是设备身份的正确选择,以及如何在您的环境中实际部署它。让我们直接进入正题。 技术深挖 - 1:00 至 6:00 那么,我们在这里要解决的具体挑战是什么?在企业 WiFi 安全领域,EAP-TLS 代表着黄金标准。与依赖用户密码的 PEAP 或 EAP-TTLS 等传统方法不同,EAP-TLS 强制要求进行基于证书的双向身份验证。这意味着客户端设备必须通过服务器证书验证网络身份,而网络必须通过唯一的客户端证书验证客户端身份。 想想密码的脆弱性。它们可以被共享、被钓鱼或被盗。在庞大的企业环境中,一个泄露的密码就可能让恶意攻击者访问您的整个内部网络。EAP-TLS 完全消除了这一攻击途径。身份验证依赖于由公钥基础设施(即 PKI)颁发的 X.509 证书。 但 EAP-TLS 的核心挑战不在于协议本身,而在于将唯一的客户端证书分发到成千上万台设备上的物流问题,无论这些设备是 Windows 笔记本电脑、iPad 还是销售终端平板电脑。您无法手动在数千台设备上安装证书。这就是 Microsoft Intune 或 Jamf 等移动设备管理(MDM)平台发挥作用的地方。但是,您如何安全地交付这些证书呢? 您通常有两个选择:PKCS 或 SCEP。在这一点上,让我非常明确地说明。对于 WiFi 身份验证,您需要 SCEP。原因如下:使用 SCEP 时,MDM 会指示终端设备在本地生成自己的私钥。该密钥始终锁定在设备的硬件安全模块中,绝不会在网络上传输。设备只需通过网关(通常是 NDES 服务器)向您的证书颁发机构(CA)发送证书签名请求(CSR)。 相比之下,使用 PKCS 时,证书颁发机构会集中生成私钥,并通过网络将其推送到设备。虽然 PKCS 有其适用场景(例如需要密钥托管的电子邮件加密),但通过网络传输私钥是您在进行网络身份验证时无需承担的风险。将密钥保留在设备上,请使用 SCEP。 现在,我们来谈谈实施。如果您从这次简报中只能记住一件事,那就是这条经验法则:认证前先信任。您不能只推送一个 WiFi 配置文件就期望它能正常工作。您必须遵循严格的三步部署顺序。 第一步:部署受信任根证书。在设备请求客户端证书或信任您的 RADIUS 服务器之前,它必须先信任颁发证书的证书颁发机构。请先推送此配置文件。 第二步:配置并推送 SCEP 证书配置文件。这会告诉设备如何与 SCEP 网关通信、其主题名称使用什么格式,以及该证书的实际用途。在这种情况下,是客户端身份验证。您必须将此配置文件链接到您在第一步中部署的受信任根证书。 第三步:部署 802.1X WiFi 配置文件。这是您将所有内容联系在一起的地方。您指定 SSID,选择 WPA3-Enterprise,将 EAP 类型设置为 EAP-TLS,并将其指向用于客户端身份验证的 SCEP 证书。 实施建议与常见陷阱 - 6:00 至 8:00 这是我们经常看到的一个主要陷阱。客户打电话告诉我们:证书已经在设备上了,但 WiFi 配置文件在 Intune 中显示错误。几乎每一次,这都是因为组目标不匹配。如果您将 SCEP 配置文件分配给用户组,但将 WiFi 配置文件分配给设备组,MDM 就无法解析这种依赖关系。请在所有三个配置文件中完全匹配您的目标组。 让我们来看一个真实世界的场景。想象一家拥有 200 间客房的酒店。他们有 150 台用于客房服务人员的托管 iOS 设备。目前,他们使用标准的密码网络,员工经常与宾客共享密码。这确实是一个运营上的难题。通过使用 SCEP 迁移到基于 EAP-TLS 的 WPA2-Enterprise,IT 总监完全消除了密码。iOS 设备使用其证书在后台进行无感认证。 但是,如果客房服务人员丢失了设备或离职了会发生什么?仅禁用他们的 Active Directory 账号是不够的,因为该设备上的证书在密码学上仍然有效。这带出了一个关键的安全控制:严格的 CRL 检查。您必须配置您的 RADIUS 服务器来检查证书吊销列表。如果设备丢失,您可以在 CA 处吊销该证书。RADIUS 服务器在 CRL 上看到吊销状态,并立即阻止网络访问。没有严格的 CRL 检查,您的安全防护就是不完整的。 快速问答 - 8:00 至 9:00 让我们来解答几个我们经常从 CTO 那里听到的快速问答。 问题一:WPA3 Enterprise 是否需要 EAP-TLS?虽然 WPA3 Enterprise 支持其他方法,但强烈推荐使用 EAP-TLS,而且如果您要实施 WPA3 Enterprise 192 位安全套件(通常称为 Suite B),则必须使用 EAP-TLS。 问题二:我们可以为客户端使用公共证书吗?不能。您必须为客户端证书使用私有内部 CA。公共 CA 适用于面向公众的 Web 服务器。您的内部 RADIUS 服务器需要信任您特定的内部根 CA,以验证您的企业设备。 问题三:这如何与 OpenRoaming 结合?OpenRoaming 依赖于 Passpoint 和 802.1X。Purple 在 Connect 许可下充当 OpenRoaming 等服务的免费身份提供商,利用底层的证书 and 身份框架,促进跨场所的无缝、安全漫游。 总结与后续步骤 - 9:00 至 10:00 总结一下,过渡到自动化的 SCEP 证书部署可以带来真实、可衡量的回报。您将看到与 WiFi 相关的服务台工单减少 70% 到 80%,因为用户不会再被锁定或输入错误的密码。更重要的是,您消除了凭据收集的风险,确保您满足 PCI DSS 和 GDPR 等合规框架的要求。 自动化企业 WiFi 安全不仅仅是为了锁定资源,更是为了让安全之路成为用户最轻松的选择。您的后续步骤:审计您当前的 802.1X 部署。如果您仍在使用密码,请设计您的 PKI 并计划迁移到结合 SCEP 的 EAP-TLS。检查您的 RADIUS 服务器是否在强制执行严格的 CRL 或 OCSP 检查。并验证您的三个部署配置文件是否都指向同一个组。 感谢您收听来自 Purple 的技术简报。欲了解更详细的部署指南,并了解我们的分析和身份平台如何与您的安全网络集成,请访问 purple dot ai。

header_image.png

执行摘要

对于在酒店、零售资产、体育场和会议中心运营 Guest WiFi 的场所运营商而言,依赖预共享密钥或基础 Captive Portal 来进行员工网络访问是一种安全隐患。现代网络架构要求使用 EAP-TLS(可扩展身份验证协议 - 传输层安全)进行 802.1X 身份验证,以确保每台设备在接入网络之前都经过密码学验证。挑战在于分发:如何向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书,而又不让您的服务台不堪重负?

答案就是 SCEP——简单证书注册协议。IETF 于 2020 年将其正式确立为 RFC 8894,SCEP 实现了托管设备群中证书注册的自动化。当与 Microsoft Intune 或 Jamf 等 MDM 平台集成时,SCEP 可提供零接触证书配置:设备无需任何 IT 干预即可请求、接收和更新自己的证书。私钥在设备本地生成,绝不通过网络传输——这是相比基于 PKCS 交付的根本安全优势。

本指南将逐步介绍完整的 SCEP 实施工作流:PKI 架构、NDES 网关配置、强制性的三步 MDM 部署顺序,以及决定部署是成功还是停滞的运营控制(特别是 CRL 检查和组目标定位)。两个真实世界的场景展示了该方法在酒店和零售环境中的应用。Purple 在全球 80,000 多个活跃场所和 3.5 亿独立用户中运营;这里描述的模式反映了在该规模下行之有效的经验。

技术深挖

SCEP 的实际作用

SCEP 介于您的 MDM 平台和证书颁发机构(CA)之间。它为设备提供了一种基于 HTTP 的标准化机制,用于请求、接收和更新 X.509 证书,而无需加入域的凭据或管理员的手动参与。该协议最初开发于 2000 年代初期,在 IETF 正式发布其为 RFC 8894 之前,已在企业 MDM 环境中获得广泛采用。

六步注册流程如下。第一步,托管设备连接到其 MDM 配置文件中预先配置的 SCEP 网关 URL。第二步,设备在本地生成私钥/公钥对并创建证书签名请求(CSR)。第三步,SCEP 网关使用嵌入在 MDM 策略中的质询密码或 OTP 验证设备的授权。第四步,网关将验证后的 CSR 转发给 CA。第五步,CA 对证书进行签名并将其返回给网关。第六步,网关将签名后的证书交付给设备。未来的更新也遵循相同的自动化路径——设备在到期前重新注册,无需任何用户或管理员操作。

scep_architecture_overview.png

SCEP 与 PKCS:至关重要的决策

Microsoft Intune 和大多数 MDM 平台支持两种证书交付机制:SCEP 和 PKCS。这种区别是架构上的,而非表面上的。

使用 SCEP 时,私钥在设备上生成并保留在设备上。CA 永远看不到它。设备的 TPM(在 Windows 上)或 Secure Enclave(在 iOS/macOS 上)在硬件级别保护密钥。使用 PKCS 时,CA 集中生成密钥对,并通过网络将其传输到设备。CA 保留一份副本以实现密钥托管——这对于 S/MIME 电子邮件加密很有用,但会为网络身份验证引入不必要的风险。

对于 802.1X WiFi 身份验证,请使用 SCEP。私钥永远不会离开设备。这是基本规则。

scep_vs_pkcs_comparison.png

评估标准 SCEP PKCS
私钥生成于 设备 CA(集中式)
私钥通过网络传输 从不
支持 TPM / Secure Enclave
推荐用于 WiFi 认证
推荐用于电子邮件加密 (S/MIME)
支持密钥托管

802.1X 和 EAP-TLS:身份验证框架

IEEE 802.1X 是作为企业 WiFi 安全基石的基于端口的网络访问控制标准。它定义了三个角色:申请者(客户端设备)、认证者(接入点——Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet)以及认证服务器(RADIUS 服务器,例如 Microsoft NPS、FreeRADIUS 或 Cisco ISE)。

EAP-TLS 是 802.1X 中最安全的 EAP 方法。双方均出示证书:RADIUS 服务器向客户端出示其证书,客户端向 RADIUS 服务器出示其通过 SCEP 配置的证书。如果缺少来自受信任 CA 体系的有效且未吊销的证书,任何一方都无法冒充对方。这种双向身份验证模型通过单一的架构决策消除了凭据盗窃、双面恶魔(Evil Twin)攻击和流氓接入点风险。

EAP-TLS 满足 PCI DSS 4.0 要求 8.6 关于网络层多因素身份验证的规定。它是 WPA3 Enterprise 192 位(Suite B)部署所必需的。对于任何涉及持卡人数据处理范围内的无线网络——零售 销售点(POS)、酒店前台、体育场票务——EAP-TLS 是正确的选择。

如需深入了解 安全 WiFi 架构以及基于证书的身份验证如何融入更广泛的安全态势,请参阅我们的核心指南。

实施指南

部署顺序不可更改。Intune 和 Jamf 按顺序解析配置文件依赖关系:WiFi 配置文件依赖于 SCEP 配置文件,而 SCEP 配置文件又依赖于受信任的根(Trusted Root)配置文件。如果不按顺序部署,WiFi 配置文件将无法应用。

第 1 步:设计您的 PKI

在操作 MDM 控制台之前,请先设计您的证书层级结构。标准的双层 PKI 包括:一个离线根 CA 和一个在线发证 CA。根 CA 的私钥是整个证书基础设施的主信任锚——请保持其物理隔离(air-gapped)。发证 CA 负责日常的证书颁发,并发布证书吊销列表(CRL)和 OCSP 响应程序。

对于大多数企业级场馆部署,运行在 Windows Server 上的 Microsoft Active Directory 证书服务(AD CS)可提供发证 CA。来自 SCEPman 或 SecureW2 等提供商的云托管 PKI 服务可以完全免除本地基础设施的需求,非常值得针对酒店集团、零售连锁店或多站点公共部门机构的分布式资产部署进行评估。

第 2 步:部署 NDES 服务器(或云 SCEP 网关)

NDES(网络设备注册服务)是 Microsoft Windows Server 角色,充当 MDM 和 CA 之间的 SCEP 网关。关键配置要求:

  • 通过 Azure AD 应用程序代理(或等效的反向代理)在外部发布 NDES URL。这允许远程设备在到达现场之前进行注册,而无需打开入站防火墙端口。
  • NDES 服务帐户需要对 CA 证书模板具有“读取”和“注册”权限。
  • 配置证书模板,将“密钥用法”设置为“数字签名”和“密钥加密”,并将“增强型密钥用法”设置为“客户端身份验证”(OID: 1.3.6.1.5.5.7.3.2)。
  • 设置适当的证书有效期。客户端证书的标准有效期为一年;对于稳定设备群中的设备证书,两年是可接受的。

如果您希望避免本地 NDES 基础设施,云 SCEP 网关可以通过 API 直接与 Intune 和您的 CA 集成,从而完全消除对 IIS 的依赖。

第 3 步:部署受信任的根证书配置文件

在您的 MDM 平台中,创建一个受信任的证书配置文件,并将您的根 CA 证书(以及任何中间 CA 证书)上传为 .cer 文件。在部署任何其他证书或 WiFi 配置文件之前,先将此配置文件部署到目标设备组。如果没有这一步,设备在 EAP-TLS 握手期间将无法验证 RADIUS 服务器的证书,并且在请求自己的 SCEP 证书时也无法信任发证 CA。

经验法则: 在所有三个相关配置文件中,始终针对相同的 Azure AD 组(用户或设备)。此处的配置不匹配是导致 WiFi 配置文件部署失败最常见的原因。

第 4 步:配置 SCEP 证书配置文件

在您的 MDM 中创建一个 SCEP 证书配置配置文件:

  • 使用者名称格式: 对于用户驱动的身份验证,使用 CN={{UserPrincipalName}}。对于设备身份验证(推荐用于共享设备和物联网),使用 CN={{AAD_Device_ID}}
  • 密钥用法: 数字签名、密钥加密。
  • 增强型密钥用法: 客户端身份验证(OID: 1.3.6.1.5.5.7.3.2)。
  • SCEP 服务器 URL: 外部发布的 NDES URL。
  • 根证书: 链接到第 3 步中的受信任的根配置文件。
  • 证书有效期: 与 CA 上配置的模板相匹配。

第 5 步:部署 802.1X WiFi 配置文件

创建一个 WiFi 配置配置文件:

  • SSID: 输入与您的接入点广播完全一致的网络名称。
  • 安全类型: WPA2-EnterpriseWPA3-Enterprise
  • EAP 类型: EAP-TLS。
  • 客户端身份验证证书: 选择第 4 步中的 SCEP 证书配置文件。
  • 服务器验证: 指定第 3 步中的受信任的根证书,并输入预期的 RADIUS 服务器名称。这可以防止设备连接到呈现欺诈性证书的恶意接入点。

最佳实践

在您的 RADIUS 服务器上强制执行严格的 CRL 检查

证书吊销是弥合禁用帐户与阻止网络访问之间差距的操作控制手段。当设备丢失、被盗或员工离职时,请禁用 AD 帐户并在 CA 处吊销证书。您的 RADIUS 服务器必须配置为在每次身份验证尝试时检查 CRL。如果 CRL 不可用(因为 CDP(证书吊销列表分发点)无法访问),大多数 RADIUS 服务器默认会选择“故障开放”(fail open),这存在安全风险。请确保您的 CDP 具有高可用性,并且您的 RADIUS 服务器配置为在无法获取 CRL 时选择“故障关闭”(fail closed)。

对于实时吊销,除 CRL 外,还应配置 OCSP(在线证书状态协议)。OCSP 提供针对单个证书的状态响应,而无需 RADIUS 服务器下载和解析整个 CRL。

对共享设备和物联网设备使用设备证书

对于共享设备——酒店客房服务平板电脑、零售 POS 终端、体育场门禁读卡器——请使用设备证书而不是用户证书。设备证书与机器身份绑定,而不是与用户帐户绑定。这意味着无论哪个用户登录,设备都会进行身份验证,并且吊销与设备记录绑定,而不是与员工的离职绑定。

对于 零售 部署,POS 硬件上的设备证书还满足 PCI DSS 对网络层设备身份的要求,而不会在销售点引入用户凭据的复杂性。

自动执行证书更新

SCEP 支持自动更新:MDM 会指示设备在证书到期前重新注册 证书过期。配置您的 SCEP 配置文件,在证书剩余有效期达到 20% 时触发更新。对于一年期证书,更新大约在过期前 73 天开始。此窗口期提供了足够的时间来解决任何更新失败问题,以免证书过期导致设备失去网络访问权限。

证书过期导致的大规模身份验证失败是 802.1X 部署中最常见的运维事件。通过 SCEP 进行自动更新可完全消除这一风险。

按证书属性细分网络

RADIUS 服务器可以读取证书属性(使用者、SAN 或自定义 OID),并使用它们将设备动态分配到 VLAN。使用从 HousekeepingDevices 模板颁发的证书的客房服务平板电脑会进入客房服务 VLAN。使用来自 RetailPOS 模板的证书的 POS 终端会进入 PCI 范围内的 VLAN。这是通过密码学强制执行的网络细分,比基于 SSID 或基于 MAC 的方法可靠得多。

对于在同一物理基础设施上同时运行访客 WiFi (Guest WiFi) 和员工 WiFi (Staff WiFi) 的 酒店/款待 运营商而言,通过证书属性分配 VLAN 可确保访客和员工始终处于不同的网络段,无论设备连接到哪个 SSID。

故障排除与风险缓解

WiFi 配置文件在 Intune 中显示“错误”或“不适用”

根本原因: 组目标不匹配。SCEP 配置文件分配给与 WiFi 配置文件不同的组。Intune 无法解析证书依赖关系。

解决方法: 审核所有三个配置文件(受信任的根、SCEP、WiFi)。确保它们都分配给完全相同的 Azure AD 组。如果要部署到“用户”,则所有三个配置文件都必须针对“用户”组。如果部署到“设备”,则所有三个配置文件都必须针对“设备”组。

NDES 返回 HTTP 403 错误

根本原因: Intune Certificate Connector 服务帐户对 CA 证书模板缺乏“读取”或“注册”权限,或者防火墙 URL 过滤正在阻止 SCEP 查询字符串。

解决方法: 验证连接器帐户在 CA 控制台中的模板上是否具有“读取”和“注册”权限。检查防火墙日志中是否包含 ?operation=GetCACaps?operation=PKIOperation 的被阻止请求。这些查询字符串必须在不进行修改的情况下通过。

设备在过期前未能更新证书

根本原因: SCEP 更新窗口期太短,或者在更新时无法访问 NDES 服务器。

解决方法: 将更新阈值设置为证书有效期的 20%。确保 NDES URL 通过高可用反向代理发布。监控 NDES IIS 日志中的更新请求失败,并主动进行告警。

RADIUS 拒绝有效证书

根本原因: RADIUS 服务器的受信任 CA 存储不包含颁发 CA 证书,或者 CRL 已过期。

解决方法: 将完整的 CA 链(根 CA + 颁发 CA)导入 RADIUS 服务器的受信任存储中。验证是否成功获取了 CRL,并且从 RADIUS 服务器可以访问 CDP URL。检查 CRL 的下一次更新时间戳——如果已过期,则 CA 需要发布新的 CRL。

有关安全之外更广泛的网络性能注意事项,请参阅我们的 带宽管理指南

投资回报率 (ROI) 与业务影响

基于 SCEP 的证书注册的商业案例非常简单。基于密码的 WiFi 会产生可预测的服务台工单量:密码过期、锁定、员工与访客共享凭据以及新员工入职摩擦。基于证书的身份验证对最终用户是无感的。设备会自动连接。没有需要过期、共享或遗忘的密码。

从基于密码的 WiFi 迁移到带有 SCEP 的 EAP-TLS 的组织通常报告 WiFi 相关服务台工单减少了 70-80%(Purple 内部数据,2024 年,基于在酒店/款待和零售物业的部署)。仅服务台节省的成本通常就能在第一年内抵消实施成本。

合规性影响同样具体。EAP-TLS 满足 PCI DSS 4.0 要求 8.6 中关于网络层多因素身份验证的要求。对于 医疗保健 环境,它符合 HIPAA 对无线网络访问的技术保护要求。对于公共部门组织,它支持 NCSC Cyber Essentials Plus 对网络访问控制的认证要求。

对于 交通运输 运营商(铁路特许经营、机场运营商、公交网络),在员工设备上使用基于证书的身份验证可确保承载安全关键数据的运营网络与乘客 WiFi 隔离,并免受基于凭据的攻击。

Purple 的 WiFi Analytics 平台与受 802.1X 保护的网络集成,可在不损害底层基础设施安全态势的情况下提供第一方数据洞察。在 Purple 网络中收集的 290 亿个数据点表明,安全与分析是互补的,而不是相互竞争的目标。

有关在安全网络部署的同时进行反馈和体验管理,请参阅我们的 场馆反馈指南

关键定义

SCEP(简单证书注册协议)

一种 IETF 标准化协议(RFC 8894),可为托管设备自动进行 X.509 证书注册。设备在本地生成自己的私钥,并仅通过网关向 CA 发送证书签名请求。私钥永远不会离开设备。

IT 团队在配置 MDM 平台(Intune、Jamf)以大规模部署 WiFi 身份验证证书时会遇到 SCEP。它是 802.1X EAP-TLS 部署的推荐机制,因为私钥在终端上受到硬件保护。

EAP-TLS(可扩展身份验证协议 - 传输层安全)

最安全的 802.1X 身份验证方法。客户端设备和 RADIUS 服务器均出示 X.509 证书。如果缺少来自受信任 CA 体系的有效且未吊销的证书,任何一方都无法通过身份验证。

EAP-TLS 是 SCEP 证书部署所启用的目标身份验证协议。它满足 PCI DSS 4.0 要求 8.6,并且是 WPA3 Enterprise 192 位(Suite B)部署所必需的。

PKCS(公钥加密标准)

一种证书交付机制,其中 CA 集中生成公钥和私钥对,并将其传输到终端。CA 保留私钥的副本,从而实现密钥托管。

IT 团队在 Intune 中配置证书配置文件时,需要在 SCEP 和 PKCS 之间进行选择。PKCS 适用于需要密钥托管的 S/MIME 电子邮件加密。不建议将其用于 WiFi 身份验证,因为私钥会通过网络传输。

NDES(网络设备注册服务)

一个 Microsoft Windows Server 角色,充当 MDM 平台与证书颁发机构之间的 SCEP 网关。它验证设备注册请求并将 CSR 转发给 CA。

对于使用 Microsoft Intune 的本地 SCEP 部署,NDES 是必需的基础设施组件。它必须通过应用代理在外部发布,以允许远程设备进行注册。云 SCEP 网关是一种替代方案,可消除对本地 NDES 的依赖。

CRL(证书吊销列表)

由 CA 发布的列表,其中包含在到期日之前已被吊销的证书序列号。RADIUS 服务器检查 CRL 以确保带有已吊销证书的设备无法通过身份验证。

CRL 检查是执行证书吊销的运营控制手段。IT 团队必须配置其 RADIUS 服务器在每次身份验证尝试时检查 CRL,并确保 CRL 分发点(CDP)高度可用。

802.1X

一项用于基于端口的网络访问控制的 IEEE 标准。它定义了企业 WiFi 和有线网络中使用的三方身份验证框架(申请者、认证者、认证服务器)。

802.1X 是 EAP-TLS 和 SCEP 运行的框架。IT 团队在配置 WPA2-Enterprise 或 WPA3-Enterprise SSID 以及设置 RADIUS 服务器策略时会遇到它。

RADIUS(远程用户拨号认证服务)

一种网络协议,为网络访问提供集中式的身份验证、授权和计费(AAA)。在 802.1X 部署中,RADIUS 服务器验证客户端证书并执行 VLAN 分配策略。

RADIUS 服务器是每个 802.1X 部署中的身份验证决策点。常见的实现包括 Microsoft NPS、FreeRADIUS 和 Cisco ISE。它必须配置受信任的 CA 链以及严格的 CRL 或 OCSP 检查。

CSR(证书签名请求)

由设备生成的编码文本块,其中包含设备的公钥和身份信息。设备(通过 SCEP 网关)将 CSR 发送到 CA 以请求签名证书。相应的私钥在设备上生成并保留。

CSR 是 SCEP 注册流程中的核心产物。IT 团队在其 MDM 平台内的 SCEP 证书配置文件中配置 CSR 格式(主题名称、密钥用法、EKU)。

PKI(公钥基础设施)

创建、管理、分发和吊销数字证书所需的硬件、软件、策略和程序的组合。标准的企业 PKI 由离线根 CA 和在线颁发 CA 组成。

PKI 是任何 EAP-TLS 部署的前提条件。IT 团队在配置 SCEP 之前必须设计并部署双层 CA 体系。云托管的 PKI 服务可减轻分布式资产部署的基础设施负担。

VLAN(虚拟局域网)

在第 2 层隔离流量的逻辑网络段。在 802.1X 部署中,RADIUS 服务器根据证书属性、用户身份或策略动态地将设备分配到 VLAN。

通过 RADIUS 进行 VLAN 分配是在企业 WiFi 中强制执行网络分段的机制。IT 团队使用它将 POS 设备划分到 PCI 范围的 VLAN,将宾客设备划分到仅限互联网的 VLAN,并将员工设备划分到企业 VLAN——所有这些都基于单一的物理基础设施。

应用实例

一家拥有 200 间客房的 Premier Inn 酒店需要为 150 台 iOS 客房服务设备部署安全 WiFi。员工目前与宾客共享 WPA2-Personal 密码,这带来了合规和运营风险。IT 总监需要在不中断日常运营的情况下消除共享密码。

IT 总监分三个阶段实施由 Jamf 驱动的 SCEP 部署。第一阶段:通过 Jamf 受信任证书配置文件将根 CA 证书推送到所有 150 台 iOS 设备,目标指向“客房服务设备”智能组。第二阶段:部署 SCEP 证书配置文件,将设备引导至通过 Azure AD 应用代理发布的 NDES 服务器。主题名称使用 CN={{SERIALNUMBER}},将证书与设备硬件绑定。第三阶段:推送 WPA2-Enterprise WiFi 配置文件,指定 EAP-TLS 并链接到 SCEP 证书。设备进行无感认证。共享密码的 SSID 被停用。RADIUS 服务器配置了严格的 CRL 检查和 VLAN 分配:客房服务设备分配到 VLAN 20(运营),宾客设备分配到 VLAN 10(仅限互联网)。

考官评语: 这里的关键设计决策是针对共享硬件使用设备证书(而非用户证书),以及通过证书属性而非 SSID 进行 VLAN 分配。这意味着即使设备以某种方式连接到宾客 SSID,它仍会分配到正确的 VLAN。CRL 检查配置是不可妥协的:当客房服务人员离职时,设备证书会在 CA 处被吊销,RADIUS 服务器会在 CRL 刷新间隔内(使用 OCSP 通常为 15 分钟,使用 CRL 则长达一小时)阻止访问。

一家拥有 500 个网点的零售连锁店需要为运行支付处理软件的 Windows POS 平板电脑保障企业 WiFi 的安全。PCI DSS 4.0 合规性要求在网络层进行多因素身份验证。当前的 WPA2-Personal 设置未能通过 PCI DSS 要求 8.6 的评估。

网络架构师通过 Microsoft Intune 和 SCEP 在所有 500 个网点部署 EAP-TLS。该部署使用以 CN={{AAD_Device_ID}} 作为主题名称的设备证书,将每个证书与 Intune 设备记录绑定。三步配置文件顺序(受信任根、SCEP、WiFi)被部署到“POS 设备”Azure AD 组——这三个配置文件使用完全相同的组。RADIUS 服务器根据证书的颁发模板将 POS 设备分配到专用的 PCI 范围 VLAN(VLAN 100)。CRL 被发布到具有四小时有效期窗口的高可用 CDN 托管端点。启用了 OCSP 以进行实时吊销检查。该部署已通过 QSA 针对 PCI DSS 4.0 要求 8.6 的验证。

考官评语: PCI DSS 的一致性是通过 EAP-TLS(你拥有的东西——证书)与绑定到 Intune 记录的设备身份(你本身——已注册的托管设备)相结合来实现的。通过证书模板进行 VLAN 分配可确保 POS 设备始终处于 PCI 范围内的网络段,无论其在 500 个网点中的物理位置如何。CDN 托管的 CRL 端点是一个关键的可靠性决策:如果 CRL 无法访问,身份验证就会失败,从而导致全站停机。CRL 的高可用性与 RADIUS 服务器本身的高可用性同样重要。

练习题

Q1. 您已将受信任根和 SCEP 证书配置文件部署到 Intune 中的“所有员工”用户组。然后,您将 WiFi 配置文件部署到“企业设备”设备组。设备接收到了证书,但 WiFi 配置文件在 Intune 控制台中显示“错误”。最可能的原因是什么?如何解决?

提示:考虑 Intune 如何解析配置文件之间的依赖关系,以及当配置文件指向不同的组类型时会发生什么。

查看标准答案

根本原因是组目标不匹配。WiFi 配置文件依赖于 SCEP 配置文件,而后者又依赖于受信任根配置文件。当配置文件指向不同的组类型(用户与设备)时,Intune 无法解析这些依赖关系。解决方法:将所有三个配置文件重新部署到同一个组。如果 WiFi 配置文件指向“企业设备”(设备组),则 SCEP 和受信任根配置文件也必须指向“企业设备”。或者,如果需要基于用户的身份验证,则将这三个配置文件都移动到用户组。

Q2. 某家酒店客房服务人员的 iPad 报告被盗。您立即禁用了该服务人员的 Active Directory 账号。第二天早上,被盗的 iPad 仍在连接酒店的 WPA2-Enterprise 网络。这是为什么?您应该采取哪两项措施来阻止这种情况?

提示:思考 RADIUS 服务器在 EAP-TLS 身份验证期间实际验证的内容,以及哪些控制措施决定了证书的有效性。

查看标准答案

禁用 AD 账号并不会吊销存储在 iPad 上的客户端证书。在 EAP-TLS 身份验证期间,RADIUS 服务器验证的是证书,而不是 AD 账号状态。需要采取的两项措施是:(1)在 CA 处吊销设备证书——这会将证书序列号添加到 CRL 中;(2)确保 RADIUS 服务器配置了严格的 CRL 检查,以便它在下一次身份验证尝试时获取更新的 CRL 并拒绝已吊销的证书。为了更快地吊销,可在 RADIUS 服务器上配置 OCSP 以进行实时证书状态检查。

Q3. 一家零售连锁店正在向 500 个 POS 网点部署 802.1X WiFi。安全架构师建议使用 PKCS 证书交付而不是 SCEP,以避免部署 NDES 服务器。审查 PCI DSS 4.0 评估的 QSA 提出了担忧。该担忧是什么?正确的建议是什么?

提示:考虑 PCI DSS 对私钥处理的规定,以及 PKCS 在交付过程中对私钥的处理方式。

查看标准答案

QSA 的担忧是 PKCS 会通过网络将私钥从 CA 传输到设备。PCI DSS 4.0 要求 3.5 要求保护用于身份验证的私钥免于泄露。通过网络传输私钥(即使加密)会引入 SCEP 完全可以消除的风险。正确的建议是使用 SCEP,其中私钥在 POS 设备上生成且永远不会离开设备。为了避免本地 NDES 基础设施,架构师应该评估通过 API 直接与 Intune 和 CA 集成的云 SCEP 网关服务。

Q4. 您正在为一家每年举办 50 多场活动的大型会议中心设计 WiFi 网络。员工设备需要接入安全的 802.1X 网络。您希望确保如果承包商的设备遭到入侵,可以在 15 分钟内将其与网络隔离。您会配置哪种证书吊销机制?为什么?

提示:比较 CRL 和 OCSP 在吊销延迟方面的差异,以及什么决定了 RADIUS 服务器对吊销做出反应的速度。

查看标准答案

在 RADIUS 服务器上配置 OCSP(在线证书状态协议)。基于 CRL 的吊销具有由 CRL 有效期决定的延迟(通常为 1 到 24 小时),这意味着在 RADIUS 服务器获取下一个 CRL 之前,已吊销的证书可能仍能通过身份验证。OCSP 提供实时的单证书状态响应:当证书在 CA 处被吊销时,OCSP 响应程序会在下一次查询时立即返回“已吊销”状态。在 RADIUS 服务器上配置 OCSP 后,已吊销的承包商证书将在下一次身份验证尝试时被阻止,通常只需几秒钟。确保 OCSP 响应程序高度可用——如果它无法访问且 RADIUS 服务器配置为“关闭失败”(fail closed),则所有身份验证都将失败。

继续阅读本系列

如何在 Starlink 上设置 Captive Portal:远程与海洋场所指南

本指南详细介绍了如何绕过原生 Starlink 硬件,并使用企业级路由设备集成云端托管的 Captive Portal。您将学习如何克服 CGNAT 限制、强制执行 VLAN 隔离、管理卫星带宽限制并确保合规性。

阅读指南 →

酒店访客 WiFi 管理:整合 PMS、门户与品牌标准

本技术指南详细介绍了如何构建企业级酒店 WiFi 网络,重点关注 VLAN 隔离、用于自动化会话管理的 PMS 集成,以及符合 GDPR 合规要求的数据采集 Captive Portal 优化。

阅读指南 →

Captive Portal Best Practices: Designing for High Conversion and Compliance

本技术指南为 IT 经理、网络架构师和场所运营总监提供了部署 Captive Portal 的完整蓝图,旨在平衡网络安全与高用户转化率。内容涵盖了从 VLAN 划分、RADIUS 认证到符合 GDPR 的同意设计以及认证方式选择的完整架构。结合 Purple 在 2024 年覆盖 80,000 多个场所、4.4 亿次登录的运营经验,每项建议均基于真实的部署数据。

阅读指南 →