跳至主要内容

EAP-TLS 对比 EAP-TTLS:您应该选择哪种基于证书的 WiFi 协议?

本指南针对 IEEE 802.1X 下的企业 WiFi 身份验证,对 EAP-TLS 和 EAP-TTLS 进行了权威的直接对比。它解释了双向证书身份验证与仅服务器证书隧道之间的架构差异,并根据设备管理能力和合规性要求,为 IT 经理、网络架构师和 CISO 提供了清晰的决策框架。Purple 支持员工 WiFi 的 EAP-TLS 和 EAP-TTLS 身份验证路径,本指南可帮助企业在致力于任何一种方法之前了解基础设施的权衡。

📖 9 分钟阅读📝 2,090 🔧 2 应用实例4 练习题📚 10 关键定义

收听本指南

查看播客转录
引言与背景 (0:00 - 2:00) 您好,欢迎收听来自 Purple 的技术简报。我是您的主持人,今天我们将深入分析企业级 WiFi 身份验证中 EAP-TLS 与 EAP-TTLS 之间的关键区别。如果您是网络架构师、IT 总监,或者正在管理零售连锁、医院或体育场等大型场所的基础设施,本期简报专为您量身定制。我们将直奔主题,讨论安全架构、实施权衡以及如何为您的环境选择合适的协议。让我们直接开始吧。 在深入探讨协议本身之前,让我们先交代一下背景。如今,大多数企业级 WiFi 部署仍然依赖于单个共享密码——即预共享密钥(PSK)。网络上的每台设备都使用相同的凭证。当员工离职或设备丢失时,您只有两个选择:为所有人更改密码,或者接受前员工或窃贼仍拥有有效凭证的风险。对于一个严谨的企业来说,这两种选择都是不可接受的。 解决方案是 802.1X,这是基于端口的网络访问控制的 IEEE 标准。802.1X 为每台设备提供其各自独立的身份验证凭证。当设备连接时,接入点不会直接授予访问权限。它会将身份验证请求转发给集中的 RADIUS 服务器,该服务器负责验证凭证并指示接入点是否打开端口。其结果是可审计、可撤销的单设备访问控制。这就是 EAP-TLS 和 EAP-TTLS 赖以构建的基础。 这两种协议都是可扩展身份验证协议(EAP)方法,在 802.1X 框架内运行。问题不在于是否使用 802.1X,而在于在其中使用哪种 EAP 方法。这就是我们今天在这里要解答的问题。 EAP-TLS 技术深度剖析 (2:00 - 5:30) 让我们从 EAP-TLS 开始,它代表传输层安全。EAP-TLS 在 RFC 5216 中定义,被广泛视为无线身份验证的金标准。其核心原则是双向身份验证。在授予网络访问权限之前,客户端设备和 RADIUS 服务器都必须出示有效的 X.509 数字证书来证明其身份。在整个过程中不涉及任何密码。完全没有。 从安全角度来看,这极为重要。密码可能会被钓鱼,可以通过暴力破解被猜出,也可能在员工重复使用相同密码的第三方服务发生数据泄露时被盗。而证书无法被钓鱼,无法被猜出,并且与特定设备绑定。如果恶意攻击者想要进入您的网络,他们需要物理设备及其嵌入的加密私钥。这是一种截然不同的威胁模型。 让我为您详细介绍 EAP-TLS 握手过程,因为了解它就能明白为什么该协议如此安全。当设备尝试连接到 WiFi 网络时,接入点会发送 EAP-Request 请求获取设备身份。设备对此做出响应。接入点将该响应转发给 RADIUS 服务器。RADIUS 服务器通过发送 Server Hello 消息及其 X.509 证书来启动 TLS 握手。客户端会根据其受信任的根证书颁发机构存储区验证此服务器证书。如果验证失败,握手将立即终止。设备拒绝连接。这正是防止双面恶魔攻击(Evil Twin attacks)的保护机制 - 即黑客设置流氓接入点来冒充您的网络。 如果服务器证书有效,客户端随后会向 RADIUS 服务器出示其自身的 X.509 证书。RADIUS 服务器验证客户端证书:它检查回溯到受信任根 CA 的签名链,验证证书是否过期,并检查证书吊销列表以确保该证书未被吊销。只有当双方都满意时,才会建立 TLS 隧道并发送 EAP-Success 消息,从而授予网络访问权限。整个交互过程使用 TLS 1.2 或 1.3,提供完美的前向保密。 然而,这种级别的安全伴随着运营要求:您需要一个公钥基础设施,即 PKI。至少,您需要一个离线根证书颁发机构和一个在线颁发证书颁发机构。根 CA 应当进行物理隔离,因为它的私钥是您整个证书层级的核心信任根源。颁发 CA 负责日常证书的颁发并发布证书吊销列表。至关重要的是,您需要一种将客户端证书部署到网络中每个设备的机制。对于成千上万台设备,这意味着需要使用 SCEP(简单证书注册协议)将您的 PKI 与移动设备管理平台相集成。当公司设备注册到您的 MDM 时,它会自动请求并接收其证书,无需任何用户交互。 实施场景 (5:30 - 8:00) 那么,您应该部署哪种协议?这一决策几乎完全取决于您的设备管理能力和合规性要求。让我为您提供一个实用的决策框架。 问自己三个问题。第一:所有连接到该网络的设备是否都是通过 Microsoft Intune 或 Jamf 等 MDM 平台由公司托管的?如果是,说明您具备部署客户端证书的基础设施,EAP-TLS 是正确的选择。第二:该网络是否需要满足 PCI-DSS 4.0、HIPAA 或 WPA3 Enterprise 192 位要求?如果是,EAP-TLS 是必需的选择。第三:您的网络中是否有很大比例的非托管或个人自带设备(BYOD)?如果是,EAP-TTLS 是您网络中该部分的最实际选择。 让我为您提供两个具体的实际应用场景。场景一:拥有400家门店的全国零售连锁店。每个POS终端和员工手持扫描仪都已注册到 Microsoft Entra ID(前称 Microsoft Intune)。该网络属于 PCI-DSS 4.0 的评估范围。在此环境中,您可以部署 EAP-TLS。您建立一个私有 PKI,使用 Intune 通过 SCEP 将唯一的客户端证书推送到每台设备,并配置您的 RADIUS 服务器来检查证书吊销列表。如果设备丢失,您只需吊销其证书,它就会在数分钟内退出网络。无需重置密码,也无需在400个站点间轮换共享密钥。 场景二:拥有两万名学生并使用个人笔记本电脑、智能手机和平板电脑的大型大学校园。IT 团队无法在个人设备上安装证书。在这种环境中,EAP-TTLS 是务实的选择。您在 RADIUS 服务器上安装受信任的证书,与大学目录服务集成,学生则在安全隧道内使用其现有凭据进行身份验证。它支持 Windows、macOS、Linux、Android 和 iOS,无需在客户端安装任何附加软件。 在许多大型企业中,答案实际上是两者兼而有之。您为受管理的 corporate 设备部署 EAP-TLS,并为承包商、访客和 BYOD 部署 EAP-TTLS 或单独的安全网络。这是酒店集团中常见的设计模式,其中员工设备受到管理并配发证书,而面向宾客的基础设施则完全使用不同的身份验证路径。 快速问答 (8:00 - 9:00) 让我针对我们经常从 CTO 和网络架构师那里听到的问题,为您提供几个快速解答。 问题一:WPA3 Enterprise 是否需要 EAP-TLS?如果您正在实施 WPA3 Enterprise 192位安全套件,是的,EAP-TLS 是唯一允许的方法。它是唯一满足 WiFi Alliance 的 WPA3 Enterprise 192位要求的 EAP 方法。 问题二:我们可以将 EAP-TTLS 用于 IoT 设备吗?通常不行。无界面的 IoT 设备(如输液泵或环境传感器)通常缺少处理复杂内部身份验证方法的界面。EAP-TLS 实际上更适合 IoT,因为您可以在设备预配置阶段提供证书。设备会自动进行身份验证,无需用户交互。 问题三:在 EAP-TLS 网络上使用 BYOD 会怎样?对于不受管理的个人设备,EAP-TLS 在运营上很困难。您可以使用自助入网门户来提供临时证书,但这会增加摩擦。对于 BYOD,EAP-TTLS 或具有适当隔离的专用访客网络通常是正确的解决方案。 问题四:这与硬件厂商有什么关系?EAP-TLS 和 EAP-TTLS 在所有主流企业级 WiFi 硬件平台上均受支持 - 包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi。虽然配置细节因平台而异,但底层标准是厂商中立的。 总结与后续步骤 (9:00 - 10:00) 最后,为您总结以下关键要点。EAP-TLS 通过双向证书认证提供最高的安全性。它彻底消除了密码风险,是托管设备群和受监管环境的正确选择。EAP-TTLS 通过服务器端证书和加密凭据隧道提供强大的安全性,是混合或 BYOD 环境的正确选择。这两种协议都要求您在每个客户端上强制执行服务器证书验证。如果没有这一步,任何一种协议都无法保护您免受流氓接入点的攻击。此外,证书生命周期管理是 EAP-TLS 的主要运营挑战 - 请从第一天起就通过 MDM 和 SCEP 将其自动化。 您的后续步骤是什么?审计您当前的 802.1X 部署。如果您仍在使用共享密码,请规划您的迁移。检查您的客户端请求方(supplicant)是否正在验证服务器证书。如果您是在多个场所或分布式资产中进行部署,请考虑使用云托管 RADIUS 服务以减轻运营负担。感谢您收听来自 Purple 的技术简报。Purple 在我们 80,000 多个活跃场所中为员工 WiFi 同时支持 EAP-TLS 和 EAP-TTLS 认证路径。如需了解更详细的部署指南,并了解我们的分析和身份平台如何与您的安全网络集成,请访问 purple dot ai。

header_image.png

执行摘要

为您的 802.1X 部署选择正确的 EAP 方法,决定了您的企业 WiFi 是真正安全,还是仅仅在纸面上合规。在 RFC 5216 中定义的 EAP-TLS(可扩展身份验证协议 - 传输层安全)需要双向证书验证:在授予网络访问权限之前,客户端设备和 RADIUS 服务器都必须提供有效的 X.509 证书。在此过程中绝不交换密码。在 RFC 5281 中定义的 EAP-TTLS(隧道传输层安全)仅需要服务器端证书来建立加密的 TLS 隧道,客户端在该隧道内部使用现有的目录凭据进行身份验证。

对于管理零售连锁、酒店场所和公共部门机构基础设施的 CTO 和网络架构师来说,这个决定可以归结为一个问题:您是否管理这些设备?如果您通过 MDM 控制设备群,EAP-TLS 是确定无疑的选择。如果您支持多样化的 BYOD 环境或缺乏强大的公钥基础设施(PKI),EAP-TTLS 提供了一个务实且高度安全的替代方案。Purple 支持在 80,000 多个活动场所中为 员工 WiFi 提供这两种身份验证路径。

comparison_chart.png


技术深度剖析

EAP-TLS 架构

EAP-TLS 在 IEEE 802.1X 基于端口的访问控制框架内基于双向身份验证模型运行。每一次身份验证交换都涉及三个核心组件:客户端(客户端设备)、认证者(无线接入点)和身份验证服务器(RADIUS 服务器)。接入点本身不做出身份验证决策。它充当透明中继,将 EAP 消息封装到 RADIUS 数据包中并将其转发到身份验证服务器。 EAP-TLS 握手过程如下:接入点向连接设备发送 EAP-Request/Identity。设备回复其身份。RADIUS 服务器通过 EAP-TLS/Start 消息启动 TLS 握手。客户端发送 ClientHello,声明其支持的 TLS 密码套件。RADIUS 服务器回复 ServerHello、其 X.509 服务器证书以及证书请求。客户端根据其信任的根 CA 存储库验证服务器证书。如果验证失败,握手将终止 - 从而提供针对流氓接入点的保护。然后,客户端出示其自身的 X.509 证书。RADIUS 服务器验证客户端证书,检查直至信任根 CA 的签名链,验证证书是否未过期,并检查证书吊销列表 (CRL) 或查询 OCSP。只有当双方都满意时,才会建立 TLS 隧道并授予网络访问权限。

由于不交换密码,EAP-TLS 可以免受离线字典攻击、凭据填充和网络钓鱼。它是唯一满足 WPA3-Enterprise 192-bit (Suite B) 要求的 EAP 方法,并且被 PCI-DSS 4.0(针对持卡人数据环境)和 NIST SP 800-120(针对高安全性无线部署)强制要求或强烈推荐。

**EAP-TLS 需要 PKI。**您至少需要一个离线根 CA 和一个在线颁发 CA。根 CA 必须处于物理隔离状态,因为其私钥是整个证书层次结构的 master 信任锚。颁发 CA 处理日常证书颁发并发布 CRL。客户端证书是颁发给单个设备而非用户的 - 这是一个设备身份模型。这种区别对于 IoT 设备、共享终端和无头系统至关重要。

EAP-TTLS 的结构

EAP-TTLS 旨在提供强大的 802.1X 安全性,而无需在每个客户端设备上部署证书的运营负担。它分两个阶段工作。在第一阶段,RADIUS 服务器出示其证书并建立安全的 TLS 隧道。只有服务器需要证书。在第二阶段,客户端在加密的隧道内使用内部身份验证方法进行授权。常见的内部方法包括 PAP(密码身份验证协议)、CHAP 和 MS-CHAPv2。客户端发送其用户名和密码,但由于这种交换发生在 TLS 隧道内,因此凭据在传输过程中会被加密,永远不会暴露在空中。

EAP-TTLS 在 macOS、Linux、Android 和 iOS 上提供了出色的跨平台支持。唯一的限制在于 Windows:内置的 Windows 请求方开箱即用并不原生支持用于无线 802.1X 的 EAP-TTLS。拥有大量 Windows 设备的运营环境可能需要第三方请求方,这增加了运营复杂性。对于以 Windows 为中心的环境,采用 MS-CHAPv2 的 PEAP 通常是更为务实的选择。

EAP-TTLS 最大的局限性在于它没有消除密码固有的风险。如果用户选择弱密码,它仍然容易受到离线暴力攻击。如果内部身份验证使用 PAP,密码会在隧道内以明文形式发送 - 如果您信任您的 RADIUS 基础设施,这是可以接受的,但仍然是需要理解的关键信任模型。

侧边对比

功能 EAP-TLS EAP-TTLS
RFC 标准 RFC 5216 RFC 5281
需要客户端证书
需要服务器证书
身份验证模型 双向(双方) 仅服务器
密码风险 无 - 无密码 加密隧道中的密码
PKI 要求 完整 PKI (Root CA + Issuing CA + MDM) 仅服务器证书
WPA3-Enterprise 192-bit 必需方法 不支持
PCI-DSS 4.0 合规 强烈推荐 使用强内部身份验证时可接受
BYOD 适用性 低(需要客户端证书) 高(仅需凭据)
IoT 设备适用性 高(预配置证书) 低(无凭据输入界面)
Windows 原生支持 部分(通常需要第三方客户端)
macOS/Linux/Android 支持
部署复杂度

实施指南

为托管设备群部署 EAP-TLS

部署 EAP-TLS 需要功能完善的 PKI 和 MDM 平台。在企业规模下,手动安装证书是不可行的。您必须使用 SCEP(简单证书注册协议)或 EST(安全传输注册)将您的 PKI 与 MDM 集成。当公司设备注册时,它会自动请求并接收其证书,无需用户干预。

对于身份管理,Purple 在 Connect 许可下作为 OpenRoaming 等服务的免费身份提供商,利用底层的证书和身份框架,促进跨不同地点的安全漫游。

在 RADIUS 端,配置您的服务器以根据内部 CA 验证客户端证书,并检查 CRL 或使用 OCSP 进行实时吊销检查。支持的 RADIUS 平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。Purple 的云覆盖网络与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件集成。

为混合环境部署 EAP-TTLS

对于拥有非托管设备的环境,EAP-TTLS 是最佳选择。您只需要在 RADIUS 服务器上部署受信任的证书。确保您的 RADIUS 服务器直接与您的目录服务(Microsoft Entra ID、Okta 或 Google Workspace)集成,以验证内部身份验证凭据。配置您通过 MDM 部署的 WiFi 配置文件,以强制针对您特定的受信任 CA 验证服务器证书。如果没有这一步,TLS 隧道就无法提供针对流氓接入点的保护。 decision_framework.png


最佳实践

在每个客户端上强制执行服务器证书验证

对于 EAP-TLS 和 EAP-TTLS,最关键的配置步骤是在客户端设备上强制执行服务器证书验证。如果设备没有针对特定的可信 CA 验证 RADIUS 服务器的证书,它将连接到呈现任何证书的任何服务器 - 包括流氓接入点。请务必在您的 MDM 部署的 WiFi 配置文件中指定可信 CA 和预期的服务器名称。这项单一的配置检查是您今天可以实施的最有效的安全改进。

自动化证书生命周期管理

证书会过期。如果您没有自动更新流程,当证书同时过期时,您将面临大规模的认证失败。使用 SCEP 或 EST 来自动执行更新,并在过期日期前很久配置监控告警。如果设备丢失或员工离职,请立即撤销证书。配置您的 RADIUS 服务器以检查 CRL 或使用 OCSP 进行实时验证。

按认证方式对您的网络进行细分

在大型或分布式环境中,考虑在不同的 SSID 上运行这两种协议。企业托管设备通过专用员工 WiFi SSID 上的 EAP-TLS 进行认证。承包商和 BYOD 设备通过具有适当 VLAN 细分的独立 SSID 上的 EAP-TTLS 进行认证。这种模式在 Premier Inn 和 Whitbread 等酒店集团中很常见,在这些集团中,员工设备受到管理并颁发证书,而访客基础设施则使用独立的认证路径。有关 SSID 架构的更多详细信息,请参阅我们的指南 掌控一切的三个 SSID:访客、员工和 IoT 的 WiFi 设计

在所有基础设施中同步时间

证书验证依赖于准确的系统时间。客户端设备或 RADIUS 服务器上的时钟漂移会产生难以诊断的“尚未生效”或“已过期”的证书错误。确保所有基础设施组件都与可靠的 NTP 服务器同步。


故障排除与风险缓解

未知的 CA 错误

如果 RADIUS 日志显示“未知 CA”,则客户端设备不信任颁发 RADIUS 服务器证书的 CA。验证您的 MDM 配置文件中是否包含根 CA 证书,并且请求方已配置为信任它。在 CA 轮换或证书更新后,将更新后的 CA 捆绑包重新推送到所有设备。

EAP 方法不匹配

如果设备连接到接入点但身份验证失败,请检查客户端上配置的 EAP 方法是否与 RADIUS 服务器接受的方法相匹配。为 EAP-TLS 设置的设备配置文件将在仅配置了 PEAP 的 RADIUS 服务器上运行失败。

证书过期导致的大面积故障

如果大量设备同时无法通过身份验证,请首先检查证书过期日期。这是 EAP-TLS 部署中导致大面积 802.1X 故障最常见的原因。建议实施一个监控系统,在过期前 60 天、30 天和 7 天发送警报。

RADIUS 客户端配置错误

每个接入点或无线控制器都必须定义为具有正确 IP 地址和共享密钥的 RADIUS 客户端。配置不匹配会导致身份验证超时,这通常会被错误地归咎于 EAP 方法。请从第一天起就启用详细的 RADIUS 日志记录。有关进一步的 WiFi 故障排除指南,请参阅我们的指南 公共 WiFi 故障排除:解决 “已连接但无互联网” 以及登录页面重定向失败问题


合规性与监管对齐

对于 CISO 和网络架构师而言,在 EAP-TLS 和 EAP-TTLS 之间做出选择时,了解监管形势至关重要。EAP 方法的选择直接影响您在多个关键框架中的合规状态。

PCI-DSS 4.0(支付卡行业数据安全标准)要求在持卡人数据环境中的无线网络使用强加密身份验证。要求 8.3 强制要求对访问 CDE 的所有行为进行多因素身份验证,且范围内的无线网络必须利用强身份验证机制。EAP-TLS 凭借基于证书的双向身份验证,完全符合这一要求。如果内部身份验证得到妥善保护且强制执行服务器证书验证,则采用 MS-CHAPv2 的 EAP-TTLS 也是可以接受的,但 EAP-TLS 是更强大且更易于审计的选择。 HIPAA(健康保险便利及责任法案)要求相关实体实施技术保障措施,以保护通过电子通信网络传输的电子受保护健康信息(ePHI)。HIPAA 安全规则并未强制规定具体的协议,但对于传输 ePHI 的无线网络的加密和访问控制期望,显然更倾向于为托管医疗设备群采用 EAP-TLS,并为员工设备采用强制执行服务器证书验证的 EAP-TTLS。WPA3-Enterprise 192-bit(也称为 Suite B 或 CNSA 模式)是 Wi-Fi 联盟 WPA3 认证中的最高安全级别。它强制要求将 EAP-TLS 作为唯一允许的身份验证方法,要求使用带有特定加密套件(带有 P-384 的 ECDHE、AES-256-GCM)的 TLS 1.2 或更高版本,并要求使用 ECDSA 或 RSA-3072 证书。为政府、国防或关键基础设施应用部署 WPA3-Enterprise 192-bit 的组织必须使用 EAP-TLS。 ISO 27001 并未强制规定特定协议,但要求组织对网络资源实施适当的访问控制。采用 EAP-TLS 或 EAP-TTLS(强制执行服务器证书验证)的 802.1X 部署可满足附录 A.9.1 和 A.13.1 的网络访问控制要求。


投资回报率(ROI)与业务影响

迁移到 EAP-TLS 需要在 PKI 和 MDM 集成方面进行初始投资,但它消除了密码重置的运营开销,并降低了因凭据泄露导致网络入侵的财务风险。对于拥有 400 家门店的零售连锁店,在共享 PSK 网络上泄露单个密码就可能危及整个资产的安全。EAP-TLS 完全消除了这一攻击途径。

对于多租户环境和交通枢纽,安全身份验证可确保只有授权用户才能访问网络带宽,从而优化基础设施利用率。通过 RADIUS 证书属性进行的动态 VLAN 分配可实现加密强制网络分段,确保根据证书属性将设备放置在正确的网络分段上,而不是依赖 SSID 选择或 MAC 地址过滤。

Purple 的 WiFi Analytics 平台可与这两种身份验证路径集成,提供对您整个资产中设备数量、会话持续时间和网络利用率的可见性。如需获取特定行业的部署指南,请浏览我们针对 酒店住宿零售医疗保健 以及 交通运输 的资源。

关键定义

EAP-TLS (可扩展身份验证协议 - 传输层安全)

RFC 5216 中定义的一种 802.1X 身份验证方法,要求客户端设备和 RADIUS 服务器都必须出示有效的 X.509 证书。不交换任何密码。身份验证是双向的,并受到密码学保护。

企业级无线安全的黄金标准。WPA3-Enterprise 192位加密的必需项,且是 PCI-DSS 4.0 持卡人数据环境的强烈推荐项。

EAP-TTLS (可扩展身份验证协议 - 隧道传输层安全)

RFC 5281 中定义的一种 802.1X 身份验证方法,仅需要服务器端证书即可建立加密的 TLS 隧道。客户端在隧道内部使用二次内部身份验证方法(通常是用户名和密码)进行身份验证。

BYOD 环境和混合操作系统网络的理想选择,在这些环境中部署客户端证书在操作上是不切实际的。

802.1X

一种用于基于端口的网络访问控制的 IEEE 标准,为连接到 LAN 或 WLAN 的设备提供身份验证机制。它定义了申请者、认证者和身份验证服务器的角色。

使企业网络能够对单个设备进行身份验证,而不是依赖单个共享密码的基础框架。EAP-TLS 和 EAP-TTLS 都在该框架内运行。

RADIUS (远程用户拨号认证服务)

一种网络协议,为连接到网络服务的用户提供集中的身份验证、授权和计费管理。在 802.1X 部署中,RADIUS 服务器是验证证书或凭证的身份验证服务器。

验证证书或密码并指示接入点是否授予或拒绝网络访问的服务器组件。受支持的平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。

PKI (公钥基础设施)

创建、管理、分发、使用、存储和撤销数字证书所需的一套角色、策略、硬件、软件和程序。典型的企业 PKI 由离线根 CA 和在线发行 CA 组成。

发行 EAP-TLS 身份验证中所使用的客户端和服务器证书所需的后端基础设施。没有 PKI,就无法部署 EAP-TLS。

MDM (移动设备管理)

IT 部门用于监控、管理和保护员工移动设备和笔记本电脑的软件。像 Microsoft Intune 和 Jamf 这样的 MDM 平台可以自动向已注册的设备部署证书和 WiFi 配置文件。

对于大规模自动部署 EAP-TLS 客户端证书至关重要。若没有 MDM 集成,在数千台设备上手动安装证书在操作上是不可能的。

SCEP (简单证书注册协议)

一种用于自动向网络设备发放数字证书的协议。MDM 平台使用 SCEP 在没有用户交互的情况下,在已注册的企业设备上静默请求并安装证书。

EAP-TLS 部署中实现零接触证书配置的标准机制。受到 Microsoft Intune、Jamf 和大多数企业级 MDM 平台的支持。

CRL (证书撤销列表)

由颁发证书颁发机构在预定到期日期之前撤销的数字证书列表。RADIUS 服务器通过检查 CRL 来验证连接设备的证书是否仍然有效。

通过撤销其证书,允许您立即使被盗或受损的设备无法访问网络的机制。RADIUS 服务器应配置为频繁检查 CRL,或使用 OCSP 进行实时验证。

X.509

一种定义公钥证书格式的 ITU-T 标准。EAP-TLS 和 EAP-TTLS 都使用 X.509 证书进行服务器身份验证。EAP-TLS 还要求在客户端设备上安装 X.509 证书。

在所有企业 PKI 部署中使用的证书格式。当 IT 团队在 802.1X 上下文中提到“数字证书”时,他们指的是 X.509 证书。

内部身份验证方法

在由 EAP-TTLS 建立的加密 TLS 隧道内部使用的二级身份验证协议。常见的内部方法包括 PAP(密码身份验证协议)、CHAP 和 MS-CHAPv2。

内部身份验证方法的选择会影响 EAP-TTLS 部署的安全属性。PAP 在隧道内以明文形式发送密码;MS-CHAPv2 使用挑战 - 应答机制。隧道会加密所有内部身份验证流量。

应用实例

一家拥有 400 家门店的全国性零售连锁店需要保护其销售终端 (POS) 和员工手持扫描仪的安全。该环境处于 PCI DSS 4.0 的范围内。所有设备均已在 Microsoft Intune 中注册。他们应该部署哪种协议,关键配置步骤是什么?

部署 EAP-TLS。步骤 1:建立一个双层 PKI,包含一个物理隔离的离线根 CA 和一个在线发证 CA。步骤 2:配置 Microsoft Intune 证书配置文件,将 SCEP 目标指向所有 POS 和扫描仪设备。步骤 3:部署 RADIUS 服务器(Microsoft NPS 或云 RADIUS),并将其配置为针对内部 CA 验证客户端证书。步骤 4:在 RADIUS 服务器上启用 CRL 检查或 OCSP。步骤 5:通过 Intune 推送 WiFi 配置文件,指定 SSID、EAP-TLS 作为身份验证方法、受信任的根 CA 以及预期的 RADIUS 服务器名称。步骤 6:在推广到所有 400 个站点之前,先用 10 台设备的试点组进行测试。步骤 7:建立证书过期监控流程,在过期前 60 天、30 天和 7 天发出警报。

考官评语: EAP-TLS 是正确的选择,因为 PCI DSS 4.0 强烈建议在持卡人数据环境中的无线网络使用双向证书身份验证。在 POS 设备上依赖密码 (EAP-TTLS) 会引入不可接受的凭据盗窃风险。通过 SCEP 进行 MDM 集成至关重要 - 在 400 个站点中手动安装证书在运营上是不可能的。在这种情况下,最常见的故障点是忘记在 Intune WiFi 配置文件中强制执行服务器证书验证,这会使设备即使部署了 EAP-TLS 也容易受到 Evil Twin 攻击。

一个大型大学校园需要为使用个人电脑、智能手机和平板电脑 (BYOD) 混合使用的 20,000 名学生提供安全的 WiFi。IT 团队无法在个人设备上安装证书。该大学使用 Microsoft Entra ID 进行身份管理。他们应该部署哪种协议?

部署以 MS-CHAPv2 作为内部身份验证方法的 EAP-TTLS,通过 RADIUS 与 Microsoft Entra ID 集成。步骤 1:从所有主流操作系统信任的公共 CA 获取服务器证书,或者部署内部 CA 并通过大学的设备管理工具将根证书分发给托管设备。步骤 2:配置 RADIUS 服务器,使用 LDAP 或 RADIUS 代理对 Microsoft Entra ID 进行身份验证。步骤 3:为学生创建 WiFi 入网指南,指定 SSID、EAP-TTLS、MS-CHAPv2 和受信任的 CA。步骤 4:在 Entra ID 级别实施强密码策略,并考虑在初始注册时启用多因素身份验证。步骤 5:配置 WiFi 配置文件以强制执行服务器证书验证,并指定受信任的 CA 和 RADIUS 服务器名称。

考官评语: 在这种情况下,EAP-TTLS 是最务实的物理选择。为 20,000 台不受管理的个人设备管理 PKI 在操作上是不可能的。EAP-TTLS 为凭据提供了一个安全隧道,保护它们免受空中拦截,同时支持包括 Windows、macOS、Linux、Android 和 iOS 在内的各种操作系统。在这种情况下,关键的风险是学生错误配置其设备,跳过了服务器证书验证。发布一份包含准确配置步骤的清晰引导指南,并使用公共信任的服务器证书,可以显著降低这种风险。

练习题

Q1. 您正在为 50 个办公地点的 5,000 台企业笔记本电脑部署 EAP-TLS。通过 Microsoft Intune 推送 WiFi 配置文件后,设备无法连接。RADIUS 服务器日志显示每次失败的身份验证尝试都是“未知 CA”。最可能的原因是什么,您如何解决它?

提示:考虑客户端的证书验证链,以及 MDM 配置文件除了 EAP 方法设置之外还必须包含哪些内容。

查看标准答案

客户端设备未配置为信任颁发 RADIUS 服务器证书的内部证书颁发机构。MDM WiFi 配置文件必须包含根 CA 证书(以及任何中间 CA 证书),并配置 supplicant 以信任它们进行服务器验证。如果没有此配置,客户端会拒绝 RADIUS 服务器的证书并终止握手。解决方案:更新 Intune WiFi 配置文件,在“用于服务器验证的根证书”设置下包含受信任的根 CA 证书,然后将配置文件重新推送给所有设备。

Q2. 您的组织已针对混合 BYOD 环境部署了 EAP-TTLS。在安全审查期间,您的渗透测试团队演示了他们可以通过使用自签名证书设置流氓接入点来捕获用户凭据。在不迁移到 EAP-TLS 的情况下,您如何修复此漏洞?

提示:思考在内部身份验证之前会发生什么,以及客户端的什么配置可以阻止与不受信任的服务器建立 TLS 隧道。

查看标准答案

该漏洞之所以存在,是因为客户端设备未配置为验证 RADIUS 服务器的证书。修复方法:更新所有 WiFi 配置文件(对于托管设备通过 MDM 更新,对于 BYOD 通过新的引导指南更新)以强制执行服务器证书验证。在配置文件中指定受信任的 CA 和预期的 RADIUS 服务器名称。以此方式配置的客户端将拒绝与任何无法出示由指定受信任 CA 签名的证书的服务器建立 TLS 隧道,从而消除流氓接入点攻击媒介。

Q3. 一家医院的 IT 主管希望为其医疗 IoT 设备(输液泵、患者监护仪、环境传感器)部署 802.1X。他们正在考虑 EAP-TTLS,因为他们认为证书管理过于复杂。为什么这种推理是有缺陷的,正确的做法是什么?

提示:考虑无头 IoT 设备如何处理身份验证提示,以及当设备无法输入凭据时会发生什么。

查看标准答案

这一推论存在两个缺陷。首先,大多数无屏幕的医疗 IoT 设备没有用于输入凭据的用户界面,这使得在操作上无法执行采用用户名/密码内部身份验证的 EAP-TTLS。其次,在实践中,EAP-TLS 对 IoT 而言反而更简单:可以在部署前的设备暂存阶段配置证书,并且设备会自动进行身份验证,无需用户交互。正确的方法是在暂存期间通过所使用的设备管理系统配置带有证书的 EAP-TLS。这也满足了医疗环境中对强无线身份验证的 HIPAA 合规要求。

Q4. 您是一家拥有 200 家酒店的酒店集团的网络架构师。您需要为 3,000 台已加入 Intune 托管的员工设备保障 Staff WiFi 的安全,同时还要为自带笔记本电脑的承包商和第三方供应商提供安全的 WiFi。请设计该身份验证架构。

提示:考虑单一 SSID 配合单一 EAP 方法是否能同时服务这两个群体,以及这两类用户类型会带来怎样的网络隔离影响。

查看标准答案

部署两个具有不同身份验证方法和 VLAN 分配的独立 SSID。SSID 1 (Staff WiFi):采用 EAP-TLS,通过 Intune SCEP 推送证书,VLAN 分配至员工网络段,可完全访问酒店管理系统。SSID 2 (Contractor WiFi):采用配合 MS-CHAPv2 的 EAP-TTLS,凭据通过独立的目录或 Microsoft Entra ID 中的限时承包商账户进行验证,VLAN 分配至仅限互联网的隔离网络段,无法访问内部系统。两个 SSID 均必须强制执行服务器证书验证。该架构在为员工提供最高安全性的同时,为承包商提供了实用的身份验证方法,且网络隔离确保了受损的承包商凭据无法触及内部酒店管理系统。