如何在Android设备上使用EAP-TLS设置企业WiFi

如何在Android设备上使用EAP-TLS设置企业WiFi Purple技术简报 — 约10分钟 --- 介绍与背景 — 约1分钟 欢迎来到Purple技术简报系列。我是主持人，今天我们将深入探讨在Android设备上部署802.1X EAP-TLS认证的具体细节——无论您管理的是酒店、零售连锁店、体育场还是公共部门园区。 如果您负责的网络需要对企业或BYOD Android设备进行认证而不依赖共享密码，那么本集节目就是为您准备的。EAP-TLS是企业WiFi安全的黄金标准——它使用基于证书的相互认证，这意味着无需担心凭证钓鱼，无需轮换密码，并且符合PCI DSS、ISO 27001和大多数公共部门安全框架的合规要求。 在本简报结束时，您将完全了解EAP-TLS在Android上是如何工作的，您的部署选项有哪些，以及导致部署失败的三个最常见错误。让我们开始吧。 --- 技术深入探讨 — 约5分钟 我们先从架构开始。802.1X是管理基于端口的网络访问控制的IEEE标准。当Android设备连接到企业WiFi网络——配置为WPA2-Enterprise或WPA3-Enterprise——接入点充当所谓的authenticator。它本身不做出认证决定；它在设备和RADIUS服务器之间传递对话，后者才是实际的认证服务器。 EAP-TLS——即可扩展认证协议与传输层安全——是在802.1X框架内运行的认证方法。它与EAP-PEAP或EAP-TTLS的不同之处在于，后者在TLS隧道内使用用户名和密码，而EAP-TLS在两端都使用X.509证书。RADIUS服务器向设备出示服务器证书，设备则向RADIUS服务器出示客户端证书。双方相互验证。这就是相互认证，也是EAP-TLS成为最安全选项的原因。 现在，具体到Android，有几点需要了解。Android 11及更高版本引入了更严格的证书验证要求。如果您在Android 11或更高版本上部署——目前这已是您设备中的绝大多数——除非明确信任RADIUS服务器证书，否则设备将拒绝连接。您不能仅依赖系统信任存储库；您必须将根CA证书推送到设备，或配置WiFi配置文件以明确引用它。 我们来谈谈证书链。在单台Android设备能够通过EAP-TLS认证之前，您需要准备好三个组件。首先，证书颁发机构——可以是您的内部PKI、Microsoft Active Directory证书服务或像通过Intune的SCEP这样的云PKI。其次，颁发给RADIUS服务器的服务器证书，由该CA签名。第三，颁发给每台设备或用户的唯一客户端证书，同样由同一CA签名。设备在TLS握手期间出示其客户端证书，RADIUS服务器根据CA的证书吊销列表（CRL）或通过OCSP（在线证书状态协议）对其进行验证。 对于Android，客户端证书和私钥通常打包为PKCS12文件——即.P12或.PFX文件——其中包含证书和加密的私钥。在手动配置的设备上，用户通过“设置”->“安全”->“安装证书”导入此文件。在MDM管理的设备上，证书会静默推送到设备的托管密钥库——无需用户交互。 现在我们来谈谈WiFi配置文件本身。在Android上配置企业WiFi连接时，您需要指定：SSID、安全类型——WPA2-Enterprise或WPA3-Enterprise——EAP方法——即TLS——用于服务器验证的CA证书、用于设备认证的客户端证书，以及身份字符串，通常是设备的通用名或用户的UPN。在Android 11及更高版本上，您还需要指定域后缀匹配或服务器证书主题，以防止中间人攻击。 对于MDM部署——真正的规模化就在这里——您将所有这些作为结构化配置描述文件进行推送。在Microsoft Intune中，您可以创建一个SCEP证书配置文件，自动为每台注册的Android设备请求并安装唯一的客户端证书。然后，您创建一个引用该证书配置文件的WiFi配置描述文件。当设备签入时，它会同时收到证书和WiFi配置文件，并自动连接到您的802.1X网络。无需用户交互，无需支持电话。如果您使用Intune，我们关于如何使用Microsoft Intune将WiFi证书推送到设备的配套指南将逐步介绍确切的配置步骤——我建议在收听本简报的同时阅读该指南。 对于VMware Workspace ONE和Jamf Connect，流程在架构上是相同的——SCEP或PKCS证书配置文件，后跟引用它的WiFi配置文件。具体的UI不同，但证书链和RADIUS配置要求是相同的。 在RADIUS方面值得注意的一点是：如果您运行FreeRADIUS、Microsoft NPS或Cisco ISE，请确保您的服务器证书包含正确的扩展密钥用法属性——特别是服务器认证，OID 1.3.6.1.5.5.7.3.1。Android对此要求严格。在Windows客户端上运行正常的证书，如果EKU缺失或配置错误，在Android上可能会失败。 --- 实施建议与陷阱 — 约2分钟 好的，我们来谈谈现场实际会出现什么问题，因为这是大多数部署遇到困难的地方。第一个也是最常见的失败是证书信任。如果无法验证RADIUS服务器的证书链，Android 11及以上版本将不会连接。解决方案很简单：通过MDM将根CA证书推送到设备的用户证书存储区，并在WiFi配置文件的CA证书字段中明确引用它。不要将此设置为“不验证”——这是一个安全漏洞，并且在某些Android版本上也会失败。 第二个陷阱是证书过期。客户端证书通常有一到两年的有效期。如果您没有通过SCEP或NDES实现自动续订，您某天早上醒来会发现一半的设备同时失去了WiFi访问权限。从第一天起就将证书续订自动化构建到MDM工作流程中，而不是事后才考虑。 第三个问题是RADIUS服务器容量。由于需要进行完整的相互证书交换，EAP-TLS握手在计算上比PEAP握手更昂贵。在大型体育场或会议中心，同时进行数千次认证，部署不足的RADIUS服务器将成为瓶颈。请根据峰值并发认证数而不是平均负载来确定RADIUS基础设施的规模。 最后，在Android方面，请注意不同制造商——三星、谷歌、小米——对WiFi配置API的实现略有不同。在规模推广之前，请使用您设备群中每个制造商的代表性设备测试MDM推送的配置文件。特别是三星设备，历史上即使可以从证书中推断出身份字段，也需要明确设置。 --- 快速问答 — 约1分钟 一些我经常被问到的快速问题。我可以在BYOD设备上使用EAP-TLS吗？可以，但需要用户在个人设备上安装客户端证书。对于大规模BYOD，考虑使用EAP-TTLS搭配PAP或PEAP-MSCHAPv2是否更具实用性，而将EAP-TLS保留给公司拥有的设备。 EAP-TLS可以与WPA3-Enterprise一起使用吗？可以，而且192位模式的WPA3-Enterprise实际上强制要求使用EAP-TLS。如果您在高安全性环境中部署WPA3-Enterprise，EAP-TLS是您唯一合规的选择。 我应该以哪个最低Android版本为目标？Android 8及更高版本原生支持EAP-TLS。对于Android 11及更高版本，执行显式CA证书验证。对于Android 13及更高版本，您可以利用改进的证书管理API进行更精细的控制。 Purple的平台可以与EAP-TLS网络集成吗？Purple的访客WiFi和分析平台在一个与802.1X企业网络不同的SSID上运行。您的企业设备通过EAP-TLS在安全SSID上进行认证，而访客设备在访客SSID上使用Purple的Captive Portal。两者在同一接入点基础设施上共存，通过VLAN隔离提供安全边界。 --- 总结与后续步骤 — 约1分钟 总结：Android上的EAP-TLS是目前最安全的企业WiFi认证方法，借助现代MDM工具，大规模部署是完全可行的。需要做对的三件事是：配置正确的PKI并实现自动证书续订，在Android 11及以上版本上明确信任CA证书，以及根据峰值负载确定RADIUS基础设施的规模。 如果您在既有企业流量又有访客流量的场所部署，Purple的平台在访客网络上为您提供分析和互动层，而您的EAP-TLS基础设施则保护企业端。两者相得益彰。 接下来的步骤：查看完整指南中的架构图，完成Intune部署演练，并在推广到整个设备群之前，在一部分设备上进行试点。从50台受控组设备开始，验证证书交付和WiFi连接，然后自信地扩展。 感谢收听Purple技术简报。您可以在purple.ai找到完整的书面指南、图表和配置参考。下次再见。