管理用于 EAP-TLS WiFi 身份验证的数字证书

以自信、权威、口语化的英式英语进行发言 —— 就像高级顾问在向客户汇报工作。节奏沉稳，发音清晰，温和而直接。偶尔自然停顿以示强调： 欢迎收看 Purple 技术简报系列。今天我们将探讨 EAP-TLS 证书管理 —— 具体来说，是如何在不增加全职运维负担的情况下，大规模运行基于证书的 WiFi 认证方案。 [medium pause] 如果您负责管理跨多个场所的企业或员工 WiFi（无论是酒店集团、零售物业、大学校园还是公共部门机构），那么这份简报就是为您准备的。我们将涵盖证书的完整生命周期：从建立您的 CA 分层结构，通过 SCEP 和 MDM 进行自动化部署，到更新和吊销。我们还将会讨论哪些环节容易出错（因为确实会出错），以及如何避免最常见的陷阱。 [medium pause] 让我们从基础开始。EAP-TLS（即可扩展身份验证协议 - 传输层安全）是 802.1X WiFi 认证的金标准。与依赖用户名和密码的 PEAP 不同，EAP-TLS 使用基于证书的双向认证。设备使用客户端证书证明其身份。RADIUS 服务器使用服务器证书证明其身份。双方互相验证。没有密码可被钓鱼，也没有凭据可被盗取。这就是为什么 PCI DSS 4.0 和 NCSC 的零信任指南都指向为员工网络采用基于证书的认证。 [medium pause] 现在来看架构。要使 EAP-TLS 正常工作，您需要三样东西。第一，公钥基础设施 —— 即您的 CA 分层结构。第二，将证书部署到设备上的机制 —— 即 SCEP 或您的 MDM 平台。第三，信任您的 CA 并能够实时验证客户端证书的 RADIUS 服务器。 [medium pause] CA 分层结构是大多数组织早期最容易遇到麻烦的地方。正确的模式是三级模型。最顶部是根 CA —— 它应当处于离线、物理隔离状态，并且只有在为您的中间 CA 证书签名时才上线。中间 CA —— 有时称为发证 CA —— 是实际签署日常证书的机构。它是联线的，但其私钥受到了良好的保护。在此之下，您发行两类证书：用于 RADIUS 基础设施的服务器证书，以及用于设备和用户的客户端证书。 [medium pause] 为什么这很重要？因为如果您的根 CA 遭到泄露，您就必须从头开始重建整个 PKI 并重新注册每一台设备。保持其离线状态可以消除这一风险。无需触及根 CA 即可替换中间 CA。这就是三级模型在运维韧性方面的优势所在。 [medium pause] 我们来谈谈证书有效期。业界在这方面发生了重大转变。Apple、Google和Mozilla都已开始强制缩短最大证书生存期。对于TLS服务器证书，目前的最大期限为398天。对于企业级WiFi中的客户端证书，您拥有更大的灵活性（通常为一到两年），但趋势是朝着更短的生存期和自动更新发展，而不是手动管理长期证书。原因很简单：如果证书遭到破坏，较短的生存期可以限制暴露窗口。 [medium pause] 这就带我们进入了自动化。手动证书管理无法实现规模化扩展。如果您有500台设备，您几乎可以手动管理更新。但如果您在50个站点拥有5,000台设备，您就无法做到了。您需要 SCEP（简单证书注册协议）或其现代替代者 EST。SCEP可直接与MDM平台集成，包括Microsoft Intune、Jamf Pro和VMware Workspace ONE。MDM向设备推送SCEP配置描述文件。设备生成密钥对，向您的SCEP服务器发送证书签名请求，并接收返回的已签名证书——所有这些都无需任何用户交互。 [medium pause] 对于Active Directory环境中的Windows设备，您有另一种选择：通过Active Directory证书服务进行组策略驱动的自动注册。设备向域进行身份验证，CA自动颁发证书，且证书在过期前自动更新，无需任何手动干预。对于以Windows为主的网络环境，这是最无缝的路径。 [medium pause] 现在，我们来看看撤销。这是组织最常投入不足的部分，但在出现问题时，它又是最重要的部分。如果设备丢失、被盗或员工离职，您需要立即撤销其证书。共有两种机制：CRL（证书撤销列表）和OCSP（在线证书状态协议）。 [medium pause] CRL是较旧的机制。您的CA在已知URL上发布已撤销证书序列号的列表。RADIUS服务器会定期下载此列表并进行对照检查。CRL的问题在于延迟——如果您的CRL有效期为24小时，则已撤销的证书在撤销后最多仍可在24小时内进行身份验证。 [medium pause] OCSP是实时的替代方案。对于每次身份验证尝试，RADIUS服务器都会向OCSP响应程序发送查询，并获得实时的是否有效或已撤销的响应。权衡之处在于，您的OCSP响应程序将成为关键依赖项——如果它不可用，您需要决定是选择“故障开放”还是“故障关闭”。对于高安全性的环境，“故障关闭”是正确的选择。对于更注重可用性的运营环境，您可以配置较短的OCSP宽限期。 [medium pause] 让我为您提供两个具体的场景，以便更直观地理解。 [medium pause] 首先：一个拥有 150 家分店的酒店集团。他们之前运行的是 PEAP，员工 WiFi 使用共享密码。密码每季度轮换一次，这意味着每季度有两周的窗口期，员工会被锁定或使用旧密码。他们转向使用 Microsoft Intune 进行证书部署的 EAP-TLS。SCEP 配置文件被推送到所有 Windows 和 iOS 设备。以 Active Directory 证书服务作为 CA。结果：密码轮换事件降为零，证书在过期前 30 天自动处理更新，且当员工离职时，其证书在 Microsoft Entra ID 账户停用后的几分钟内就会在 MDM 中被吊销。IT 团队估计，他们每季度在密码重置和技术支持工单上节省了大约 40 个小时。 [medium pause] 其次：一个在 200 家门店中拥有 3,000 台员工设备的跨区域零售连锁品牌。这里的挑战在于设备的多样性——混合了 Windows 笔记本电脑、Android 手持设备和 iOS 设备。他们对 Apple 设备使用 Jamf Pro，对 Windows 和 Android 设备使用 Microsoft Intune，两者都指向由 Microsoft ADCS 中介 CA 支持的同一个 SCEP 服务器。WiFi 基础设施为 Cisco Meraki，由与 Purple 集成的云托管 RADIUS 服务处理 RADIUS 身份验证。关键的设计决策是颁发有效期为 12 个月的证书，并配置在过期前 60 天自动更新。这提供了一个宽裕的更新窗口，而不会产生运营开销。 [medium pause] 现在，我们来看看那些陷阱。我经常看到以下四个问题。 [medium pause] 第一：不测试吊销。企业建立了 PKI 并部署了证书，但从未真正测试过吊销功能是否能端到端正常运行。测试它。吊销一张测试证书，确认 RADIUS 服务器在预期的窗口期内识别到该吊销，并确认设备被拒绝访问。 [medium pause] 第二：到期断崖。如果您在同一时间颁发所有具有相同有效期的证书，它们将同时过期。请错开您的颁发时间，或者至少错开您的更新触发时间。5,000 台设备同时发生 10% 的更新失败率就是一次重大事故。 [medium pause] 第三：在部署 EAP-TLS 之前没有将根 CA 证书分发到所有设备。如果设备不信任您的根 CA，它将拒绝 RADIUS 服务器的证书，并且身份验证将失败。这听起来显而易见，但在企业拥有未加入 MDM 的 BYOD 设备或外包商笔记本电脑时，往往会让他们措手不及。 [medium pause] 第四：OCSP 响应程序的可用性。如果您的 OCSP 响应程序宕机，并且您的 RADIUS 服务器配置为在 OCSP 错误时关闭，那么您的整个 WiFi 网络都将停止工作。请为您的 OCSP 基础设施构建冗余，或配置短暂的宽限期并辅以适当的监控。 [medium pause] 好的，接下来进入快速问答环节。 [medium pause] 我能为 EAP-TLS 客户端证书使用公共 CA 吗？从技术上讲是可以的，但在实际操作中不行。公共 CA 不会为任意设备颁发客户端证书。您需要有自己的 CA 来颁发客户端证书。对于 RADIUS 服务器证书，使用公共 CA 是可以的，并且可以简化信任分发。 [medium pause] 那么 BYOD 呢？BYOD 是个难点。您无法通过 MDM 将证书推送给未托管的设备。解决方案包括使用网络准入控制门户在用户身份验证后颁发短期证书，或者简单地将 BYOD 保持在具有不同身份验证方法的独立 SSID 上。 [medium pause] 这与 WPA3 如何交互？WPA3-Enterprise 强制要求在敏感环境中使用 192 位安全模式，这需要特定的密码套件。EAP-TLS 完全兼容 WPA3-Enterprise，且实际上是推荐的身份验证方法。 [medium pause] 总结一下。EAP-TLS 证书管理并不简单，但如果您从一开始就规划好正确的架构，它也是可控的。三级 CA 层级结构。通过 SCEP 或 MDM 进行自动注册。具有自动更新功能的短期证书寿命。通过 OCSP 进行实时吊销。测试一切，尤其是吊销。并将您的证书生命周期与您的身份提供商（Microsoft Entra ID、Okta 或 Google Workspace）集成，以便在停用帐户时自动触发证书吊销。 [medium pause] 如果您运行的是与 Purple 关联的 RADIUS 服务器，集成点是您的 SCEP 服务器 URL、您的 RADIUS 服务器证书以及您的 CRL 或 OCSP 端点。Purple 与硬件无关的架构意味着它适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 以及其他标准硬件列表——您不会被锁定在单一厂商的 PKI 工具中。 [medium pause] 下一步：审计您当前的证书清单。如果您不知道自己有多少证书、它们何时过期以及是谁颁发的，这是首先要解决的问题。从那里开始，通往完全自动化的路径就非常明确了。感谢您的收听。