跳至主要内容
简体中文

如何在Android设备上使用EAP-TLS设置企业WiFi

本技术参考指南为高级IT领导者提供了在Android设备上部署802.1X EAP-TLS认证的全面蓝图。它涵盖了架构机制、手动和MDM驱动的实施策略,以及保护企业无线网络所需的故障排除方法。

📖 5 分钟阅读📝 1,161 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
如何在Android设备上使用EAP-TLS设置企业WiFi Purple技术简报 — 约10分钟 --- 介绍与背景 — 约1分钟 欢迎来到Purple技术简报系列。我是主持人,今天我们将深入探讨在Android设备上部署802.1X EAP-TLS认证的具体细节——无论您管理的是酒店、零售连锁店、体育场还是公共部门园区。 如果您负责的网络需要对企业或BYOD Android设备进行认证而不依赖共享密码,那么本集节目就是为您准备的。EAP-TLS是企业WiFi安全的黄金标准——它使用基于证书的相互认证,这意味着无需担心凭证钓鱼,无需轮换密码,并且符合PCI DSS、ISO 27001和大多数公共部门安全框架的合规要求。 在本简报结束时,您将完全了解EAP-TLS在Android上是如何工作的,您的部署选项有哪些,以及导致部署失败的三个最常见错误。让我们开始吧。 --- 技术深入探讨 — 约5分钟 我们先从架构开始。802.1X是管理基于端口的网络访问控制的IEEE标准。当Android设备连接到企业WiFi网络——配置为WPA2-Enterprise或WPA3-Enterprise——接入点充当所谓的authenticator。它本身不做出认证决定;它在设备和RADIUS服务器之间传递对话,后者才是实际的认证服务器。 EAP-TLS——即可扩展认证协议与传输层安全——是在802.1X框架内运行的认证方法。它与EAP-PEAP或EAP-TTLS的不同之处在于,后者在TLS隧道内使用用户名和密码,而EAP-TLS在两端都使用X.509证书。RADIUS服务器向设备出示服务器证书,设备则向RADIUS服务器出示客户端证书。双方相互验证。这就是相互认证,也是EAP-TLS成为最安全选项的原因。 现在,具体到Android,有几点需要了解。Android 11及更高版本引入了更严格的证书验证要求。如果您在Android 11或更高版本上部署——目前这已是您设备中的绝大多数——除非明确信任RADIUS服务器证书,否则设备将拒绝连接。您不能仅依赖系统信任存储库;您必须将根CA证书推送到设备,或配置WiFi配置文件以明确引用它。 我们来谈谈证书链。在单台Android设备能够通过EAP-TLS认证之前,您需要准备好三个组件。首先,证书颁发机构——可以是您的内部PKI、Microsoft Active Directory证书服务或像通过Intune的SCEP这样的云PKI。其次,颁发给RADIUS服务器的服务器证书,由该CA签名。第三,颁发给每台设备或用户的唯一客户端证书,同样由同一CA签名。设备在TLS握手期间出示其客户端证书,RADIUS服务器根据CA的证书吊销列表(CRL)或通过OCSP(在线证书状态协议)对其进行验证。 对于Android,客户端证书和私钥通常打包为PKCS12文件——即.P12或.PFX文件——其中包含证书和加密的私钥。在手动配置的设备上,用户通过“设置”->“安全”->“安装证书”导入此文件。在MDM管理的设备上,证书会静默推送到设备的托管密钥库——无需用户交互。 现在我们来谈谈WiFi配置文件本身。在Android上配置企业WiFi连接时,您需要指定:SSID、安全类型——WPA2-Enterprise或WPA3-Enterprise——EAP方法——即TLS——用于服务器验证的CA证书、用于设备认证的客户端证书,以及身份字符串,通常是设备的通用名或用户的UPN。在Android 11及更高版本上,您还需要指定域后缀匹配或服务器证书主题,以防止中间人攻击。 对于MDM部署——真正的规模化就在这里——您将所有这些作为结构化配置描述文件进行推送。在Microsoft Intune中,您可以创建一个SCEP证书配置文件,自动为每台注册的Android设备请求并安装唯一的客户端证书。然后,您创建一个引用该证书配置文件的WiFi配置描述文件。当设备签入时,它会同时收到证书和WiFi配置文件,并自动连接到您的802.1X网络。无需用户交互,无需支持电话。如果您使用Intune,我们关于如何使用Microsoft Intune将WiFi证书推送到设备的配套指南将逐步介绍确切的配置步骤——我建议在收听本简报的同时阅读该指南。 对于VMware Workspace ONE和Jamf Connect,流程在架构上是相同的——SCEP或PKCS证书配置文件,后跟引用它的WiFi配置文件。具体的UI不同,但证书链和RADIUS配置要求是相同的。 在RADIUS方面值得注意的一点是:如果您运行FreeRADIUS、Microsoft NPS或Cisco ISE,请确保您的服务器证书包含正确的扩展密钥用法属性——特别是服务器认证,OID 1.3.6.1.5.5.7.3.1。Android对此要求严格。在Windows客户端上运行正常的证书,如果EKU缺失或配置错误,在Android上可能会失败。 --- 实施建议与陷阱 — 约2分钟 好的,我们来谈谈现场实际会出现什么问题,因为这是大多数部署遇到困难的地方。第一个也是最常见的失败是证书信任。如果无法验证RADIUS服务器的证书链,Android 11及以上版本将不会连接。解决方案很简单:通过MDM将根CA证书推送到设备的用户证书存储区,并在WiFi配置文件的CA证书字段中明确引用它。不要将此设置为“不验证”——这是一个安全漏洞,并且在某些Android版本上也会失败。 第二个陷阱是证书过期。客户端证书通常有一到两年的有效期。如果您没有通过SCEP或NDES实现自动续订,您某天早上醒来会发现一半的设备同时失去了WiFi访问权限。从第一天起就将证书续订自动化构建到MDM工作流程中,而不是事后才考虑。 第三个问题是RADIUS服务器容量。由于需要进行完整的相互证书交换,EAP-TLS握手在计算上比PEAP握手更昂贵。在大型体育场或会议中心,同时进行数千次认证,部署不足的RADIUS服务器将成为瓶颈。请根据峰值并发认证数而不是平均负载来确定RADIUS基础设施的规模。 最后,在Android方面,请注意不同制造商——三星、谷歌、小米——对WiFi配置API的实现略有不同。在规模推广之前,请使用您设备群中每个制造商的代表性设备测试MDM推送的配置文件。特别是三星设备,历史上即使可以从证书中推断出身份字段,也需要明确设置。 --- 快速问答 — 约1分钟 一些我经常被问到的快速问题。我可以在BYOD设备上使用EAP-TLS吗?可以,但需要用户在个人设备上安装客户端证书。对于大规模BYOD,考虑使用EAP-TTLS搭配PAP或PEAP-MSCHAPv2是否更具实用性,而将EAP-TLS保留给公司拥有的设备。 EAP-TLS可以与WPA3-Enterprise一起使用吗?可以,而且192位模式的WPA3-Enterprise实际上强制要求使用EAP-TLS。如果您在高安全性环境中部署WPA3-Enterprise,EAP-TLS是您唯一合规的选择。 我应该以哪个最低Android版本为目标?Android 8及更高版本原生支持EAP-TLS。对于Android 11及更高版本,执行显式CA证书验证。对于Android 13及更高版本,您可以利用改进的证书管理API进行更精细的控制。 Purple的平台可以与EAP-TLS网络集成吗?Purple的访客WiFi和分析平台在一个与802.1X企业网络不同的SSID上运行。您的企业设备通过EAP-TLS在安全SSID上进行认证,而访客设备在访客SSID上使用Purple的Captive Portal。两者在同一接入点基础设施上共存,通过VLAN隔离提供安全边界。 --- 总结与后续步骤 — 约1分钟 总结:Android上的EAP-TLS是目前最安全的企业WiFi认证方法,借助现代MDM工具,大规模部署是完全可行的。需要做对的三件事是:配置正确的PKI并实现自动证书续订,在Android 11及以上版本上明确信任CA证书,以及根据峰值负载确定RADIUS基础设施的规模。 如果您在既有企业流量又有访客流量的场所部署,Purple的平台在访客网络上为您提供分析和互动层,而您的EAP-TLS基础设施则保护企业端。两者相得益彰。 接下来的步骤:查看完整指南中的架构图,完成Intune部署演练,并在推广到整个设备群之前,在一部分设备上进行试点。从50台受控组设备开始,验证证书交付和WiFi连接,然后自信地扩展。 感谢收听Purple技术简报。您可以在purple.ai找到完整的书面指南、图表和配置参考。下次再见。

header_image.png

এক্সিকিউটিভ সামারি

ক্রেডেনশিয়াল চুরি এবং অননুমোদিত অ্যাক্সেস থেকে এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলিকে সুরক্ষিত করতে শেয়ার্ড পাসওয়ার্ডের বাইরে যাওয়া প্রয়োজন। কর্পোরেট পরিবেশে Android ডিভাইসের বহরের জন্য, 802.1X EAP-TLS (এক্সটেনসিবল অথেনটিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি) হলো চূড়ান্ত সিকিউরিটি স্ট্যান্ডার্ড। মিউচুয়াল সার্টিফিকেট-ভিত্তিক অথেনটিকেশন কাজে লাগিয়ে, EAP-TLS পাসওয়ার্ড ফ্যাটিগ, ফিশিং এবং দুর্বল ক্রেডেনশিয়ালের সাথে যুক্ত ঝুঁকিগুলি দূর করে।

এই টেকনিক্যাল রেফারেন্স গাইডটি নেটওয়ার্ক আর্কিটেক্ট, আইটি ম্যানেজার এবং CTO-দের Android ডিভাইসে EAP-TLS ডিপ্লয় করার জন্য কার্যকর কৌশল প্রদান করে। Retail -এ পয়েন্ট-অফ-সেল টার্মিনাল, Healthcare -এ ক্লিনিক্যাল ডিভাইস, বা Hospitality -এ ব্যাক-অফ-হাউস অপারেশন পরিচালনা করা হোক না কেন, এই ডিপ্লয়মেন্ট আয়ত্ত করা এন্ড-ইউজারদের জন্য একটি নিরবচ্ছিন্ন কানেকশন অভিজ্ঞতা প্রদানের পাশাপাশি শক্তিশালী সিকিউরিটি কমপ্লায়েন্স (PCI DSS, GDPR, ISO 27001) নিশ্চিত করে। আমরা BYOD পরিবেশের জন্য ম্যানুয়াল কনফিগারেশন এবং কর্পোরেট-মালিকানাধীন বহরের জন্য জিরো-টাচ MDM প্রভিশনিং উভয়ই কভার করি।

ব্রিফিংটি শুনুন

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার এবং EAP-TLS মেকানিক্স

মূলত, 802.1X হলো পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড। ওয়্যারলেস প্রেক্ষাপটে, অ্যাক্সেস পয়েন্টটি অথেনটিকেটর হিসেবে কাজ করে, যা Android ডিভাইস (সাপ্লিক্যান্ট) এবং RADIUS সার্ভারের (অথেনটিকেশন সার্ভার) মধ্যে যোগাযোগের সুবিধা দেয়।

PEAP বা TTLS-এর বিপরীতে যা TLS-এর মধ্যে লিগ্যাসি পাসওয়ার্ড অথেনটিকেশন টানেল করে, EAP-TLS সম্পূর্ণভাবে X.509 সার্টিফিকেটের উপর নির্ভর করে। এটি একটি মিউচুয়াল অথেনটিকেশন প্যারাডাইম তৈরি করে:

  1. নেটওয়ার্কটি বৈধ তা প্রমাণ করতে RADIUS সার্ভার Android ডিভাইসের কাছে তার সার্টিফিকেট উপস্থাপন করে।
  2. এটি একটি অনুমোদিত এন্ডপয়েন্ট তা প্রমাণ করতে Android ডিভাইস RADIUS সার্ভারের কাছে তার ইউনিক ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে。

eap_tls_architecture_overview.png

Android-নির্দিষ্ট সার্টিফিকেট রিকোয়ারমেন্টস

Android-এ ডিপ্লয় করার ক্ষেত্রে কিছু নির্দিষ্ট সীমাবদ্ধতা রয়েছে, বিশেষ করে Android 11 থেকে। ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণ প্রশমিত করতে Google সার্ভার সার্টিফিকেটের জন্য "Do not validate" বিকল্পটি বাতিল করেছে। ফলস্বরূপ, Android ডিভাইসে অবশ্যই সেই Root CA সার্টিফিকেট থাকতে হবে যা RADIUS সার্ভারের সার্টিফিকেট সাইন করেছে।

অধিকন্তু, RADIUS সার্ভার সার্টিফিকেটে অবশ্যই সঠিক এক্সটেন্ডেড কি ইউসেজ (EKU) অ্যাট্রিবিউট থাকতে হবে—বিশেষ করে Server Authentication (OID 1.3.6.1.5.5.7.3.1)। এটি ছাড়া, Android সাপ্লিক্যান্ট নীরবে TLS হ্যান্ডশেক ড্রপ করবে।

ক্লায়েন্ট সাইডের জন্য, Android-এ প্রাইভেট কি এবং সার্টিফিকেট একসাথে বান্ডেল করা প্রয়োজন, সাধারণত PKCS#12 ফর্ম্যাটে (.p12 বা .pfx)।

Purple-এর ইকোসিস্টেমের সাথে ইন্টিগ্রেশন

যদিও EAP-TLS আপনার কর্পোরেট ডিভাইস এবং অপারেশনাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করে, ভেন্যু অপারেটরদের অবশ্যই ভিজিটর অ্যাক্সেসও পরিচালনা করতে হবে। এখানেই একটি ডুয়াল-SSID কৌশল গুরুত্বপূর্ণ হয়ে ওঠে। আপনার কর্পোরেট SSID 802.1X EAP-TLS ব্যবহার করে, যেখানে আপনার পাবলিক SSID Purple-এর Guest WiFi প্ল্যাটফর্ম কাজে লাগায়। এই বিভাজন অপারেশনাল সিকিউরিটি নিশ্চিত করে এবং একই সাথে মার্কেটিং টিমকে গেস্ট নেটওয়ার্কে WiFi Analytics ব্যবহার করার সুযোগ দেয়। ফিজিক্যাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, Access Point Security: Your 2026 Enterprise Guide দেখুন।

ইমপ্লিমেন্টেশন গাইড

Android-এ EAP-TLS ডিপ্লয়মেন্ট ছোট BYOD সেটআপের জন্য ম্যানুয়ালি বা এন্টারপ্রাইজ স্কেলের জন্য মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM)-এর মাধ্যমে করা যেতে পারে।

mdm_deployment_comparison.png

পদ্ধতি ১: ম্যানুয়াল কনফিগারেশন (BYOD / ছোট স্কেল)

এই পদ্ধতিটি সাপোর্ট-নিবিড় এবং শুধুমাত্র সীমিত রোলআউট বা টেস্টিংয়ের জন্য প্রস্তাবিত।

  1. সার্টিফিকেট ডেলিভারি: .p12 ক্লায়েন্ট সার্টিফিকেট এবং Root CA .cer ফাইলটি নিরাপদে Android ডিভাইসে ডেলিভার করুন (যেমন, সুরক্ষিত পোর্টাল বা এনক্রিপ্ট করা ইমেলের মাধ্যমে)।
  2. ইন্সটলেশন:
    • Settings > Security > Encryption & credentials > Install a certificate-এ নেভিগেট করুন।
    • Root CA-কে "Wi-Fi certificate" হিসেবে ইন্সটল করুন।
    • প্রম্পট করা হলে এক্সট্রাকশন পাসওয়ার্ড প্রদান করে .p12 ফাইলটি ইন্সটল করুন।
  3. নেটওয়ার্ক কনফিগারেশন:
    • Settings > Network & internet > Wi-Fi-এ যান এবং "Add network" নির্বাচন করুন।
    • SSID লিখুন।
    • Security-কে WPA/WPA2/WPA3-Enterprise-এ সেট করুন।
    • EAP method-কে TLS-এ সেট করুন।
    • CA certificate-কে ইন্সটল করা Root CA-তে সেট করুন।
    • Online Certificate Status-কে Request certificate status-এ সেট করুন।
    • RADIUS সার্ভারের সার্টিফিকেটের সাবজেক্ট অল্টারনেটিভ নেম (SAN)-এর সাথে মেলাতে Domain সেট করুন।
    • ইন্সটল করা ক্লায়েন্ট সার্টিফিকেট নির্বাচন করুন।
    • আইডেন্টিটি লিখুন (সাধারণত ইউজারের UPN বা ডিভাইসের MAC)।

পদ্ধতি ২: MDM-পুশড প্রোফাইল (এন্টারপ্রাইজ স্কেল)

বড় এস্টেটের জন্য, যেমন একটি বিশ্ববিদ্যালয় ক্যাম্পাস বা Transport -এর লজিস্টিক হাব, MDM বাধ্যতামূলক। এটি জিরো-টাচ প্রভিশনিং এবং লাইফসাইকেল ম্যানেজমেন্ট প্রদান করে।

  1. PKI ইন্টিগ্রেশন: SCEP বা NDES ব্যবহার করে আপনার MDM (Intune, Workspace ONE, Jamf)-কে আপনার সার্টিফিকেট অথরিটির সাথে কানেক্ট করুন。
  2. সার্টিফিকেট প্রোফাইল: ডিভাইসের ট্রাস্ট স্টোরে Root CA পুশ করার জন্য একটি কনফিগারেশন প্রোফাইল তৈরি করুন। স্বয়ংক্রিয়ভাবে ইউনিক ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট এবং ইন্সটল করার জন্য একটি দ্বিতীয় প্রোফাইল (SCEP) তৈরি করুন।
  3. WiFi প্রোফাইল: ডিপ্লয় করা সার্টিফিকেটগুলিকে লিঙ্ক করে একটি Wi-Fi কনফিগারেশন প্রোফাইল তৈরি করুন।
    • Security Type: WPA2/WPA3 Enterprise
    • EAP Type: EAP-TLS
    • Authentication Method: Certificate
    • Server Trust: Root CA এবং সঠিক সার্ভার ডোমেইন নেম নির্দিষ্ট করুন।

মাইক্রোসফ্ট-নির্দিষ্ট বিস্তারিত নির্দেশাবলীর জন্য, আমাদের গাইডটি দেখুন: How to Use Microsoft Intune to Push WiFi Certificates to Devices

বেস্ট প্র্যাকটিস

  1. WPA3-Enterprise এনফোর্স করুন: যেখানে হার্ডওয়্যার সাপোর্ট করে, সেখানে WPA3-Enterprise বাধ্যতামূলক করুন। 192-বিট সিকিউরিটি স্যুটের জন্য স্পষ্টভাবে EAP-TLS প্রয়োজন, যা সর্বোচ্চ ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ড নিশ্চিত করে।
  2. সার্টিফিকেট লাইফসাইকেল অটোমেট করুন: ক্লায়েন্ট সার্টিফিকেটের মেয়াদ শেষ হয়। আপনি যদি ম্যানুয়াল রিনিউয়ালের উপর নির্ভর করেন, তবে আপনি ব্যাপক আউটেজের সম্মুখীন হবেন। মেয়াদ শেষ হওয়ার ৩০ দিন আগে স্বয়ংক্রিয়ভাবে সার্টিফিকেট রিনিউ করতে SCEP/NDES ইমপ্লিমেন্ট করুন।
  3. শক্তিশালী DNS ইমপ্লিমেন্ট করুন: সার্টিফিকেট রিভোকেশন লিস্ট (CRL) চেক এবং OCSP-এর জন্য এজ থেকে নির্ভরযোগ্য DNS রেজোলিউশন প্রয়োজন। Protect Your Network with Strong DNS and Security -এ আরও পড়ুন।
  4. VLAN সেগমেন্টেশন: Tunnel-Private-Group-Id-এর মতো RADIUS অ্যাট্রিবিউট ব্যবহার করে সার্টিফিকেট অ্যাট্রিবিউটের উপর ভিত্তি করে (যেমন, ম্যানেজার ট্যাবলেট থেকে POS টার্মিনাল আলাদা করা) নির্দিষ্ট VLAN-এ EAP-TLS অথেনটিকেটেড সেশনগুলিকে ম্যাপ করুন।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

যখন Android ডিভাইসগুলি EAP-TLS-এর মাধ্যমে কানেক্ট হতে ব্যর্থ হয়, তখন সমস্যাটি প্রায় সবসময়ই সার্টিফিকেট চেইন বা RADIUS কনফিগারেশনে থাকে।

  • লক্ষণ: Android 11+ ডিভাইসগুলি অবিলম্বে ডিসকানেক্ট হয়ে যায় বা ইউজারকে প্রম্পট না করেই "Authentication error" দেখায়।
    • মূল কারণ: ডিভাইসটি RADIUS সার্ভার সার্টিফিকেটকে ট্রাস্ট করে না। WiFi প্রোফাইলের "Domain" ফিল্ডটি অবশ্যই সার্ভার সার্টিফিকেটের SAN-এর সাথে হুবহু মিলতে হবে এবং Root CA ইন্সটল করা থাকতে হবে।
  • লক্ষণ: TLS হ্যান্ডশেকের সময় কানেকশন টাইম আউট হয়ে যায়।
    • মূল কারণ: ক্লায়েন্ট সার্টিফিকেটের রিভোকেশন স্ট্যাটাস ভেরিফাই করার জন্য RADIUS সার্ভার CRL ডিস্ট্রিবিউশন পয়েন্টে পৌঁছাতে পারে না। নিশ্চিত করুন যে আপনার RADIUS সার্ভারের আপনার PKI-এর CRL এন্ডপয়েন্টগুলিতে আউটবাউন্ড HTTP অ্যাক্সেস রয়েছে।
  • লক্ষণ: Windows ডিভাইস কানেক্ট হয়, কিন্তু Android ডিভাইস ব্যর্থ হয়。
    • মূল কারণ: RADIUS সার্টিফিকেটে Server Authentication EKU অনুপস্থিত, অথবা Android সাপ্লিক্যান্ট একটি অসমর্থিত সাইফার স্যুট ব্যবহার করার চেষ্টা করছে। TLS নেগোসিয়েশন ব্যর্থতার জন্য RADIUS লগ চেক করুন।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS-এ ট্রানজিশন করার জন্য PKI এবং MDM ইনফ্রাস্ট্রাকচারে অগ্রিম বিনিয়োগের প্রয়োজন, তবে সিনিয়র আইটি লিডারদের জন্য রিটার্ন অন ইনভেস্টমেন্ট (ROI) যথেষ্ট।

  • হেল্পডেস্ক খরচ হ্রাস: আইটি হেল্পডেস্ক টিকিটের ২০-৩০% হলো পাসওয়ার্ড রিসেট। সার্টিফিকেট-ভিত্তিক অথেনটিকেশন নেটওয়ার্ক অ্যাক্সেসের জন্য পাসওয়ার্ড রোটেশন পলিসি দূর করে, যা সাপোর্ট ওভারহেড ব্যাপকভাবে হ্রাস করে।
  • ঝুঁকি প্রশমন: EAP-TLS ক্রেডেনশিয়াল হার্ভেস্টিং এবং অফলাইন ডিকশনারি অ্যাটাকের বিরুদ্ধে অনাক্রম্যতা প্রদান করে। Healthcare -এর মতো নিয়ন্ত্রিত শিল্পে একটি একক ব্রিচের খরচ একটি PKI-এর ডিপ্লয়মেন্ট খরচের চেয়ে অনেক বেশি।
  • অপারেশনাল কন্টিনিউটি: স্বয়ংক্রিয় সার্টিফিকেট প্রভিশনিং নিশ্চিত করে যে ওয়্যারহাউস স্ক্যানার থেকে শুরু করে রিটেইল POS সিস্টেম পর্যন্ত গুরুত্বপূর্ণ অপারেশনাল ডিভাইসগুলি মেয়াদোত্তীর্ণ ক্রেডেনশিয়ালের কারণে কখনই নেটওয়ার্ক থেকে ড্রপ অফ করবে না। যেহেতু Purple তার পরিধি প্রসারিত করে চলেছে, যা Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers -এর মতো সাম্প্রতিক কৌশলগত পদক্ষেপগুলির দ্বারা হাইলাইট করা হয়েছে, শক্তিশালী ফাউন্ডেশনাল কানেক্টিভিটি অ্যাডভান্সড অ্যানালিটিক্স এবং এনগেজমেন্টের জন্য সহায়ক হয়ে ওঠে।

关键定义

802.1X

一种基于端口的网络访问控制(PNAC)IEEE标准,为希望连接到LAN或WLAN的设备提供认证机制。

防止未经授权设备接入企业网络边缘的基础框架。

EAP-TLS

可扩展认证协议与传输层安全。使用X.509证书在客户端和服务器之间进行相互认证的认证框架。

被认为是最安全的EAP类型,它消除了对密码的依赖,使其成为高安全环境的必需品。

RADIUS

远程认证拨入用户服务。一种提供集中认证、授权和计费(AAA)管理的网络协议。

根据PKI验证Android设备证书的服务器组件(例如Cisco ISE、Microsoft NPS)。

Supplicant

请求访问网络的客户端设备(在本例中为Android智能手机或平板电脑)。

了解supplicant的特定操作系统约束(如Android 11的严格验证)是成功部署的关键。

Authenticator

促进Supplicant和RADIUS服务器之间认证过程的网络设备(WiFi接入点)。

AP不做决定;它仅根据RADIUS服务器的响应执行端口控制。

PKI

公钥基础设施。创建、管理、分发、使用、存储和吊销数字证书所需的一组角色、策略、硬件、软件和程序。

EAP-TLS的支柱。没有强大的PKI,基于证书的认证是不可能的。

SCEP

简单证书注册协议。旨在尽可能使数字证书的颁发和吊销更具可扩展性的协议。

被MDM平台用于在没有用户干预的情况下自动向Android设备配置客户端证书。

SAN

主题备用名称。X.509的一个扩展,允许将各种值与安全证书相关联。

Android 11+要求WiFi配置文件中的“域”字段与RADIUS服务器证书的SAN匹配。

应用实例

一家全国性零售连锁店需要部署5000台基于Android的销售点(POS)平板电脑。安全团队要求这些设备不得使用共享密码,并且必须对凭证钓鱼免疫。基础设施团队应如何实施部署?

团队必须部署通过SCEP与其内部公钥基础设施(PKI)集成的移动设备管理(MDM)解决方案。MDM将推送包含Root CA证书的配置描述文件,自动为每台POS平板电脑请求唯一的客户端证书,并将WPA3-Enterprise WiFi配置文件配置为使用EAP-TLS。RADIUS服务器将被配置为根据成功的证书验证将这些设备分配到隔离的POS VLAN。

考官评语: 这是最佳的企业方法。对手动配置5000台设备进行尝试在操作上是不可行的。通过使用MDM和SCEP,组织实现了零接触配置和自动证书续订,满足了安全要求,同时最大限度地减少了部署摩擦。

一家医院的IT经理正在升级无线网络。升级后,较旧的Android 9设备成功连接到EAP-TLS网络,但新采购的Android 12设备无法认证,提示信任错误。

IT经理必须更新推送到设备的WiFi配置描述文件。Android 11+强制执行严格的服务器证书验证。必须更新配置文件,以明确定义要信任的Root CA证书,并指定确切的“域”(与RADIUS服务器的SAN匹配)以防止中间人攻击。

考官评语: 这突显了Android supplicant行为中一个关键的操作系统级别变化。遗留的“不验证”配置是一个重大的安全风险,在现代Android版本中已被硬弃用。该解决方案正确地确定了需要显式信任配置。

练习题

Q1. 您的组织正在从PEAP-MSCHAPv2迁移到EAP-TLS。在试点阶段,几台Android 13设备无法连接。RADIUS日志显示TLS握手已启动,但在发送客户端证书之前被客户端丢弃。最可能的配置错误是什么?

提示:考虑近期Android版本中关于服务器身份的严格验证要求。

查看标准答案

最可能的错误是推送到Android 13设备的WiFi配置文件未正确指定“域”后缀匹配,或者Root CA在配置文件中未正确关联。Android断开连接以防止中间人攻击,因为它无法验证RADIUS服务器的证书。

Q2. 您正在为大型体育场部署设计架构。客户希望将所有员工设备都使用EAP-TLS。与标准WPA2-PSK网络相比,必须扩展哪个特定的基础设施组件,为什么?

提示:EAP-TLS在连接阶段涉及复杂的加密操作。

查看标准答案

RADIUS服务器基础设施必须显著扩展。EAP-TLS需要完全的相互证书验证(非对称加密),这计算成本高昂。在体育场环境中,成千上万的设备可能同时漫游或认证,部署不足的RADIUS将导致认证超时和连接失败。

Q3. 丢失的Android平板电脑上的客户端证书被泄露。网络阻止该设备通过EAP-TLS连接的确切机制是什么?

提示:RADIUS服务器如何在证书到期之前知道证书不再有效?

查看标准答案

IT管理员在PKI中吊销客户端证书。PKI更新其证书吊销列表(CRL)或OCSP响应程序。当丢失的平板电脑尝试连接时,RADIUS服务器根据CRL/OCSP检查客户端证书。看到它被吊销,RADIUS服务器拒绝认证请求。

继续阅读本系列

Server RADIUS:面向企业的全面指南

本指南为 IT 经理、网络架构师和 CTO 提供关于企业 WiFi 的 server RADIUS 身份验证的权威技术参考。它涵盖了 AAA 框架、802.1X 架构、EAP 方法选择、云端与本地部署的权衡以及动态 VLAN 分配。酒店、零售、活动和公共部门的场所运营商将获得可行的实施指导、真实案例研究以及从不安全的预共享密钥迁移到安全的、身份驱动的网络访问控制架构所需的决策框架。

阅读指南 →

Aruba ClearPass vs. Purple WiFi: 比较功能与协同部署

一份全面的技术指南,详细介绍了 Aruba ClearPass 和 Purple WiFi 的协同部署架构。内容涵盖 RADIUS 代理配置、动态 VLAN 分配,以及在企业级 NAC 旁部署安全且由数据分析驱动的访客网络的最佳实践。

阅读指南 →

Cisco ISE 对比 Purple WiFi:如何比较以及如何协同工作

本指南阐述了 Cisco ISE 和 Purple WiFi 在企业网络中如何承担不同但互补的角色。它详细介绍了如何使用 Cisco ISE 进行安全的 802.1X 企业级访问,同时利用 Purple 进行符合 GDPR 要求的客用 WiFi、营销分析和 CRM 集成。

阅读指南 →