Jamf 与 RADIUS:基于证书的 Apple 设备群 WiFi 认证
本技术参考指南为 IT 经理、网络架构师和 CTO 提供了使用 Jamf Pro 和 RADIUS 为 Apple 设备群部署基于证书的 802.1X WiFi 认证的可操作步骤。它涵盖了完整的 SCEP 证书配置工作流程、WiFi 配置描述文件结构、RADIUS 集成要求以及来自医疗保健和企业环境的实际实施场景。对于任何寻求消除基于密码的 WiFi 漏洞、减少服务台开销并达到 PCI DSS 和 GDPR 网络访问标准的组织而言,本指南至关重要。
Listen to this guide
View podcast transcript
执行摘要
在依赖传统基于密码的认证方式时,为企业环境中的 Apple 设备群管理安全的 WiFi 访问会带来重大的运营和安全挑战。用户更改其 Active Directory 凭据后,他们的 iPhone、iPad 和 MacBook 会立即断网——产生服务台工单、中断工作流程,并使组织面临基于凭据的攻击。
对于酒店、零售连锁店、体育场馆和公共部门组织的 IT 经理、网络架构师和 CTO,解决方案是使用 EAP-TLS 的基于证书的 802.1X 认证。通过利用 Jamf Pro 通过 SCEP(简单证书注册协议)分发唯一的加密证书,并与 RADIUS 服务器集成,组织可以为每台受管理的 Apple 设备实现无缝、无密码的 WiFi 访问。本指南提供了一种部署 Jamf RADIUS WiFi 证书认证的实用、供应商中立的方法,确保强大的安全性、符合 PCI DSS 和 GDPR 等标准,并显著减少支持开销。
技术深入探讨
802.1X EAP-TLS 架构
基于证书的 WiFi 认证的基础是 IEEE 802.1X 标准与 EAP-TLS(可扩展认证协议-传输层安全)协议的结合。有关 802.1X 标准本身的详细入门,请参阅我们的指南 802.1X 认证:保护现代设备上的网络访问 。
与依赖用户名和密码的 PEAP(受保护的 EAP)不同,EAP-TLS 要求客户端设备和认证服务器都使用数字证书来证明其身份。这种相互认证使 EAP-TLS 成为企业部署的黄金标准。三方模型包括以下组件。
| 组件 | 角色 | 示例 |
|---|---|---|
| 请求者 | 请求网络访问的 Apple 设备 | MacBook、iPhone、iPad |
| 认证器 | 强制访问控制的网络边缘设备 | WiFi 接入点、WLC |
| 认证服务器 | 验证证书并授权访问 | FreeRADIUS、Cisco ISE、Microsoft NPS |
接入点充当看门人,阻止所有流量,直到 RADIUS 服务器发送 Access-Accept 消息。这是基于端口的网络访问控制 (PNAC) IEEE 802.1X 模型的核心。
SCEP 和 Jamf Pro:可扩展的证书分发
大规模使用 EAP-TLS 的挑战在于证书分发。在 500 台 iPad 上手动安装唯一证书是不可行的操作。这就是 Jamf Pro 和 SCEP Jamf 集成成为关键推动因素的地方。
SCEP(简单证书注册协议)是一种轻量级协议,允许设备自动向证书颁发机构 (CA) 请求并接收签名的证书。Jamf Pro 充当编排器,将配置描述文件推送到每台 Apple 设备。此描述文件包含一个 SCEP 负载,指示设备联系 SCEP 服务器,提供动态挑战密码,并指定所需的证书属性——例如使用者备用名称 (SAN),通常映射到设备的 MAC 地址或序列号。
动态挑战密码机制尤为重要。在 Jamf 集成的 SCEP 部署中,Jamf 为每台设备生成唯一的、一次性使用的挑战密码。这确保只有已在 Jamf Pro 中注册——因此受到企业管理的设备——才能成功从 CA 获取证书。这是一个关键的安全控制,可防止恶意设备注册。
用于 Apple 设备认证的 RADIUS 属性
当 RADIUS 服务器从接入点收到 Access-Request 时,它会评估多个属性以做出授权决定。对于 Apple 802.1X 部署,最相关的 RADIUS 属性如下。
| RADIUS 属性 | 描述 | Apple 相关性 |
|---|---|---|
User-Name (属性 1) |
请求者呈现的身份 | 通常是证书的主题 CN 或 SAN |
NAS-IP-Address (属性 4) |
接入点的 IP | 用于特定 AP 的策略 |
Called-Station-Id (属性 30) |
AP 的 BSSID 和 SSID | 支持基于 SSID 的策略实施 |
EAP-Message (属性 79) |
封装的 EAP 数据包 | 包含 TLS 握手数据 |
Tunnel-Type (属性 64) |
指定 VLAN 分配类型 | 用于认证后的动态 VLAN 分配 |
Tunnel-Medium-Type (属性 65) |
指定隧道的介质 | 用于 802.1Q VLAN 标记所必需 |
Tunnel-Private-Group-Id (属性 81) |
要分配的 VLAN ID | 实现基于角色的网络分段 |
Tunnel-Private-Group-Id 属性在企业部署中尤其强大。通过根据证书的属性(例如部门、设备类型)返回不同的 VLAN ID,RADIUS 服务器可以动态分段网络,而无需单独的 SSID。
实施指南
通过 Jamf Pro 部署证书 WiFi Apple 认证遵循一个结构化的顺序。偏离此顺序是部署失败的主要原因。
步骤 1:建立您的证书颁发机构基础架构
在接触 Jamf 之前,您的 CA 基础架构必须到位。对于 Microsoft 环境,通常是具有网络设备注册服务 (NDES) 角色的 Active Directory 证书服务 (AD CS),它充当 SCEP 服务器。对于非 Microsoft 环境,选项包括 EJBCA、HashiCorp Vault PKI 或基于云的 CA,例如 AWS Private CA。
确保您的 CA 层次结构清晰:一个保持离线的根 CA,以及一个或多个签署设备证书的颁发 CA。RADIUS 服务器将需要由同一 CA 层次结构签名的自己的证书。
步骤 2:在 Jamf Pro 中配置 SCEP 负载
导航到 计算机(或移动设备)> 配置描述文件 > 新建。添加证书负载并选择 SCEP 作为证书来源。关键字段如下。
- URL: SCEP 端点(例如
http://ndes.yourdomain.com/certsrv/mscep/mscep.dll)。 - 名称: 将显示在设备钥匙串中的描述性名称。
- 主题: 证书的可分辨名称。对于计算机使用 Jamf 变量,例如
CN=$COMPUTERNAME,对于移动设备使用CN=$JSSID。 - 使用者备用名称 (SAN): 将 SAN 类型设置为
RFC 822 名称,值为$MACADDRESS@yourdomain.com,或DNS 名称,值为$COMPUTERNAME.yourdomain.com。RADIUS 服务器将读取此内容以识别设备。 - 挑战类型: 选择动态以使用 Jamf 的内置 SCEP 代理,该代理会生成每设备挑战密码。
- 密钥大小: 最低 2048 位 RSA。对于新部署,建议使用 4096 位。
- 密钥用法: 同时启用签名和加密。
步骤 3:配置 WiFi 负载
在同一配置描述文件中,添加一个 Wi-Fi 负载。Apple 802.1X 的关键设置如下。
- SSID: 您的企业安全 SSID 的确切名称。
- 安全类型: WPA2 企业或 WPA3 企业(在硬件支持的情况下推荐)。
- 协议 — 接受的 EAP 类型: 仅选择 TLS。取消选择 PEAP、TTLS 和所有其他类型,以强制使用 EAP-TLS。
- 认证 — 身份证书: 选择您在步骤 2 中创建的 SCEP 负载。这是证书与 WiFi 连接之间的关键链接。
- 信任 — 受信任的服务器证书名称: 输入您的 RADIUS 服务器证书的确切通用名称 (CN)(例如
radius.yourdomain.com)。这是最常遗漏的配置项。 - 信任 — 受信任的证书: 上传签署 RADIUS 服务器证书的根 CA 和任何中间 CA 证书。
步骤 4:配置 RADIUS 服务器
在您的 RADIUS 服务器上,创建一个网络策略,以匹配您在 Jamf 中定义的证书属性。对于 Microsoft NPS,这意味着创建一个连接请求策略,通过 Called-Station-Id 属性匹配 SSID,并创建一个网络策略,验证证书是否针对您的 CA,并可选地通过 Tunnel 属性分配 VLAN。
对于 FreeRADIUS,配置 eap 模块使用 tls,并指向您的 CA 证书、服务器证书和私钥。users 文件或 SQL 后端应配置为将证书的 SAN 与您的设备库存进行匹配。
步骤 5:确定描述文件的范围并部署
在 Jamf Pro 中,将配置描述文件的范围限定到适当的设备组——例如,“企业设备”智能组中的所有设备。描述文件将通过 MDM 自动推送。在线的设备将在几分钟内收到它;离线的设备将在下次签到时收到它。
最佳实践
尽可能实施 WPA3 企业版。 具有 192 位模式的 WPA3 企业版使用 GCMP-256 和 HMAC-SHA-384 提供增强的加密强度,比 WPA2 企业版提供更强大的保护。对于处理敏感数据的 酒店业 环境和 医疗保健 组织,此升级越来越成为合规要求,而不仅仅是最佳实践。
为共享硬件利用基于设备的证书。 对于共享设备——例如零售 POS iPad、酒店礼宾平板电脑或临床设备——使用设备绑定证书而不是用户绑定证书。这确保设备在启动时、任何用户登录之前连接到网络,从而允许 MDM 签到、应用程序更新和推送通知正常工作。这是 零售 部署的关键考虑因素,因为设备可能在班次之间共享。
将网络访问与更广泛的安全态势集成。 当员工使用 802.1X 进行安全内部访问时,确保您的面向公众的网络通过强大的 访客 WiFi 解决方案进行管理,以保持清晰的流量分离。将基于证书的员工认证与 WiFi Analytics 相结合,可以提供对已认证设备行为和访客网络活动的完全可见性。
自动化证书续订。 在 Jamf 中配置 SCEP 负载,以在证书到期前 14 到 30 天时触发自动续订。这可以防止设备因为证书在一夜之间到期而静默失去网络访问权限的情况。在 Jamf Pro 中,这通过 SCEP 负载中的续订阈值设置进行控制。
维护证书吊销列表 (CRL) 或 OCSP 响应器。 当设备停用、被盗或从 Jamf 取消注册时,必须在 CA 级别吊销其证书。配置您的 RADIUS 服务器在每次认证尝试时检查 CRL 或 OCSP 端点。否则,具有有效证书的被盗设备仍然可以认证到网络。
有关现代网络基础架构决策的更多背景信息, 现代企业的核心 SD WAN 优势 指南提供了关于基于证书的认证如何与 SD-WAN 覆盖架构集成的有用背景。
故障排除和风险缓解
“先有鸡还是先有蛋”的配置问题。 设备需要网络连接才能访问 SCEP 服务器并下载其证书,但它们需要证书才能加入安全 WiFi。这是最常见的部署障碍。推荐的缓解策略是:使用 USB-C 或 Lightning 转以太网适配器通过 Ethernet 进行配置;在 iPhone 和具有蜂窝功能的 iPad 上使用蜂窝数据;或者创建一个临时的、受限的入门 SSID,其防火墙规则仅允许 SCEP 和 MDM 流量。
macOS 上的静默 EAP-TLS 故障。 如果信任链不完整,macOS 可能静默无法连接,而不在 UI 中显示有意义的错误。唯一的指示在系统日志中。使用 log stream --predicate 'subsystem == "com.apple.network"' 捕获实时认证事件。务必验证 Jamf 描述文件中的 受信任的服务器证书名称 数组与 RADIUS 服务器证书中的 CN 完全匹配。
高负载事件期间的 RADIUS 超时。 在体育场馆或会议中心等环境中,来自数百台设备的同时认证请求可能会使 RADIUS 服务器不堪重负。通过以高可用性对部署 RADIUS、调整 FreeRADIUS 中的 max_requests 参数,并确保 RADIUS 服务器具有足够的 CPU 和内存来应对预期的并发认证负载,可以缓解此问题。对于大型场所部署,请查看我们的指南 无线接入点定义:您的终极 2026 指南 以获得容量规划注意事项。
证书属性不匹配。 如果设备证书中的 SAN 与 RADIUS 网络策略期望的不匹配,认证将失败。这在从一个 CA 迁移到另一个 CA 时,或者当 Jamf 变量的解析与预期不同时尤其常见。在推广到整个设备群之前,务必使用单个设备进行测试,并检查 RADIUS 服务器日志以确认显示的确切身份字符串。
ROI 和业务影响
过渡到 Jamf RADIUS WiFi 证书认证可在多个维度上提供可衡量的业务价值。
| 指标 | 典型结果 |
|---|---|
| 服务台工单减少 | WiFi 相关支持请求减少 60–85% |
| 每台设备入职时间 | 从 15–30 分钟缩短至不到 2 分钟(零接触) |
| 安全事件风险 | 几乎消除基于凭据的 WiFi 攻击 |
| 合规态势 | 满足 PCI DSS 要求 1.3 和 GDPR 第 32 条网络控制 |
| 证书生命周期 | 自动续订消除了手动证书管理 |
最显著的 ROI 驱动因素是消除了密码轮换中断。在一个拥有 500 台设备的设备群中,如果每季度有 10% 的设备因密码更改而断网,并且每个事件需要 20 分钟的 IT 时间来解决,那么仅年度支持成本节约就可以在第一年内证明实施投资的合理性。
对于 交通 运营商和大型场馆环境,通过强制实施动态 VLAN 分配的能力进一步增强了业务案例——确保运营设备、员工设备和管理系统自动分段,无需手动网络重新配置。
Key Definitions
EAP-TLS(可扩展认证协议-传输层安全)
最安全的 802.1X 认证方法,要求客户端设备和 RADIUS 服务器都使用数字证书相互认证。不交换或传输任何密码。
当 IT 团队需要消除基于密码的 WiFi 并强制执行严格的设备合规性时,EAP-TLS 是强制性标准。它是唯一提供相互认证的 EAP 类型。
SCEP(简单证书注册协议)
一种协议,允许设备使用质询-响应机制安全地自动向证书颁发机构请求数字证书。
对于通过 Jamf Pro 扩展证书部署而无需 IT 人员在数千台设备上手动安装证书至关重要。Jamf 的动态 SCEP 代理会生成每设备挑战密码。
RADIUS(远程认证拨入用户服务)
一种网络协议,为连接到网络服务的设备提供集中式认证、授权和计费 (AAA) 管理。
中央决策引擎,它告诉 WiFi 接入点 Jamf 管理的设备是否允许在网络上,并可选地分配哪个 VLAN。
配置描述文件
由 Jamf Pro 部署的 XML 文件 (.mobileconfig),包含一个或多个负载以管理 Apple 设备上的设置,包括证书、WiFi、VPN 和限制。
这是用于将 SCEP 设置、WiFi SSID 配置和证书信任链推送到 iPhone、iPad 或 Mac 的载体。
CSR(证书签名请求)
由 Apple 设备生成的一段编码文本,包含公钥和身份信息,发送到证书颁发机构以申请签名的数字证书。
SCEP 过程的第一步。设备在本地生成 CSR,确保私钥永远不会离开设备——这是 PKI 安全的基本原则。
使用者备用名称 (SAN)
X.509 证书的扩展,允许将多个身份值与证书关联,例如电子邮件地址、DNS 名称、IP 地址或 MAC 地址。
对 RADIUS 认证至关重要。RADIUS 服务器读取 SAN 以识别设备或用户。在 Jamf 部署中,SAN 通常设置为设备的 MAC 地址或用户的 UPN。
根 CA(证书颁发机构)
PKI 层次结构中最顶层的证书,其私钥用于签署下级 CA 证书。根 CA 证书必须得到认证链中所有各方的信任。
必须通过 Jamf 部署到 Apple 设备,以便它们在 EAP-TLS 握手期间信任 RADIUS 服务器出示的证书。没有它,握手就会失败。
IEEE 802.1X
IEEE 针对基于端口的网络访问控制 (PNAC) 的标准,为希望连接到 LAN 或 WLAN 的设备提供在授予网络访问权限之前的认证机制。
总体框架,它在接入点处阻止网络流量,直到 RADIUS 服务器验证 Jamf 配置的证书。所有企业 WiFi 安全都建立在此标准之上。
动态 VLAN 分配
RADIUS 的一项功能,根据 Access-Accept 消息中返回的策略属性,使用 RADIUS Tunnel 属性 64、65 和 81 将连接设备分配到特定 VLAN。
无需多个 SSID 即可实现网络分段。一个企业 SSID 可以自动将临床 iPad 放置在 VLAN 20 上,将高管 MacBook 放置在 VLAN 30 上,将访客设备放置在 VLAN 100 上。
Worked Examples
一家拥有 500 张床位的医院需要为临床工作人员部署 1,200 台共享 iPad。他们目前使用带有 Active Directory 凭据的 PEAP,导致每 90 天密码到期时数百台设备断开连接。他们应该如何重新设计认证架构?
该医院应迁移到使用通过 Jamf Pro 管理的基于设备的证书的 EAP-TLS。实施涉及四个关键步骤。首先,部署带有 NDES 角色的 AD CS 作为 SCEP 服务器,从专用的“临床设备”证书模板颁发证书。其次,配置一个 Jamf 配置描述文件,其中包含一个 SCEP 负载,使用 $MACADDRESS 作为 SAN,以及一个针对临床 SSID 的 WiFi 负载,仅使用 EAP-TLS,并明确信任 RADIUS 服务器证书。第三,配置 Microsoft NPS 与一个网络策略,该策略匹配“临床设备”证书模板,并将设备分配到临床 VLAN(Tunnel-Private-Group-Id = 20)。第四,将 SCEP 续订阈值设置为 30 天,以确保在无需 IT 干预的情况下自动续订证书。在初始推广期间,应通过 Ethernet 配置设备以解决入门网络挑战。
一家拥有 300 台 MacBook 的创意机构正在搬入新办公室。他们希望实现零接触 WiFi 配置——新的 MacBook 在最终用户在办公桌上拆箱时应自动连接到安全的企业 SSID,无需 IT 干预。他们如何实现这一点?
该机构必须将 Apple 自动设备注册 (ADE) 与 Jamf Pro 和精心排序的配置描述文件相结合。在 macOS 设置助理期间,MacBook 通过一个临时的开放入门 SSID 连接到互联网(由防火墙限制,仅允许 Apple 激活、Jamf MDM 和 SCEP 流量)。它联系 Apple,通过 ADE 识别其属于该机构,并自动注册到 Jamf Pro。Jamf Pro 立即推送一个预准备的配置描述文件,其中包含 SCEP 负载和企业 WiFi 负载。SCEP 注册通过入门 SSID 完成,证书安装在钥匙串中,并且 WiFi 负载激活。然后 MacBook 自动转换到安全的 802.1X 企业 SSID。从用户的角度来看,他们只需完成设置助理,笔记本电脑就在企业网络上了。
Practice Questions
Q1. 您已将包含 SCEP 负载和 WiFi 负载的 Jamf 配置描述文件部署到 50 台 MacBook。SCEP 证书已成功安装在钥匙串中,但 MacBook 在尝试连接到企业 SSID 时提示用户显示“验证证书”对话框。缺少或不正确的配置元素是什么?
Hint: 考虑一下 Apple 设备需要哪些信息才能在无需用户交互的情况下自动信任 RADIUS 服务器的身份。
View model answer
Jamf 配置描述文件中的 WiFi 负载缺少“受信任的服务器证书名称”条目(该条目必须与 RADIUS 服务器证书中的 CN 完全匹配),或者签署 RADIUS 服务器证书的根 CA 和中间 CA 证书未包含在描述文件的信任负载中。如果没有由 MDM 明确定义的信任,macOS 和 iOS 会要求用户在 EAP-TLS 握手期间手动验证并接受 RADIUS 服务器的证书。必须填写两个字段:受信任的证书数组(包含 CA 链)和受信任的服务器证书名称数组(包含 RADIUS 服务器的 CN)。
Q2. 一家零售连锁店希望其销售点 iPad 在启动后立即连接到安全的企业 WiFi,在任何员工登录 POS 应用程序之前。当前部署使用与单个员工 UPN 绑定的用户证书。设备经常在轮班开始时无法连接。根本原因是什么?正确的架构更改是什么?
Hint: 考虑一下不同类型的证书相对于用户身份验证生命周期何时可用于 iOS 网络堆栈。
View model answer
根本原因是用户证书(与 UPN 绑定)存储在用户钥匙串中,只有在用户验证设备后才能访问。在启动时或 iOS 锁定屏幕上,用户钥匙串被锁定,因此 WiFi 堆栈无法访问证书来执行 EAP-TLS。正确的架构更改是切换到设备证书,其中 SAN 设置为设备的 MAC 地址或序列号。设备证书存储在系统钥匙串中,在启动时任何用户登录之前即可访问。必须更新 RADIUS 网络策略以匹配设备证书而不是用户证书,并且 Jamf SCEP 负载必须更新为使用设备级变量,例如 $MACADDRESS 或 $SERIALNUMBER 作为 SAN。
Q3. 您的组织使用 Microsoft NPS 作为 RADIUS 服务器。您正在为 200 台 MacBook 配置一个新的 Jamf SCEP 负载。NPS 网络策略配置为要求证书的使用者备用名称与 Active Directory 中的计算机帐户匹配。您应该在 Jamf SCEP 负载中配置什么 SAN 值,以及 NPS 期望什么格式?
Hint: NPS 计算机证书认证要求 SAN 以特定格式匹配 Active Directory 中计算机的身份。
View model answer
对于 NPS 计算机证书认证,SAN 必须设置为 DNS 名称类型,值为 $COMPUTERNAME.yourdomain.com(使用计算机主机名的 Jamf 变量)。NPS 期望 SAN DNS 名称与计算机在 Active Directory 中显示的完全限定域名 (FQDN) 匹配。或者,如果使用用户主体名称 SAN 类型,则格式应为 host/$ COMPUTERNAME@YOURDOMAIN.COM 。NPS 网络策略的条件应设置为匹配“客户端证书 SAN”属性。确保 MacBook 已加入 Active Directory,或者 Jamf 中的计算机名称与 AD 中的计算机对象匹配,否则即使证书有效,NPS 查找也会失败。